Вашому Крипто потрібен шериф, а не мисливець за головами

18 квітня Аві Айзенберга визнали винним у шахрайстві за його вторгнення в Mango Ринки у жовтні 2022 року. Справа привернула особливу увагу, оскільки Айзенберг швидко визнав, що здійснив атаку на 110 мільйонів доларів, і охарактеризував свою тактику не як злочин, а як «високоприбуткову торгову стратегію», спираючись на своє тлумачення вислови, що «код є законом».

Стівен Валброль є співзасновником і головним Технології директором Halborn, фірми з кібербезпеки, що спеціалізується на блокчейн-компаніях.

Айзенберг також намагався виправдати свою діяльність іншим способом: представивши виручку як «нагороду за помилку» або винагороду за виявлення вразливості. Так сторони охарактеризували угоду , за якою Айзенберг повернув близько 67 мільйонів доларів Mango, але залишив собі решту 47 мільйонів доларів в обмін на обіцянку не висувати звинувачення. Це зробило б найбільшу винагороду за помилку в історії .

Я займаюся кібербезпекою 15 років і сам займався пошуком винагород за помилок. Тож повірте мені, коли я кажу: винагороди за помилок не працюють так.

Керівництво Mango пізніше дезавуювало угоду з Айзенбергом, зрозуміло заявивши, що угода була укладена під тиском . Суди також T сприйняли всерйоз обговорення «баунті» . Це добре, тому що думка про те, що злодій може просто повернути частину своєї здобичі і раптово стати героєм, створює небезпечні стимули.

Але цей інцидент також показує, чому експерти з кібербезпеки викликають суперечки навіть щодо належних винагород за помилки. Хоча вони займають своє місце в комплексному підході до безпеки, вони можуть лише створити ілюзію безпеки, якщо використовувати їх ізольовано. Гірше того, вони можуть створити збочені мотиви та погану кров, що збільшує ризик, замість того, щоб його пом’якшувати – особливо для Крипто і блокчейн-проектів.

Багато інших Крипто зловмисників повернули кошти після їх заволодіння, наприклад, під час атак на POLY Network і Euler Фінанси . Це унікальний Крипто , який деякі називають «ретроактивними винагородами за помилки». У невизначеному принципі ідея полягає в тому, що зловмисники знайшли вразливість у системі, і що гроші, які вони беруть, є справедливою винагородою за їх Цікаве. Однак на практиці ці інциденти більше нагадують переговори щодо захоплення заручників, коли жертви сподіваються умовити або натиснути на нападника, щоб той повернув гроші.

Я T схвалюю хакерів, які беруть фінансові заручники, але, як колишній мисливець за головами за помилками, я T можу відмовити цьому в певній поетичній справедливості. Неодноразово я повідомляв фірми з програмами винагороди про серйозні або критичні вразливості, але змушував їх відкидати або ігнорувати ризики протягом місяців або навіть років. Я цілком розумію розчарування, яке може змусити молодого чи наївного дослідника безпеки в такій ситуації просто збагатитися своїми знаннями – зробити Breaking Bad і перетворитися з шерифа в «білому капелюсі» в грабіжника банків у «чорному капелюсі».

Дивіться також: DeFi потрібні хакери, щоб стати неможливим для злому | Погляди (2021)

CORE проблема полягає в тому, що проекти, які пропонують бонуси, мають багато стимулів виплачувати їх якомога рідше та якомога дешевше. Очевидно, що є фінансові витрати, але ви здивуєтеся, як часто команда буде заперечувати серйозність повідомленої помилки просто для того, щоб захистити власну репутацію, залишаючи користувачів на постійний ризик. Ця відмова може приймати різні форми, наприклад оголошення помилок «поза межами» для опублікованої нагороди. Іноді тонкошкірі розробники навіть погрожують судовим позовом дослідникам, які належним чином звернулися до них із серйозними помилками.

Для дослідника може бути неймовірно розчаровано витрачати нескінченні години на «винагороду за помилку» лише для того, щоб їхні висновки були відхилені або навіть повернуті проти них. Зробити щось деструктивне, наприклад, вкрасти багато грошей, може навіть здатися розумним способом отримати результат, коли вас ігнорують. Це спотворена логіка, за якою Аві Айзенберг намагається позиціонувати свою крадіжку як «винагороду за помилку» – втрата 47 мільйонів доларів є досить серйозним поштовхом для усунення вразливості.

Розчарування деяких мисливців за головами невід’ємне від ще одного недоліку винагород за помилок: зазвичай вони запрошують багато матеріалів, які T є корисними. За кожне повідомлення про справжню помилку проект може отримати десятки чи навіть сотні повідомлень, які нікуди не приведуть. Команда могла б відверто не помітити високоякісні матеріали, просіюючи весь цей шлак. Загалом, пошук голки в стозі винагороди за помилок може забрати стільки часу та енергії співробітників, що компенсує економію коштів, яку може запропонувати програма винагороди.

Винагороди за помилки також надзвичайно ризиковані для блокчейн-проектів у кількох аспектах. На відміну, скажімо, від програми для iPhone, важко повністю протестувати інструмент, заснований на блокчейні, до його фактичного розгортання. Основні проекти програмного забезпечення часто дозволяють шукачам помилок намагатися зламати попередні версії програмного забезпечення, але в Крипто уразливості можуть виникати під час взаємодії системи з іншими продуктами в мережі.

Наприклад, хак Mango Айзенберга покладався на оракули цін, і його було б важко або неможливо змоделювати в тестовому середовищі. Це може змусити мисливців за головами спробувати атаки на ті самі системи, де реальні користувачі мають на кону гроші, і поставити ці реальні гроші під загрозу.

Мене також непокоїть той факт, що так багато блокчейн-баунті програм дозволяють анонімні подання, що набагато рідше зустрічається в кібербезпеці. Деякі навіть роздають винагороди без перевірки особи; тобто вони поняття не мають, кому платять винагороду.

Дивіться також: Називаючи хак експлойтом, мінімізує Human помилку | Погляди (2022)

Це створює справді зловісну спокусу: кодери проекту можуть залишити помилки на місці або навіть запровадити критичні помилки, а потім дозволити анонімному другу «знайти» та «повідомити» про помилки. Інсайдер і мисливець за помилками могли б розділити винагороду за баунті, коштуючи проекту великих грошей, не забезпечуючи нікого в безпеці.

Незважаючи на все це, винагороди за помилки все ще відіграють важливу роль у безпеці блокчейну. Основна ідея пропонувати винагороду за залучення великої різноманітності талантів, щоб спробувати зламати вашу систему, все ще є твердою. Але надто часто я бачу блокчейн-проекти, які значною мірою або навіть виключно покладаються на поєднання програм баунті та внутрішнього нагляду за безпекою. І це рецепт катастрофи.

Зрештою, є причина того, що мисливці за головами у фільмах часто є морально неоднозначними «сірими капелюхами» – згадайте BOBA Фетта, «Людину без імені» Клінта Іствуда чи доктора Кінга Шульца з «Джанго звільненого». Вони найманці, готові отримати одноразову винагороду, і, як відомо, байдужі до загальної картини проблеми, яку вони вирішують. На самому дальньому кінці спектру ви можете отримати Аві Айзенберга, який прагне прийняти обкладинку «нагороди за помилок», хоча вони самі є справжніми лиходіями.

Ось чому колишні мисливці за головами зрештою звітували перед шерифом, який має довгостроковий обов’язок перед людьми, яких він захищає, і стежить за тим, щоб усі грали за правилами. З точки зору кібербезпеки, роль шерифа виконують професійні рецензенти коду – люди з публічною репутацією, яких потрібно захищати, які отримують гроші незалежно від того, що вони виявляють. Огляд зовнішньої фірми також пом’якшує помилковий захисний імпульс внутрішніх розробників, які можуть відхиляти справжні помилки, щоб захистити власну репутацію. І спеціалісти з блокчейн-безпеки часто можуть передбачити види фінансових взаємодій, які знищили Mango Ринки, ще до того, як на кону будуть реальні гроші.

Щоб було зрозуміло, переважна більшість мисливців за головами за помилками справді намагаються діяти правильно. Але вони мають так мало влади в рамках правил цієї системи, що не дивно, що деякі з них зловживають своїми висновками. Ми T можемо нормалізувати таку поведінку, надавши таким експлуататорам, як Аві Айзенберг, печатку схвалення, яку передбачає нагорода «баунті», і проекти, які дійсно піклуються про безпеку своїх користувачів, T повинні залишати це в руках натовпу.

Дивіться також:Ogle ловить Крипто