Votre projet Crypto a besoin d'un shérif, pas d'un chasseur de primes

Le 18 avril, Avi Eisenberg a été reconnu coupable de fraude pour son exploit d'octobre 2022 sur Mango Marchés. L'affaire a particulièrement retenu l'attention, car Eisenberg a rapidement reconnu avoir exécuté l'attaque de 110 millions de dollars et a qualifié sa tactique non pas de crime, mais de « stratégie de trading très rentable »,s’appuyant sur son interprétation du dicton selon lequel « le code est la loi ».

Steven Walbroehl est le cofondateur et directeur Technologies de Halborn, une société de cybersécurité spécialisée dans les entreprises blockchain.

Eisenberg a également tenté de justifier ses activités d'une seconde manière : en présentant les bénéfices comme une « prime aux bugs », ou une récompense pour l'identification d'une vulnérabilité. C'est ainsi que les partiescaractérisé un accorddans lequel Eisenberg a restitué environ 67 millions de dollars à Mango, mais a conservé les 47 millions restants, en échange d'une promesse de ne pas porter plainte. Cela aurait fait de cette affaire lala plus grande prime aux bugs de l'histoire.

Je suis un professionnel de la cybersécurité depuis 15 ans et j'ai moi-même participé à des chasses aux bugs. Alors, croyez-moi : ce n'est pas comme ça que fonctionnent les chasses aux bugs.

Les dirigeants de Mango ont par la suite désavoué l'accord avec Eisenberg, déclarant à juste titre que l'accord étaitfait sous la contrainteLes tribunauxn'a T pris au sérieux l'idée de la « prime », non plus. C'est une bonne chose, car l'idée qu'un voleur puisse simplement restituer une partie de son butin et devenir soudainement un héros crée des incitations dangereuses.

Mais cet incident illustre également pourquoi même les programmes de primes aux bugs dignes de ce nom suscitent la controverse parmi les experts en cybersécurité. Bien qu'ils aient leur place dans une approche de sécurité globale, ils ne peuvent que créer une illusion de sécurité s'ils sont utilisés isolément. Pire encore, ils peuvent engendrer des motivations perverses et des tensions qui peuvent augmenter risque au lieu de l’atténuer – en particulier pour les projets de Crypto et de blockchain.

« Primes aux bugs rétroactives » ou simple « chantage » ?

De nombreux autres attaquants Crypto ont restitué des fonds après les avoir volés, par exemple dans le Réseau POLY et Euler Finance attaques. Il s'agit d'un phénomène Crypto unique que certains ont qualifié« primes de bugs rétroactives ». En principe, l'idée est vague : les attaquants ont découvert une vulnérabilité dans un système et l'argent qu'ils perçoivent constitue en quelque sorte une juste récompense pour leur À découvrir. En pratique, cependant, ces incidents s'apparentent davantage à des négociations de prise d'otages, les victimes espérant amadouer ou faire pression sur l'attaquant pour qu'il restitue l'argent.

Je T que des pirates informatiques prennent des otages financiers, mais en tant qu'ancien chasseur de primes, je T peux nier une certaine justesse poétique de cette pratique. Plus d'une fois, j'ai alerté des entreprises dotées de programmes de primes de vulnérabilités graves ou critiques, pour les voir ensuite ignorer ou négliger les risques pendant des mois, voire des années. Je comprends parfaitement la frustration qui peut pousser un jeune chercheur en sécurité, ou un chercheur naïf, dans une telle situation à simplement s'enrichir de ses connaissances – à jouer les shérifs de Breaking Bad et à passer du statut de shérif « white hat » à celui de braqueur de banque « black hat ».

Voir aussi :La DeFi a besoin de hackers pour devenir inviolable | Analyses (2021)

L'un des CORE problèmes est que les projets proposant des primes ont de nombreuses raisons de les distribuer le moins souvent possible et au moindre coût. Bien sûr, il y a un coût financier, mais vous seriez surpris de constater la fréquence à laquelle une équipe nie la gravité d'un bug signalé simplement pour protéger sa réputation, tout en laissant les utilisateurs exposés à un risque permanent. Ce déni peut prendre diverses formes, comme déclarer des bugs « hors de portée » d'une prime. Parfois, des développeurs susceptibles menacent même de poursuites judiciaires les chercheurs qui les ont contactés à juste titre pour leur signaler des bugs graves.

Il peut être extrêmement frustrant pour un chercheur de consacrer des heures interminables à la recherche d'une prime aux bugs, pour finalement voir ses conclusions rejetées, voire retournées contre lui. Agir de manière destructrice, comme voler une grosse somme d'argent, peut même sembler une solution raisonnable pour obtenir des résultats lorsqu'on a été ignoré. C'est la logique tordue qui pousse Avi Eisenberg à présenter son vol comme une prime aux bugs : perdre 47 millions de dollars est une belle incitation à corriger une vulnérabilité.

Trop souvent, je vois des projets blockchain s'appuyer largement, voire exclusivement, sur un mélange de programmes de primes et de supervision interne de la sécurité. Et c'est la recette du désastre.

La frustration de certains chasseurs de primes est indissociable d'un autre défaut des programmes de primes : ils suscitent généralement de nombreuses soumissions T . Pour chaque bug authentique signalé, un projet peut recevoir des dizaines, voire des centaines de signalements sans résultat. Une équipe peut honnêtement ignorer des soumissions de qualité en passant au crible toutes ces informations superflues. Plus généralement, chercher une aiguille dans une botte de foin peut accaparer le temps et l'énergie des équipes, au point de contrebalancer les économies qu'un programme de primes semble offrir.

Les programmes de bugs présentent également des risques spécifiques pour les projets blockchain, et ce à plusieurs égards. Contrairement à une application iPhone, par exemple, il est difficile de tester pleinement un outil basé sur la blockchain avant son déploiement. Les projets logiciels grand public permettent souvent aux chercheurs de bugs de tenter de pirater les versions de pré-production des logiciels, mais dans le Crypto, des vulnérabilités peuvent émerger des interactions d'un système avec d'autres produits on-chain.

Le piratage de Mango par Eisenberg, par exemple, s'appuyait sur des oracles de prix et aurait été difficile, voire impossible, à simuler dans un environnement de test. Cela peut obliger les chasseurs de primes à tester des attaques sur les systèmes mêmes où de vrais utilisateurs ont de l'argent en jeu, mettant ainsi cet argent réel en péril.

Je m'inquiète également du fait que de nombreux programmes de primes blockchain autorisent les soumissions anonymes, bien plus rares dans le secteur de la cybersécurité. Certains distribuent même des récompenses sans vérification d'identité ; autrement dit, ils ignorent totalement à qui ils versent la prime.

Voir aussi :Appeler un piratage un exploit minimise l'erreur Human | Analyses (2022)

La tentation est vraiment inquiétante : les développeurs d'un projet pourraient laisser des bugs persister, voire en introduire des critiques, puis laisser un ami anonyme les « trouver » et les « signaler ». L'initié et le chasseur de bugs pourraient alors se partager la prime, ce qui coûterait cher au projet sans améliorer la sécurité de quiconque.

Vous avez besoin d'un shérif, pas d'un chasseur de primes

Malgré tout cela, les primes aux bugs ont toujours un rôle à jouer dans la sécurité blockchain. L'idée de base consistant à offrir une récompense pour attirer une grande diversité de talents afin de tenter de pirater votre système reste pertinente. Mais trop souvent, je vois des projets blockchain s'appuyer largement, voire exclusivement, sur un mélange de programmes de primes et de supervision interne de la sécurité. Et c'est la recette du désastre.

Il y a une raison, après tout, si les chasseurs de primes au cinéma sont si souvent des « chapeaux gris » moralement ambigus – pensez à BOBA Fett, à « L'Homme sans nom » de Clint Eastwood ou au Dr King Schulz de « Django Unchained ». Ce sont des mercenaires, là pour une rémunération unique, et notoirement indifférents à la problématique globale qu'ils résolvent. À l'extrême opposé, on trouve un Avi Eisenberg, prêt à se faire passer pour un « chercheur de primes » alors qu'il est lui-même le véritable méchant.

C'est pourquoi les chasseurs de primes d'antan dépendaient en dernier ressort d'un shérif, qui a un devoir à long terme envers les personnes qu'il protège et veille à ce que chacun respecte les règles. En matière de cybersécurité, le rôle de shérif est assuré par des réviseurs de code professionnels – des personnes dont la réputation publique est à protéger et qui sont rémunérées quelles que soient leurs découvertes. Une évaluation par une entreprise externe atténue également les réflexes défensifs malavisés des développeurs internes, qui pourraient rejeter de véritables bugs pour protéger leur propre réputation. De plus, les spécialistes de la sécurité blockchain peuvent souvent anticiper les types d'interactions financières qui ont mis à mal Mango Marchés, avant même que de l'argent ne soit réellement en jeu.

La grande majorité des chasseurs de bugs, soyons clairs, s'efforcent réellement de faire ce qu'il faut. Mais leur pouvoir est si limité par les règles de ce système qu'il n'est guère surprenant que certains finissent par abuser de leurs découvertes. On ne peut T normaliser ce comportement en accordant à des exploiteurs comme Avi Eisenberg le sceau d'approbation implicite d'une prime – et les projets qui se soucient réellement de la sécurité de leurs utilisateurs ne devraient T la laisser entre les mains de la foule.

Voir aussi :Ogle attrape les escrocs de la Crypto