Вашему Криптo нужен шериф, а не охотник за головами

18 апреля Ави Айзенберг был осужден за мошенничество за его октябрьский 2022 год, связанный с Mango Рынки. Дело привлекло особое внимание, поскольку Айзенберг быстро признался в совершении атаки на 110 миллионов долларов и охарактеризовал свою тактику не как преступление, а как «высокоприбыльная торговая стратегия»,опираясь на свою интерпретацию изречения «кодекс — это закон».

Стивен Уолбрёль — соучредитель и главный Технологии директор Halborn, компании по кибербезопасности, специализирующейся на блокчейн-компаниях.

Айзенберг также пытался оправдать свою деятельность вторым способом: представляя доходы как «вознаграждение за обнаружение уязвимости» или награду за обнаружение уязвимости. Вот как стороныохарактеризовал сделкув котором Айзенберг вернул Mango около $67 миллионов, но оставил себе оставшиеся $47 миллионов в обмен на обещание не выдвигать обвинения. Это сделало бы егосамая большая награда за обнаружение ошибок в истории.

Я работаю специалистом по кибербезопасности уже 15 лет и сам занимался охотой за багами. Так что поверьте мне: так не работают баги-баунти.

Руководство Mango позже дезавуировало соглашение с Айзенбергом, заявив, что сделка быласделанный под принуждением. СудыT воспринял всерьез идею «вознаграждения», либо. Это хорошо, потому что идея о том, что вор может просто вернуть часть своей добычи и внезапно стать героем, создает опасные стимулы.

Но этот инцидент также иллюстрирует, почему даже надлежащие вознаграждения за ошибки вызывают споры среди экспертов по кибербезопасности. Хотя они и занимают свое место в комплексном подходе к безопасности, они могут просто создать иллюзию безопасности, если используются изолированно. Хуже того, они могут создавать извращенные мотивы и вражду, которые увеличивать риск вместо его снижения – особенно для Криптo и блокчейн-проектов.

«Ретроактивные вознаграждения за обнаруженные ошибки» или старый добрый «шантаж»?

Многие другие Криптo вернули средства после их кражи, например, в POLY Нетворк и Эйлер Финансы атаки. Это уникальный Криптo феномен, который некоторые называют«ретроактивные вознаграждения за обнаруженные ошибки». В общих чертах, идея заключается в том, что злоумышленники нашли уязвимость в системе, и что деньги, которые они берут, каким-то образом являются справедливой наградой за их Истории. Однако на практике эти инциденты больше похожи на переговоры о заложниках, когда жертвы надеются уговорить или надавить на злоумышленника, чтобы тот вернул деньги.

Я T одобряю хакеров, которые берут финансовых заложников, но как бывший охотник за ошибками, я T могу отрицать определенную поэтическую справедливость этого. Не раз я предупреждал фирмы с программами вознаграждений о серьезных или критических уязвимостях, только чтобы они игнорировали риски месяцами или даже годами. Я полностью понимаю разочарование, которое может заставить молодого или наивного исследователя безопасности в такой ситуации просто обогатиться своими знаниями — разыграть «Во все тяжкие» и превратиться из «белого» шерифа в «черного» грабителя банков.

Смотрите также:DeFi нужны хакеры, чтобы стать неуязвимым | Мнение (2021)

CORE проблема заключается в том, что проекты, предлагающие вознаграждения, имеют множество стимулов выплачивать их как можно реже и дешевле. Очевидно, что есть финансовые затраты, но вы удивитесь, как часто команда будет отрицать серьезность сообщенной ошибки просто для защиты собственной репутации, оставляя пользователей в постоянном риске. Это отрицание может принимать различные формы, например, объявление ошибок «вне сферы действия» объявленной награды. Иногда тонкокожие разработчики даже угрожают судебным преследованием исследователям, которые правильно обратились к ним с серьезными ошибками.

Для исследователя может быть невероятно неприятно тратить бесконечные часы на погоню за «наградой за ошибки», а потом их открытия будут отвергнуты или даже обращены против них. Сделать что-то разрушительное, например, украсть кучу денег, может даже показаться разумным способом получить результаты, когда вас игнорируют. Это извращенная логика, стоящая за попытками Ави Айзенберга позиционировать свою кражу как «награду за ошибки» — потеря 47 миллионов долларов — это довольно большой толчок к устранению уязвимости.

Слишком часто я вижу, как блокчейн-проекты в значительной степени или даже исключительно полагаются на сочетание программ вознаграждений и внутреннего контроля безопасности. А это рецепт катастрофы.

Разочарование некоторых охотников за головами неразрывно связано с другим недостатком программ вознаграждения за ошибки: они, как правило, приглашают много бесполезных сообщений. На каждое сообщение о настоящей ошибке проект может получить десятки или даже сотни сообщений, которые никуда T приведут. Команда может честно проигнорировать высококачественные сообщения, просеивая весь этот хлам. В более общем плане поиск иголки в стоге сена программ вознаграждения за ошибки может отнять у сотрудников столько времени и энергии, что это сведет на нет экономию средств, которую, как может показаться, может предложить программа вознаграждения за ошибки.

Bug bounty также являются уникальными рисками для блокчейн-проектов в нескольких отношениях. В отличие, скажем, от приложения для iPhone, трудно полностью протестировать инструмент на основе блокчейна до того, как он будет фактически развернут. Основные программные проекты часто позволяют охотникам за ошибками пытаться сломать предпроизводственные версии программного обеспечения, но в Криптo уязвимости могут возникать из-за взаимодействия системы с другими продуктами в цепочке.

Например, взлом Mango Айзенберга опирался на ценовые оракулы, и его было бы трудно или невозможно смоделировать в тестовой среде. Это может заставить охотников за головами пробовать атаки на те же системы, где реальные пользователи ставят на карту деньги, и подвергать эти реальные деньги риску.

Меня также беспокоит тот факт, что так много программ вознаграждений за блокчейн допускают анонимные заявки, которые гораздо реже встречаются в мейнстримной кибербезопасности. Некоторые даже распределяют вознаграждения без проверки личности; то есть они понятия не имеют, кому они платят вознаграждение.

Смотрите также:Называя взлом эксплойтом, мы минимизируем Human ошибку | Мнение (2022)

Это представляет собой действительно зловещее искушение: кодеры проекта могут оставить ошибки на месте или даже внести критические ошибки, а затем позволить анонимному другу «найти» и «сообщить» об ошибках. Инсайдер и охотник за ошибками могут затем разделить вознаграждение, что будет стоить проекту больших денег, не сделав никого безопаснее.

Вам нужен шериф, а не охотник за головами.

Несмотря на все это, вознаграждения за ошибки все еще играют свою роль в безопасности блокчейна. Основная идея предложения вознаграждения для привлечения огромного разнообразия талантов, которые попытаются взломать вашу систему, по-прежнему сильна. Но слишком часто я вижу, как проекты блокчейна в значительной степени или даже исключительно полагаются на сочетание программ вознаграждений и внутреннего надзора за безопасностью. А это рецепт катастрофы.

В конце концов, есть причина, по которой охотники за головами в фильмах так часто являются морально неоднозначными «серыми шляпами» — вспомните BOBA Фетта, «Человека без имени» Клинта Иствуда или доктора Кинга Шульца из «Джанго освобожденного». Они наемники, работающие ради одноразовой платы и печально известные безразличием к общей картине проблемы, которую они решают. На самом дальнем конце спектра вы можете увидеть Ави Айзенберга, который жаждет прикрыться «наградой за насекомых», хотя на самом деле они сами являются злодеями.

Вот почему охотники за головами старого образца в конечном итоге отчитывались перед шерифом, у которого есть долгосрочные обязательства перед людьми, которых он защищает, и который следит за тем, чтобы все играли по правилам. В терминах кибербезопасности роль шерифа играют профессиональные рецензенты кода — люди, которым нужно защищать публичную репутацию, и которые получают деньги независимо от того, что они обнаружат. Рецензия внешней фирмы также смягчает ошибочный защитный импульс внутренних разработчиков, которые могут отвергнуть реальные ошибки, чтобы защитить свою собственную репутацию. А специалисты по безопасности блокчейна часто могут предвидеть виды финансовых взаимодействий, которые погубили Mango Рынки, еще до того, как на кону окажутся реальные деньги.

Подавляющее большинство охотников за ошибками, если говорить точнее, действительно пытаются поступать правильно. Но у них так мало власти в рамках правил этой системы, что неудивительно, что некоторые из них в итоге начинают злоупотреблять своими открытиями. Мы T можем нормализовать такое поведение, давая эксплуататорам вроде Ави Айзенберга печать одобрения, подразумеваемую наградой «баунти» — и проекты, которые действительно заботятся о безопасности своих пользователей, T должны оставлять это в руках толпы.

Смотрите также:Огл ловит Криптo мошенников