Su proyecto de Cripto necesita un sheriff, no un cazarrecompensas

El 18 de abril, Avi Eisenberg fue condenado por fraude por su ataque a Mango Mercados en octubre de 2022. El caso ha atraído especial atención porque Eisenberg reconoció rápidamente haber ejecutado el ataque de 110 millones de dólares y calificó sus tácticas no como un delito, sino como un... “estrategia comercial altamente rentable”apoyándose en su interpretación del dicho de que “el código es ley”.

Steven Walbroehl es el cofundador y director de Tecnología de Halborn, una empresa de ciberseguridad especializada en empresas blockchain.

Eisenberg también intentó justificar sus actividades de una segunda manera: presentando las ganancias como una "recompensa por errores" o una recompensa por identificar una vulnerabilidad. Así es como las partes...Caracterizó un tratoEn el que Eisenberg devolvió unos 67 millones de dólares a Mango, pero se quedó con los 47 millones restantes, a cambio de la promesa de no presentar cargos. Eso lo habría convertido en...La mayor recompensa por errores de la historia.

Llevo 15 años como profesional de la ciberseguridad y he participado en la búsqueda de recompensas por errores. Así que créanme: así no funcionan las recompensas por errores.

Los líderes de Mango luego desmintieron el acuerdo con Eisenberg, diciendo comprensiblemente que el trato erahecho bajo coacciónLos tribunalesNo se tomó en serio el encuadre de la "recompensa"Eso es bueno, porque la idea de que un ladrón pueda simplemente devolver parte de su botín y de repente convertirse en un héroe crea incentivos peligrosos.

Pero el incidente también ilustra por qué incluso las recompensas por errores resultan controvertidas entre los expertos en ciberseguridad. Si bien tienen su lugar en un enfoque de seguridad integral, pueden simplemente crear una ilusión de seguridad si se utilizan de forma aislada. Peor aún, pueden generar motivos perversos y mala sangre que... aumentar riesgo en lugar de mitigarlo, especialmente en el caso de proyectos de Cripto y blockchain.

¿"Recompensas retroactivas por errores" o simplemente "chantaje"?

Muchos otros atacantes de Cripto han devuelto los fondos después de tomarlos, por ejemplo en el POLY y Finanzas de Euler ataques. Es un fenómeno exclusivamente Cripto que algunos han llamado“recompensas retroactivas por errores”. En principio, la idea es que los atacantes han encontrado una vulnerabilidad en un sistema y que el dinero que se llevan es, de alguna manera, una recompensa justa por su Explora. Sin embargo, en la práctica, estos incidentes se asemejan más a negociaciones con rehenes, donde las víctimas esperan persuadir o presionar al atacante para que devuelva el dinero.

No apruebo que los hackers tomen rehenes financieros, pero como excazador de recompensas por errores, no puedo negarle cierta justicia poética. Más de una vez, he alertado a empresas con programas de recompensas sobre vulnerabilidades graves o críticas, solo para que desestimaran o ignoraran los riesgos durante meses, o incluso años. Entiendo perfectamente la frustración que podría llevar a un investigador de seguridad joven o ingenuo en esa situación a simplemente enriquecerse con sus conocimientos, a hacer como Breaking Bad y pasar de ser un sheriff de sombrero blanco a un ladrón de bancos de sombrero negro.

Ver también:DeFi necesita que los hackers se vuelvan invulnerables Opinión (2021)

Un problema CORE es que los proyectos que ofrecen recompensas tienen muchos incentivos para pagarlas con la menor frecuencia y el menor costo posible. Obviamente, existen costos financieros, pero te sorprendería la frecuencia con la que un equipo niega la gravedad de un error reportado simplemente para proteger su reputación, mientras deja a los usuarios en riesgo constante. Esta negación puede adoptar diversas formas, como declarar errores "fuera del alcance" de una recompensa publicada. A veces, los desarrolladores susceptibles incluso amenazan con emprender acciones legales contra los investigadores que les han contactado con errores graves.

Puede ser increíblemente frustrante para un investigador dedicar horas interminables a la búsqueda de una "recompensa por errores", solo para que sus hallazgos sean desestimados o incluso se vuelvan en su contra. Hacer algo destructivo, como robar mucho dinero, podría incluso parecer una forma razonable de obtener resultados cuando se le ha ignorado. Esa es la lógica retorcida detrás de Avi Eisenberg, quien intenta presentar su robo como una "recompensa por errores": perder 47 millones de dólares es un gran empujón para corregir una vulnerabilidad.

Con demasiada frecuencia veo proyectos de blockchain que dependen en gran medida, o incluso exclusivamente, de una combinación de programas de recompensas y supervisión interna de la seguridad. Y eso es una receta para el desastre.

La frustración de algunos cazarrecompensas es inextricable debido a otra deficiencia de las recompensas por errores: generalmente, reciben muchas propuestas T . Por cada error genuino reportado, un proyecto podría recibir docenas o incluso cientos de informes que no conducen a nada. Un equipo podría, honestamente, pasar por alto propuestas de alta calidad mientras revisa toda esa basura. En términos generales, buscar una aguja en el pajar de las recompensas por errores puede consumir tanto tiempo y energía del personal que anula el ahorro que un programa de recompensas podría ofrecer.

Las recompensas por errores también son especialmente riesgosas para los proyectos blockchain en varios sentidos. A diferencia de, por ejemplo, una aplicación para iPhone, es difícil probar completamente una herramienta basada en blockchain antes de su implementación. Los proyectos de software convencionales suelen permitir que los cazadores de errores intenten descifrar versiones de preproducción, pero en el Cripto, las vulnerabilidades pueden surgir de las interacciones de un sistema con otros productos en la cadena de bloques.

El hackeo de Mango de Eisenberg, por ejemplo, se basó en oráculos de precios y habría sido difícil o imposible de simular en un entorno de prueba. Esto puede obligar a los cazarrecompensas a probar ataques en los mismos sistemas donde usuarios reales tienen dinero en juego, poniendo ese dinero real en riesgo.

También me preocupa que muchos programas de recompensas de blockchain permitan envíos anónimos, algo mucho menos común en la ciberseguridad convencional. Algunos incluso distribuyen recompensas sin verificación de identidad; es decir, no tienen ni idea de a quién le pagan la recompensa.

Ver también:Llamar exploit a un ataque minimiza el error Human Opinión (2022)

Esto presenta una tentación realmente peligrosa: los programadores de un proyecto podrían dejar errores, o incluso introducir errores críticos, y luego dejar que un amigo anónimo los "encuentre" y los "reporte". El informante y el cazador de errores podrían entonces dividir la recompensa, lo que costaría mucho dinero al proyecto sin mejorar la seguridad de nadie.

Necesitas un sheriff, no un cazarrecompensas

A pesar de todo esto, las recompensas por errores aún desempeñan un papel importante en la seguridad de la cadena de bloques. La idea básica de ofrecer una recompensa para atraer a una gran diversidad de talentos que intenten descifrar el sistema sigue siendo sólida. Sin embargo, con demasiada frecuencia veo proyectos de cadena de bloques que dependen en gran medida, o incluso exclusivamente, de una combinación de programas de recompensas y supervisión interna de la seguridad. Y eso es una receta para el desastre.

Hay una razón, después de todo, por la que los cazarrecompensas en las películas suelen ser "sombreros grises" moralmente ambiguos: pensemos en BOBA Fett, "El hombre sin nombre" de Clint Eastwood o el Dr. King Schulz de "Django desencadenado". Son mercenarios, ahí para un pago único, y notoriamente indiferentes al problema general que resuelven. En el extremo opuesto, podemos encontrarnos con Avi Eisenberg, ansioso por adoptar la fachada de una "recompensa por insectos" cuando ellos mismos son los verdaderos villanos.

Por eso, los cazarrecompensas veteranos acababan reportándose ante un sheriff, quien tiene un deber a largo plazo con las personas a las que protege y se asegura de que todos cumplan las normas. En términos de ciberseguridad, el papel de sheriff lo desempeñan revisores de código profesionales: personas con reputaciones públicas que proteger, a quienes se les paga independientemente de lo que descubran. Una revisión realizada por una empresa externa también mitiga el impulso defensivo equivocado de los desarrolladores internos, que podrían rechazar errores reales para proteger su propia reputación. Y los especialistas en seguridad de blockchain a menudo pueden prever el tipo de interacciones financieras que destrozaron a Mango Mercados, antes de que haya dinero real en juego.

Para ser claros, la gran mayoría de los cazadores de recompensas por errores realmente intentan hacer lo correcto. Pero tienen tan poco poder dentro de las reglas de ese sistema que no sorprende que algunos terminen haciendo un mal uso de sus hallazgos. No podemos normalizar ese comportamiento otorgando a explotadores como Avi Eisenberg el sello de aprobación que implica una "recompensa", y los proyectos que realmente se preocupan por la seguridad de sus usuarios no deberían dejarla en manos de la multitud.

Ver también:Ogle atrapa a los estafadores de Cripto