Trong thập kỷ trước, hack dần trở thành một nghề đáng kính và có tiềm năng bổ ích nhờ sự ra đời của tiền thưởng lỗi.
Trong khi một số tổ chức như Mozilla tung ra tiền thưởng lỗi từ năm 2004, động lực lớn đối với ngành công nghiệp này đến khi Google và Facebook lần lượt tung ra các chương trình tương tự vào năm 2010 và 2011. Ngay sau đó, vào năm 2011 và 2012, các nền tảng như Bugcrowd và HackerOne đã thương mại hóa tiền thưởng lỗi để giúp các công ty khác thiết lập chúng dễ dàng hơn.
Tiền thưởng lỗi trả cho các nhà nghiên cứu độc lập, những người tìm và báo cáo các lỗ hổng bảo mật có thể ảnh hưởng đến bảo mật đối với hệ thống hoặc người dùng của nó. Một trong những lỗ hổng phổ biến nhất là cuộc tấn công được gọi là Cross-Site Scripting (XSS), đưa mã JavaScript độc hại vào trình duyệt của người dùng.
Do cách JavaScript tràn ngập trên web ngày nay, cuộc tấn công này có thể được sử dụng để chiếm đoạt tài khoản của nạn nhân về cơ bản và Google sẽ trả tới 7.500 đô la cho thể loại này lỗi.
Tại sao tiền thưởng lỗi lại hữu ích?
Việc kiểm tra bảo mật và đánh giá mã bị hạn chế cả về thời gian và số lượng con mắt cung cấp sự giám sát. Mặc dù chúng hữu ích để chọn ra quả treo thấp nhất trước khi phát hành phần mềm ra công chúng, nhưng một số lỗi nghiêm trọng nhất có thể là kết quả của nhiều lỗi thiết kế tinh vi.
Như một ví dụ gần đây về điều này, một nhà nghiên cứu độc lập đã tìm thấy một lỗi lớn trong thuật toán ProgPoW mặc dù đã có nhiều lần kiểm tra trước đó.
Các vụ hack gần đây trong lĩnh vực tài chính phi tập trung, hay DeFi, cho thấy sự phức tạp của các hệ thống này. Trong vụ hack bZX đầu tiên, cốt lõi của việc khai thác là một lỗi nhỏ trong việc kiểm tra tài sản đảm bảo hợp lý trong các hợp đồng thông minh bZX – nhưng các khoản vay nhanh và các nền tảng khác đã cung cấp các công cụ cần thiết để trích tiền thông qua lỗi này.
Chương trình của Google dễ dàng chứng minh rằng việc phát hành mã an toàn ngay từ đầu là gần như không thể. Chương trình phần thưởng lỗ hổng bảo mật của nó đã đăng kỷ lục chưa từng có với 6 triệu đô la thanh toán vào năm 2019 – chín năm sau khi ra mắt. Trong thời kỳ đó, công ty có tất cả các công cụ để hoàn thiện các phương pháp bảo mật nội bộ, nhưng sự phức tạp của hệ thống dường như đã khiến điều đó trở nên bất khả thi.
Tiền thưởng lỗi trong tiền điện tử
Nhiều công ty và dự án trong lĩnh vực tiền điện tử sẽ cung cấp phần thưởng hậu hĩnh cho những lỗi nghiêm trọng. Các dự án DeFi Maker, Compound và Aave có số tiền tối đa lần lượt là 100.000 đô la, 150.000 đô la và 250.000 đô la.
Các sàn giao dịch lớn như Kraken, Coinbase và Binance cũng cung cấp các chương trình tiền thưởng lỗi. Kraken không có mức tối đa rõ ràng, trong khi Coinbase và Binance lần lượt đạt 50.000 đô la và 10.000 đô la. Không phải tất cả các sàn giao dịch lớn đều tung ra các chương trình như vậy – đặc biệt là Huobi và Bitstamp.
Cần lưu ý rằng khoản thanh toán tối đa được quảng cáo không nhất thiết làm cho chương trình hấp dẫn hơn, vì số tiền thanh toán hầu như luôn theo quyết định của công ty.
Trong số 458 báo cáo đã nộp cho Coinbase, khoản thanh toán tối đa chỉ là 20.000 đô la, trong khi mức trung bình chỉ là 200 đô la. Điều này có thể là do mức độ nghiêm trọng của lỗi thấp, nhưng những số liệu thống kê này là tín hiệu quan trọng cho các nhà nghiên cứu, những người phải quyết định nền tảng sẽ tập trung vào. Một số khoản thanh toán trung bình cao nhất trên Hacker One có thể nhận được từ Monolith, Tron (TRX) và Matic, mặc dù sau này chỉ mới tung ra chương trình tiền thưởng lỗi.
Tiền thưởng lỗi có thể lưu dự án không?
Cơ sở hạ tầng tiền điện tử đặt ra mục tiêu lý tưởng cho tin tặc do đặc tính giống tiền mặt của nó, vì việc ăn cắp tiền kỹ thuật số từ ngân hàng là rất nhiều khó hơn.
Những câu chuyện “thành công” về hack như Coincheck, nơi thủ phạm của vụ hack 500 triệu đô la không bị bắt sau hơn hai năm, có thể thu hút tin tặc “mũ đen” hoặc hoàn toàn độc hại hơn các ngành khác.
Theo xếp hạng về an ninh sàn giao dịch được phát hành bởi Hacken vào năm 2019, 82% tất cả các sàn giao dịch không có bất kỳ chương trình tiền thưởng lỗi nào. Trong số những người làm được và được xếp hạng cao trong danh sách của nó, chỉ có Binance bị một cuộc tấn công lớn vào năm 2019.
Thật kỳ lạ, cả bZX và dForce đều có các chương trình thưởng lỗi trước khi xảy ra sự cố – nhưng chúng có những cảnh báo đáng chú ý.
của bZX chương trình chỉ có khoản thanh toán tối đa là 5.000 đô la và điều quan trọng là các nhà nghiên cứu yêu cầu phải gửi bằng chứng nhận dạng trước khi nhận phần thưởng. Có vẻ như nó chỉ được xuất bản trên một bài đăng trên Medium. Theo sau sự việc, dự án sửa chữa tất cả các vấn đề nói trên.
DForce’s chương trình tương tự như vậy, yêu cầu gửi tài liệu và mặc dù khoản thanh toán tối đa đáng kể là 50.000 đô la, nhưng nó chỉ bao gồm hệ thống stablecoin USDx – không phải nền tảng Lendf.me cuối cùng đã bị tấn công.
Trong khi các công ty có nghĩa vụ giữ lại khoản thanh toán cho các nhà nghiên cứu sống ở các khu vực bị trừng phạt, rất ít chương trình thành công yêu cầu kiểm tra danh tính đầy đủ để nhận tiền. Từ quan điểm của một thợ săn lỗi, việc nộp các tài liệu nhận dạng có thể trở thành một Thanh kiếm Damocles do thường xuyên sự trả thù pháp lý chống lại các tin tặc hoàn toàn hợp pháp – do đó không khuyến khích họ áp dụng.
Với tất cả những điều trên, dường như có mối tương quan đáng kể giữa sự hiện diện của chương trình tiền thưởng lỗi công bằng và tỷ lệ xảy ra các vụ hack thảm khốc.
Tuy nhiên, trong một cuộc trò chuyện với Cointelegraph, Egor Homakov, một nhà nghiên cứu bảo mật nổi tiếng, đã cảnh báo về các dự án “xấu hổ”:
“Tiền thưởng không nên bị ép buộc đối với bất kỳ dự án nào, và sự quan tâm nên đến từ bên trong. Theo mặc định, mọi dự án đều có chương trình tiền thưởng, chỉ là số tiền thưởng bằng [tới] $ 0. Tôi không nghĩ mọi người nên xấu hổ với các chương trình vì số tiền cao hơn. Thị trường này tự điều chỉnh một cách hoàn hảo và không cần thêm bất kỳ yêu cầu / cơn thịnh nộ nghiên cứu nào nữa. “
Đánh giá từ các phản hồi sự cố của một số công ty bị tấn công, có thể đã xảy ra quá trình chọn lọc tự nhiên để hướng tới tiền thưởng lỗi tốt hơn.