Su proyecto Cripto necesita un sheriff, no un cazarrecompensas

El 18 de abril, Avi Eisenberg fue declarado culpable de fraude por su hazaña en Mango Mercados en octubre de 2022. El caso ha llamado especialmente la atención porque Eisenberg rápidamente reconoció haber ejecutado el ataque de 110 millones de dólares y caracterizó sus tácticas no como un delito, sino como una “estrategia comercial altamente rentable”, apoyándose en su interpretación del dicho de que “el código es ley”.

Steven Walbroehl es cofundador y director de Tecnología de Halborn, una empresa de ciberseguridad especializada en empresas blockchain.

Eisenberg también intentó justificar sus actividades de una segunda manera: enmarcando las ganancias como una “recompensa por errores” o una recompensa por identificar una vulnerabilidad. Así caracterizaron las partes un acuerdo en el que Eisenberg devolvió unos 67 millones de dólares a Mango, pero se quedó con los 47 millones restantes, a cambio de la promesa de no presentar cargos. Esto la habría convertido en la mayor recompensa por errores de la historia .

He sido un profesional de la ciberseguridad durante 15 años y yo mismo he buscado recompensas por errores. Créanme cuando digo: así no es como funcionan las recompensas por errores.

Posteriormente, la dirección de Mango desautorizó el acuerdo con Eisenberg, argumentando comprensiblemente que el acuerdo se había hecho bajo coacción . Los tribunales T tomaron en serio el marco de la “recompensa” . Eso es bueno, porque la idea de que un ladrón pueda simplemente devolver parte de su botín y de repente convertirse en un héroe crea incentivos peligrosos.

Pero el incidente también ilustra por qué incluso las recompensas por errores adecuadas son controvertidas entre los expertos en ciberseguridad. Si bien tienen su lugar en un enfoque de seguridad integral, pueden simplemente crear una ilusión de seguridad si se usan de forma aislada. Peor aún, pueden crear motivos perversos y rencor que aumentan el riesgo en lugar de mitigarlo. – especialmente para proyectos de Cripto y blockchain.

Muchos otros Cripto han devuelto fondos después de tomarlos, por ejemplo en los ataques a POLY Network y Euler Finanzas . Es un fenómeno Cripto exclusivo que algunos han llamado "recompensas por errores retroactivos". En un principio vago, la idea es que los atacantes han encontrado una vulnerabilidad en un sistema y que el dinero que reciben es de alguna manera una recompensa justa por su Explora. En la práctica, sin embargo, estos incidentes se parecen más a negociaciones con rehenes, en las que las víctimas esperan engatusar o presionar al atacante para que devuelva el dinero.

No apruebo que los hackers tomen rehenes financieros, pero como ex cazador de recompensas, no puedo negarle cierta justicia poética. Más de una vez, he alertado a empresas con programas de recompensas sobre vulnerabilidades graves o críticas, sólo para que desestimen o ignoren los riesgos durante meses, o incluso años. Puedo entender perfectamente la frustración que podría llevar a un investigador de seguridad joven o ingenuo en esa situación a simplemente enriquecerse con sus conocimientos: hacer un Breaking Bad y pasar de sheriff de “sombrero blanco” a ladrón de bancos de “sombrero negro”.

Ver también: DeFi necesita que los piratas informáticos se vuelvan inhackeables | Opinión (2021)

Un problema CORE es que los proyectos que ofrecen recompensas tienen muchos incentivos para pagarlas con la menor frecuencia y el menor costo posible. Obviamente, existen costos financieros, pero le sorprendería saber con qué frecuencia un equipo niega la gravedad de un error reportado simplemente para proteger su propia reputación, mientras deja a los usuarios en riesgo continuo. Esa negación puede adoptar numerosas formas, como declarar errores "fuera del alcance" de una recompensa publicada. A veces, los desarrolladores de piel fina incluso amenazan con emprender acciones legales contra los investigadores que se han acercado adecuadamente a ellos con errores graves.

Puede ser increíblemente frustrante para un investigador dedicar horas interminables a la búsqueda de una “recompensa por errores”, sólo para que sus hallazgos sean descartados o incluso vueltos en su contra. Hacer algo destructivo, como robar mucho dinero, puede incluso parecer una forma razonable de obtener resultados cuando te han ignorado. Esa es la lógica retorcida detrás de Avi Eisenberg tratando de posicionar su robo como una “recompensa por errores”: perder 47 millones de dólares es un empujón bastante grande para solucionar una vulnerabilidad.

La frustración de algunos cazarrecompensas es inextricable de otra deficiencia de las recompensas por errores: generalmente invitan a muchos envíos que no son útiles. Por cada error genuino reportado, un proyecto podría recibir docenas o incluso cientos de informes que no conducen a ninguna parte. Honestamente, un equipo podría pasar por alto presentaciones de alta calidad mientras analiza toda esa basura. En términos más generales, buscar una aguja en el pajar de las recompensas por errores puede consumir tanto tiempo y energía del personal que contrarresta los ahorros de costos que un programa de recompensas podría parecer ofrecer.

Las recompensas por errores también son excepcionalmente riesgosas para los proyectos blockchain en varios sentidos. A diferencia de, por ejemplo, una aplicación para iPhone, es difícil probar completamente una herramienta basada en blockchain antes de que se haya implementado. Los proyectos de software convencionales a menudo permiten que los cazadores de errores intenten romper las versiones de software de preproducción, pero en Cripto, las vulnerabilidades pueden surgir de las interacciones de un sistema con otros productos en cadena.

El truco Mango de Eisenberg, por ejemplo, se basó en oráculos de precios y habría sido difícil o imposible de simular en un entorno de prueba. Esto puede hacer que los cazarrecompensas prueben ataques en los mismos sistemas donde usuarios reales tienen dinero en juego, y pongan en riesgo ese dinero real.

También me preocupa el hecho de que tantos programas de recompensas de blockchain permitan envíos anónimos, que son mucho más raros en la ciberseguridad convencional. Algunos incluso distribuyen recompensas sin controles de identidad; es decir, no tienen idea de a quién le están pagando la recompensa.

Ver también: Llamar a un hack un exploit minimiza el error Human | Opinión (2022)

Esto presenta una tentación realmente siniestra: los codificadores de un proyecto pueden dejar errores en su lugar, o incluso introducir errores críticos, y luego dejar que un amigo anónimo "encuentre" e "informe" los errores. El informante y el cazador de errores podrían luego dividir la recompensa, lo que le costaría mucho dinero al proyecto sin hacer que nadie estuviera más seguro.

A pesar de todo esto, las recompensas por errores todavía tienen un papel que desempeñar en la seguridad de blockchain. La idea básica de ofrecer una recompensa para atraer una enorme diversidad de talentos que intenten romper su sistema sigue siendo sólida. Pero con demasiada frecuencia veo proyectos de blockchain que dependen en gran medida o incluso exclusivamente de una combinación de programas de recompensas y supervisión interna de seguridad. Y esa es una receta para el desastre.

Después de todo, hay una razón por la que los cazarrecompensas en las películas son a menudo "sombreros grises" moralmente ambiguos: piense en BOBA Fett, "El hombre sin nombre" de Clint Eastwood o el Dr. King Schulz de "Django desencadenado". Son mercenarios, están ahí para recibir un pago único y notoriamente indiferentes al panorama más amplio del problema que están resolviendo. En el extremo más alejado del espectro, puedes encontrar a un Avi Eisenberg, ansioso por adoptar la fachada de una “recompensa por errores” cuando ellos mismos son los verdaderos villanos.

Es por eso que los cazarrecompensas de antaño finalmente se presentaron ante un sheriff, quien tiene un deber a largo plazo para con las personas a las que protege y se asegura de que todos sigan las reglas. En términos de ciberseguridad, el papel de sheriff lo desempeñan revisores de códigos profesionales: personas con una reputación pública que proteger, a quienes se les paga independientemente de lo que descubran. Una revisión realizada por una empresa externa también mitiga el impulso defensivo equivocado de los desarrolladores internos que podrían rechazar errores reales para proteger su propia reputación. Y los especialistas en seguridad de blockchain a menudo pueden prever los tipos de interacciones financieras que destruyeron Mango Mercados, antes de que hubiera dinero real en juego.

Para ser claros, la gran mayoría de los cazarrecompensas de errores realmente están tratando de hacer lo correcto. Pero tienen tan poco poder dentro de las reglas de ese sistema que no sorprende que algunos de ellos terminen haciendo un mal uso de sus hallazgos. No podemos normalizar ese comportamiento dando a explotadores como Avi Eisenberg el sello de aprobación que implica una recompensa, y los proyectos que realmente se preocupan por la seguridad de sus usuarios no deberían dejarla en manos de la multitud.

Ver también:Ogle atrapa a los delincuentes Cripto