Вашему Крипта нужен шериф, а не охотник за головами

18 апреля Ави Айзенберг был признан виновным в мошенничестве за эксплойт Mango Рынки в октябре 2022 года. Дело привлекло особое внимание, поскольку Айзенберг быстро признал, что осуществил атаку стоимостью 110 миллионов долларов, и охарактеризовал свою тактику не как преступление, а как «высокодоходную торговую стратегию», опираясь на свою интерпретацию изречения о том, что «код – это закон».

Стивен Уолбрёл — соучредитель и Технологии директор Halborn, фирмы по кибербезопасности, специализирующейся на блокчейн-компаниях.

Айзенберг также пытался оправдать свою деятельность вторым способом: называя доходы «наградой за обнаружение ошибок» или вознаграждением за обнаружение уязвимости. Именно так стороны охарактеризовали сделку , по которой Айзенберг вернул Mango около $67 млн, но оставил себе оставшиеся $47 млн ​​в обмен на обещание не выдвигать обвинения. Это сделало бы это крупнейшей наградой за обнаружение ошибок в истории .

Я работаю профессионалом в области кибербезопасности уже 15 лет и сам занимался поиском ошибок. Так что поверьте мне, когда я говорю: вознаграждение за обнаружение ошибок работает не так.

Руководство Mango позже дезавуировало соглашение с Айзенбергом, по понятным причинам заявив, что сделка была заключена под давлением . Суды также T восприняли всерьез формулировку «награды» . Это хорошо, потому что идея о том, что вор может просто вернуть часть своей добычи и внезапно стать героем, создает опасные стимулы.

Но этот инцидент также иллюстрирует, почему даже надлежащие вознаграждения за обнаружение ошибок вызывают споры среди экспертов по кибербезопасности. Хотя они имеют свое место в комплексном подходе к безопасности, они могут просто создать иллюзию безопасности, если использоваться изолированно. Хуже того, они могут создавать извращенные мотивы и вражду, которые увеличивают риск, а не снижают его. – особенно для Крипта и блокчейн-проектов.

«Задним числом вознаграждение за обнаружение ошибок» или старый добрый «шантаж»?

Многие другие Крипта вернули средства после их получения, например, в атаках POLY Network и Euler Финансы . Это уникальный Крипта , который некоторые называют «ретроактивным вознаграждением за обнаружение ошибок». В расплывчатом принципе идея заключается в том, что злоумышленники нашли уязвимость в системе и что деньги, которые они получают, являются справедливым вознаграждением за их Истории. Однако на практике эти инциденты больше похожи на переговоры о захвате заложников, когда жертвы надеются уговорить или оказать давление на нападавшего, чтобы тот вернул деньги.

Я T одобряю захват хакерами финансовых заложников, но, как бывший охотник за головами, я T могу отказать этому в определенной поэтической справедливости. Я не раз предупреждал компании, проводящие программы вознаграждений, о серьезных или критических уязвимостях только для того, чтобы они игнорировали или игнорировали риски в течение месяцев или даже лет. Я могу полностью понять разочарование, которое может заставить молодого или наивного исследователя безопасности в такой ситуации просто обогатиться своими знаниями – сделать «Во все тяжкие» и превратиться из «белого» шерифа в «черного» грабителя банков.

См. также: DeFi нужны хакеры, чтобы стать неуязвимыми | Мнение (2021)

CORE проблема заключается в том, что проекты, предлагающие вознаграждения, имеют множество стимулов выплачивать их как можно реже и как можно дешевле. Очевидно, что это связано с финансовыми затратами, но вы будете удивлены, как часто команда будет отрицать серьезность обнаруженной ошибки просто для того, чтобы защитить свою репутацию, оставляя при этом пользователей постоянным риском. Это отрицание может принимать различные формы, например, объявление ошибок «выходящими за рамки» объявленного вознаграждения. Иногда тонкокожие разработчики даже угрожают судебным иском исследователям, которые правильно обратились к ним с серьезными ошибками.

Для исследователя может быть невероятно неприятно тратить бесконечные часы на поиски «награды за обнаружение ошибок» только для того, чтобы его результаты были отвергнуты или даже обернулись против него самого. Совершение чего-то разрушительного, например, кража больших денег, может даже показаться разумным способом добиться результатов, когда вас игнорируют. Это извращенная логика, лежащая в основе попытки Ави Айзенберга позиционировать свою кражу как «награду за обнаружение ошибок»: потеря 47 миллионов долларов — это довольно большой толчок к устранению уязвимости.

Разочарование некоторых охотников за головами неотделимо от другого недостатка вознаграждений за обнаружение ошибок: они обычно приглашают много T заявок. На каждую настоящую ошибку проект может получить десятки или даже сотни отчетов, которые ни к чему не приведут. Команда могла честно игнорировать высококачественные материалы, просеивая весь этот мусор. В более общем плане поиск иголки в стоге сена по поиску ошибок может отнять у сотрудников так много времени и энергии, что это сводит на нет экономию средств, которую может предложить программа вознаграждений.

Вознаграждения за обнаружение ошибок также представляют уникальный риск для блокчейн-проектов по нескольким причинам. В отличие, скажем, от приложения для iPhone, инструмент на основе блокчейна сложно полностью протестировать до его фактического внедрения. Основные проекты программного обеспечения часто позволяют охотникам за ошибками пытаться взломать предварительные версии программного обеспечения, но в Крипта уязвимости могут возникать в результате взаимодействия системы с другими продуктами в цепочке.

Например, взлом Mango Айзенберга основывался на ценовых оракулах, и его было бы трудно или невозможно смоделировать в тестовой среде. Это может привести к тому, что охотники за головами попытаются атаковать те же системы, где на кону стоят деньги реальных пользователей, и подвергнуть эти реальные деньги риску.

Меня также беспокоит тот факт, что многие программы вознаграждений за блокчейн допускают анонимную отправку заявок, что гораздо реже встречается в основной сфере кибербезопасности. Некоторые даже раздают награды без проверки личности; то есть они понятия не имеют, кому платят награду.

См. также: Называние взлома эксплойтом сводит к минимуму Human ошибку | Мнение (2022)

Это представляет собой действительно зловещий соблазн: программисты проекта могут оставить ошибки на месте или даже внести критические ошибки, а затем позволить анонимному другу «найти» и «сообщить» об ошибках. Затем инсайдер и охотник за ошибками могли бы разделить вознаграждение, что стоило бы проекту больших денег, не делая никого более безопасным.

Вам нужен шериф, а не охотник за головами

Несмотря на все это, вознаграждения за обнаружение ошибок по-прежнему играют важную роль в безопасности блокчейна. Основная идея предложения вознаграждения для привлечения огромного разнообразия талантов, которые попытаются сломать вашу систему, по-прежнему актуальна. Но слишком часто я вижу, что блокчейн-проекты полагаются в значительной степени или даже исключительно на сочетание программ вознаграждений и внутреннего надзора за безопасностью. И это верный путь к катастрофе.

В конце концов, есть причина, по которой охотники за головами в кино так часто оказываются морально двусмысленными «серыми шляпами» – вспомните BOBA Фетта, «Человека без имени» Клинта Иствуда или доктора Кинга Шульца из «Джанго освобожденного». Они наемники, работающие за разовую выплату и общеизвестно безразличные к более широкой картине проблемы, которую они решают. На самом дальнем конце спектра вы можете найти Ави Айзенберга, стремящегося принять прикрытие «награды за ошибки», хотя они сами являются настоящими злодеями.

Вот почему старые охотники за головами в конечном итоге отчитались перед шерифом, у которого есть долгосрочные обязательства перед людьми, которых он защищает, и который следит за тем, чтобы все играли по правилам. С точки зрения кибербезопасности, роль шерифа играют профессиональные рецензенты кода – люди с общественной репутацией, которую нужно защищать, которым платят независимо от того, что они раскрывают. Проверка, проведенная сторонней фирмой, также смягчает ошибочный оборонительный импульс собственных разработчиков, которые могут отказаться от реальных ошибок ради защиты своей репутации. А специалисты по безопасности блокчейна часто могут предвидеть виды финансовых взаимодействий, которые потрошат Mango Рынки, еще до того, как на карту будут поставлены реальные деньги.

Подавляющее большинство охотников за головами, честно говоря, действительно стараются поступать правильно. Но у них так мало власти в рамках правил этой системы, что неудивительно, что некоторые из них злоупотребляют своими открытиями. Мы T можем нормализовать такое поведение, давая эксплуататорам, таким как Ави Айзенберг, печать одобрения, подразумеваемую наградой «награда» – и проекты, которые действительно заботятся о безопасности своих пользователей, T должны оставлять ее в руках толпы.

См. также:Ogle ловит Крипта мошенников