Seu projeto de Cripto precisa de um xerife, não de um caçador de recompensas

Em 18 de abril, Avi Eisenberg foi condenado por fraude por sua exploração de outubro de 2022 do Mango Mercados. O caso atraiu atenção especial porque Eisenberg rapidamente reconheceu ter executado o ataque de US$ 110 milhões e caracterizou suas táticas não como um crime, mas como uma “estratégia de negociação altamente lucrativa”,apoiando-se em sua interpretação do ditado de que “código é lei”.

Steven Walbroehl é cofundador e diretor de Tecnologia da Halborn, uma empresa de segurança cibernética especializada em empresas de blockchain.

Eisenberg também tentou justificar suas atividades de uma segunda maneira: enquadrando os lucros como uma “recompensa por bug”, ou uma recompensa por identificar uma vulnerabilidade. É assim que as partescaracterizou um acordoem que Eisenberg devolveu cerca de US$ 67 milhões à Mango, mas ficou com os US$ 47 milhões restantes, em troca da promessa de não apresentar queixa. Isso o tornaria omaior recompensa por insetos da história.

Sou profissional de segurança cibernética há 15 anos e já fiz algumas caçadas por bugs. Então acredite em mim quando digo: não é assim que as recompensas por bugs funcionam.

Mais tarde, a liderança da Mango desmentiu o acordo com Eisenberg, dizendo compreensivelmente que o negócio erafeito sob coação. Os tribunaisT levou a sério o enquadramento da “recompensa”, também. Isso é bom, porque a ideia de que um ladrão pode simplesmente devolver parte de seu saque e, de repente, se tornar um herói cria incentivos perigosos.

Mas o incidente também ilustra por que até mesmo recompensas por bugs adequadas são controversas entre especialistas em segurança cibernética. Embora tenham seu lugar em uma abordagem de segurança abrangente, elas podem apenas criar uma ilusão de segurança se usadas isoladamente. Pior, elas podem criar motivos perversos e ressentimentos que aumentar risco em vez de mitigá-lo – especialmente para projetos de Cripto e blockchain.

‘Recompensas retroativas por bugs’ ou a velha e simples ‘chantagem’?

Muitos outros atacantes de Cripto devolveram fundos após recebê-los, por exemplo, no Rede POLY e Finanças Euler ataques. É um fenômeno exclusivamente Cripto que alguns chamaram de“recompensas retroativas por bugs”. Em princípio vago, a ideia é que os atacantes encontraram uma vulnerabilidade em um sistema, e que o dinheiro que eles pegam é de alguma forma uma recompensa justa por sua Confira. Na prática, porém, esses incidentes são mais como negociações de reféns, com as vítimas esperando persuadir ou pressionar o atacante a devolver o dinheiro.

T aprovo que hackers tomem reféns financeiros, mas como um ex-caçador de recompensas por bugs, T posso negar uma certa justiça poética a isso. Mais de uma vez, alertei empresas com programas de recompensas sobre vulnerabilidades sérias ou críticas, apenas para que elas ignorassem ou descartassem os riscos por meses, ou até anos. Posso entender completamente a frustração que pode levar um pesquisador de segurança jovem ou ingênuo nessa situação a simplesmente enriquecer-se com seu conhecimento – para fazer um Breaking Bad e passar de xerife "white hat" para ladrão de banco "black hat".

Veja também:DeFi precisa de hackers para se tornar inhackável | Opinião (2021)

Um problema CORE é que projetos que oferecem recompensas têm muitos incentivos para pagá-las com a menor frequência e o menor preço possível. Obviamente, há os custos financeiros, mas você ficaria surpreso com a frequência com que uma equipe nega a gravidade de um bug relatado simplesmente para proteger suas próprias reputações, enquanto deixa os usuários em risco contínuo. Essa negação pode assumir várias formas, como declarar bugs "fora do escopo" de uma recompensa publicada. Às vezes, desenvolvedores sensíveis até ameaçam com ações legais contra pesquisadores que os abordaram adequadamente com bugs sérios.

Pode ser incrivelmente frustrante para um pesquisador dedicar horas intermináveis em busca de uma "recompensa por bugs", apenas para ter suas descobertas descartadas ou até mesmo viradas contra ele. Fazer algo destrutivo, como roubar muito dinheiro, pode até parecer uma maneira razoável de obter resultados quando você foi ignorado. Essa é a lógica distorcida por trás de Avi Eisenberg tentando posicionar seu roubo como uma "recompensa por bugs" - perder US$ 47 milhões é um empurrãozinho bem grande para consertar uma vulnerabilidade.

Muitas vezes, vejo projetos de blockchain dependendo amplamente ou até mesmo exclusivamente de uma mistura de programas de recompensas e supervisão interna para segurança. E essa é uma receita para o desastre.

A frustração de alguns caçadores de recompensas é inextricável de outra deficiência das recompensas por bugs: elas geralmente convidam a muitos envios que T são úteis. Para cada bug genuíno relatado, um projeto pode obter dezenas ou até centenas de relatórios que não levam a lugar nenhum. Uma equipe pode honestamente ignorar envios de alta qualidade enquanto peneira todo aquele lixo. De forma mais geral, procurar uma agulha no palheiro de recompensas por bugs pode tomar tanto tempo e energia dos funcionários que compensa a economia de custos que um programa de recompensas pode parecer oferecer.

As recompensas por bugs também são excepcionalmente arriscadas para projetos de blockchain de algumas maneiras. Ao contrário de, digamos, um aplicativo para iPhone, é difícil testar completamente uma ferramenta baseada em blockchain antes que ela tenha sido realmente implantada. Os principais projetos de software geralmente permitem que caçadores de bugs tentem quebrar versões de pré-produção do software, mas em Cripto, vulnerabilidades podem surgir das interações de um sistema com outros produtos on-chain.

O hack do Mango de Eisenberg, por exemplo, dependia de oráculos de preço e teria sido difícil ou impossível de simular em um ambiente de teste. Isso pode deixar os caçadores de recompensas tentando ataques nos mesmos sistemas onde usuários reais têm dinheiro em jogo – e colocando esse dinheiro real em risco.

Também me preocupo com o fato de que tantos programas de recompensas de blockchain permitem envios anônimos, que são muito mais raros na segurança cibernética convencional. Alguns até distribuem recompensas sem verificações de identidade; ou seja, eles não têm ideia de para quem estão pagando a recompensa.

Veja também:Chamar um hack de exploit minimiza o erro Human | Opinião (2022)

Isso apresenta uma tentação realmente ameaçadora: os codificadores de um projeto podem deixar bugs no lugar, ou até mesmo introduzir bugs críticos, e então deixar um amigo anônimo “encontrar” e “relatar” os bugs. O insider e o caçador de bugs poderiam então dividir a recompensa, custando muito dinheiro ao projeto sem deixar ninguém mais seguro.

Você precisa de um xerife, não de um caçador de recompensas

Apesar de tudo isso, as recompensas por bugs ainda têm um papel a desempenhar na segurança do blockchain. A ideia básica de oferecer uma recompensa para atrair uma enorme diversidade de talentos para tentar quebrar seu sistema ainda é sólida. Mas, com muita frequência, vejo projetos de blockchain dependendo amplamente ou mesmo exclusivamente de uma mistura de programas de recompensas e supervisão interna para segurança. E essa é uma receita para o desastre.

Afinal, há uma razão para que caçadores de recompensas em filmes sejam tão frequentemente "chapéus cinza" moralmente ambíguos - pense em BOBA Fett, "Man With No Name" de Clint Eastwood ou Dr. King Schulz de "Django Unchained". Eles são mercenários, estão lá por um pagamento único e notoriamente indiferentes ao quadro geral do problema que estão resolvendo. No extremo oposto do espectro, você pode obter um Avi Eisenberg, ansioso para adotar a capa de uma "recompensa por insetos" quando eles próprios são os verdadeiros vilões.

É por isso que os caçadores de recompensas antigos, em última análise, reportavam-se a um xerife, que tem um dever de longo prazo para com as pessoas que ele está protegendo, e garante que todos estejam jogando de acordo com as regras. Em termos de segurança cibernética, o papel do xerife é desempenhado por revisores de código profissionais – pessoas com reputações públicas a proteger, que são pagas independentemente do que descobrem. Uma revisão por uma empresa externa também atenua o impulso defensivo equivocado de desenvolvedores internos que podem rejeitar bugs reais para proteger sua própria reputação. E especialistas em segurança de blockchain podem frequentemente prever os tipos de interações financeiras que destruíram a Mango Mercados, antes que haja dinheiro real em jogo.

A grande maioria dos caçadores de recompensas por bugs, para ser claro, realmente está tentando fazer a coisa certa. Mas eles têm tão pouco poder dentro das regras desse sistema que não é surpresa que alguns deles acabem usando mal suas descobertas. T podemos normalizar esse comportamento dando a exploradores como Avi Eisenberg o selo de aprovação implícito em um prêmio de "recompensa" — e projetos que realmente se importam com a segurança de seus usuários T devem deixar isso nas mãos da multidão.

Veja também:Ogle pega os criminosos da Cripto