Ένας στρατός χάκερ μπορεί να κάνει το Crypto ασφαλέστερο, αλλά είναι αρκετό;

Την τελευταία δεκαετία, το hacking σταδιακά έγινε μια αξιοσέβαστη και δυνητικά επιβραβευτική καριέρα χάρη στην εισαγωγή των bug bounties.

Ενώ ορισμένοι οργανισμοί όπως η Mozilla ξεκίνησαν bug bounties μέχρι το 2004, σημαντική ώθηση στη βιομηχανία ήρθε όταν η Google και το Facebook παρουσίασαν παρόμοια προγράμματα το 2010 και το 2011, αντίστοιχα. Λίγο αργότερα, το 2011 και το 2012, πλατφόρμες όπως το Bugcrowd και το HackerOne εμπορευματοποίησαν bounties bug για να διευκολύνουν τις άλλες εταιρείες να τις δημιουργήσουν.

Ένα bug bounty πληρώνει ανεξάρτητους ερευνητές που βρίσκουν και αναφέρουν ευπάθειες που θα μπορούσαν να έχουν αντίκτυπο στην ασφάλεια στο σύστημα ή στους χρήστες του. Ένα από τα πιο κοινά τρωτά σημεία είναι η λεγόμενη επίθεση Cross-Site Scripting (XSS), η οποία εισάγει κακόβουλο κώδικα JavaScript στο πρόγραμμα περιήγησης ενός χρήστη.

Λόγω του τρόπου με τον οποίο η JavaScript διεισδύει στον ιστό σήμερα, αυτή η επίθεση μπορεί να χρησιμοποιηθεί για ουσιαστική εισβολή του λογαριασμού ενός θύματος και η Google θα πληρώσει έως και 7.500 $ για αυτή την κατηγορία από σφάλματα.

Γιατί είναι χρήσιμες οι γενναιοδωρίες bug?

Οι έλεγχοι ασφαλείας και οι αναθεωρήσεις κώδικα περιορίζονται τόσο στο χρόνο όσο και στον αριθμό των ματιών που παρέχουν έλεγχο. Αν και είναι χρήσιμο να διαλέξετε τα χαμηλότερα κρεμαστά φρούτα πριν κυκλοφορήσετε λογισμικό στο κοινό, μερικά από τα πιο σοβαρά σφάλματα μπορεί να προκύψουν από τη σύνθεση πολλών λεπτών αποτυχιών σχεδίασης.

Ως πρόσφατο παράδειγμα αυτού, ένας ανεξάρτητος ερευνητής βρήκε ένα μεγάλο σφάλμα στον αλγόριθμο ProgPoW παρά τους πολλαπλούς προηγούμενους ελέγχους.

Οι πρόσφατες παραβιάσεις στην αποκεντρωμένη χρηματοδότηση ή στο DeFi, δείχνουν την πολυπλοκότητα αυτών των συστημάτων. Στο πρώτο hack του bZX, ο πυρήνας της εκμετάλλευσης ήταν μια λεπτή αποτυχία να ελέγξει για σωστή εξασφάλιση στις έξυπνες συμβάσεις bZX – αλλά τα δάνεια flash και άλλες πλατφόρμες παρείχαν τα απαραίτητα εργαλεία για να εξαγάγουν χρήματα μέσω αυτού του σφάλματος.

Το πρόγραμμα της Google δείχνει εύκολα ότι η απελευθέρωση ασφαλούς κώδικα από την αρχή είναι σχεδόν αδύνατη. Το πρόγραμμα ανταμοιβής ευπάθειας δημοσιεύτηκε ένα πρωτοφανές ρεκόρ πληρωμών 6 εκατομμυρίων δολαρίων το 2019 – εννέα χρόνια μετά την κυκλοφορία. Κατά τη διάρκεια αυτής της περιόδου, η εταιρεία διέθετε όλα τα εργαλεία για να τελειοποιήσει τις εσωτερικές πρακτικές ασφαλείας της, αλλά η πολυπλοκότητα των συστημάτων της φαίνεται ότι το έκανε όλα εκτός από αδύνατο.

Παρουσιάσεις σφαλμάτων σε κρυπτογράφηση

Πολλές εταιρείες και έργα σε κρυπτογράφηση θα προσφέρουν γενναιόδωρες ανταμοιβές για κρίσιμα σφάλματα. Τα έργα DeFi, Maker, Compound και Aave έχουν μέγιστα $ 100.000, 150.000 $ και 250.000 $ αντίστοιχα.

Σημαντικές ανταλλαγές όπως Kraken, Coinbase και Binance παρέχουν επίσης προγράμματα bug bounty. Το Kraken δεν έχει ρητό μέγιστο, ενώ οι Coinbase και Binance ξεπερνούν τα $ 50.000 και 10.000 $, αντίστοιχα. Δεν ξεκίνησαν όλα τα μεγάλα χρηματιστήρια τέτοια προγράμματα – ιδίως το Huobi και το Bitstamp.

Αξίζει να σημειωθεί ότι η διαφημιζόμενη μέγιστη πληρωμή δεν καθιστά απαραίτητα το πρόγραμμα πιο ελκυστικό, καθώς τα ποσά που πληρώνονται είναι σχεδόν πάντα στη διακριτική ευχέρεια της εταιρείας.

Από 458 αναφορές υποβλήθηκε στο Coinbase, η μέγιστη πληρωμή ήταν μόνο 20.000 $, ενώ ο μέσος όρος είναι μόλις 200 $. Αυτό πιθανότατα οφείλεται στη χαμηλή σοβαρότητα των σφαλμάτων, αλλά αυτά τα στατιστικά στοιχεία είναι σημαντικά μηνύματα για τους ερευνητές που πρέπει να αποφασίσουν την πλατφόρμα για την εστίαση. Μερικές από τις υψηλότερες μέσες πληρωμές στο Hacker One μπορούν να ληφθούν από τους Monolith, Tron (TRX) και Matic, αν και οι τελευταίοι μόλις ξεκίνησαν το πρόγραμμα bug bounty.

Μπορεί bug bounties να σώσει έργα?

Η υποδομή Crypto αποτελεί ιδανικό στόχο για χάκερ λόγω των ιδιοτήτων που μοιάζουν με μετρητά, καθώς η κλοπή ψηφιακού χρήματος από μια τράπεζα είναι πολύ πιο δυνατα.

Παραβιάσεις ιστοριών «επιτυχίας» όπως ο Coincheck, όπου οι δράστες των 500 εκατομμυρίων δολαρίων δεν πιάστηκαν μετά από περισσότερα από δύο χρόνια, μπορεί να προσελκύσουν «μαύρο καπέλο», ή εντελώς κακόβουλο, χάκερ περισσότερο από άλλες βιομηχανίες.

Σύμφωνα με μια κατάταξη της ασφάλειας συναλλάγματος που δημοσιεύθηκε από την Hacken το 2019, το 82% όλων των ανταλλαγών δεν διαθέτει καθόλου προγράμματα bug bounty. Από αυτούς που το κάνουν, και κατατάσσονται σε υψηλό βαθμό στη λίστα του, μόνο το Binance υπέστη σημαντική επίθεση το 2019.

Περιέργως, τόσο το bZX όσο και το dForce είχαν εφαρμόσει προγράμματα bug bounty πριν από τα συμβάντα τους – αλλά είχαν αξιοσημείωτες προειδοποιήσεις.

bZX’s πρόγραμμα είχε μόνο μέγιστη πληρωμή 5.000 $ και απαιτούσε από τους ερευνητές να υποβάλουν αποδεικτικό ταυτότητας πριν από τη συλλογή της ανταμοιβής. Φαίνεται επίσης ότι δημοσιεύτηκε μόνο σε ένα Medium post. Μετά το συμβάν, το έργο διορθώθηκε όλα τα προαναφερθέντα ζητήματα.

DForce’s πρόγραμμα Ομοίως απαιτούσε την υποβολή εγγράφων και ενώ η μέγιστη πληρωμή του ήταν σημαντική στα 50.000 $, κάλυπτε μόνο το σύστημα USDC stablecoin – όχι την πλατφόρμα Lendf.me που κατέληξε να πειραχτεί.

Ενώ οι εταιρείες είναι υποχρεωμένες να παρακρατούν πληρωμές σε ερευνητές που ζουν σε περιοχές με άδεια, πολύ λίγα επιτυχημένα προγράμματα απαιτούν πλήρη έλεγχο ταυτότητας για να λάβουν χρήματα. Από την οπτική γωνία ενός κυνηγού σφαλμάτων, η υποβολή εγγράφων ταυτότητας μπορεί να γίνει ξίφος Damocles λόγω συχνών νομικά αντίποινα εναντίον πλήρως νόμιμων χάκερ – αποθαρρύνοντάς τους έτσι από το να κάνουν αίτηση.

Λαμβάνοντας υπόψη όλα τα παραπάνω, φαίνεται να υπάρχει σημαντική συσχέτιση μεταξύ της παρουσίας ενός προγράμματος εύλογου bug bounty και της συχνότητας καταστροφικών hacks.

Ωστόσο, σε μια συνομιλία με τον Cointelegraph, ο Egor Homakov, ένας πολύ σεβαστός ερευνητής ασφάλειας, προειδοποίησε για τα έργα «ντροπιασμού»:

«Τα bounties δεν πρέπει να εξαναγκάζονται σε κανένα έργο και το ενδιαφέρον πρέπει να προέρχεται από μέσα. Κάθε έργο έχει ήδη ένα πρόγραμμα γενναιοδωρίας από προεπιλογή, είναι απλά τα ποσά είναι ίσο με [0] $. Δεν νομίζω ότι οι άνθρωποι πρέπει να ντρέψουν τα προγράμματα για υψηλότερα ποσά. Αυτή η αγορά ρυθμίζει απόλυτα αυτορυθμιζόμενη και δεν χρειάζεται πλέον οργή / απαιτήσεις έρευνας. “

Κρίνοντας από τις απαντήσεις σε περιστατικά από ορισμένες εταιρείες που είχαν παραβιαστεί, μπορεί να συμβαίνει ήδη φυσική επιλογή για καλύτερα bug bounties.