Facebook 
Pinterest Kriptų klaidų gausa – geriausias būdas užtikrinti platformos saugumą?
Kripto kompanijos dažnai sužino sunkų kelią, kad įsilaužėliai geriau nei jie žino savo saugumo sistemas. Kadangi įsilaužimai kriptografiniame pasaulyje gali ir dažnai vogia šimtus milijonų dolerių vertės žetonų, įmonės ateities likimas dažnai gali nulemti jos saugumo priemones. Siekdamos užversti liukus, įmonės siūlo daugybę klaidų.
Šie pinigai iš esmės yra varžybos, kuriose įsilaužėliai raginami bandyti pakenkti programinei įrangai. Tada įsilaužėliai pateikia pažeidžiamumo ataskaitą atitinkamoms įmonėms, kad jos galėtų ištaisyti klaidas prieš jas išnaudojant. Už atlygį sėkmingiems įsilaužėliams mokama premija.
Dauguma kompanijų siūlo daugybę dovanų, kurių atlygio kaina atitinka klaidos sunkumą. Dovanos prasideda nuo maždaug 50 USD iki 100 USD už žemo lygio pataisymus ir paprastai yra maždaug 10 000 USD už kritines klaidas. Keliais retais atvejais įsilaužėliams buvo suteikta daugiau apdovanojimų.
Katie Moussouris, „Luta Security“ įkūrėja ir generalinė direktorė, paleidusi „Microsoft“ ir pirmąsias „Pentagon“ klaidas, paaiškino „Cointelegraph“, kaip klaidų atlygio schemos gali būti naudingos:
„Klaidų gausa yra naudingiausia ir efektyviausia papildant aktyvią saugumo veiklą, pirmiausia nukreiptą į pažeidimų prevenciją ir aptikimą organizacijose. Organizacijoms nustačius gerą saugumo praktiką, klaidų gausa gali padėti nustatyti saugos klaidas, kurių organizacijos praleido. Nepakanka vien tik klaidų.
Dauguma programinę įrangą kuriančių bendrovių turi klaidų. Šifravimo pasaulyje tokių programų poreikis yra vienodai svarbus, neatsižvelgiant į įmonės dydį. Pasak a ataskaita atliko „HackerOne“, įmonės 2023 m. sumokėjo 878 000 USD už klaidas. Guido Vrankenas, olandų tyrėjas, kuris gavo iš „EOS“ išmokėjus 120 000 USD išmoką per septynias dienas atradus 12 klaidų, „Cointelegraph“ sakė, kad kriptografijos kompanijų akcijų paketas yra didelis:
„Dėl pasaulinės skaitmeninės valiutos, be abejo, yra daug daugiau pavojų nei daugelyje kitų projektų ar svetainių. Turto vagystė yra pats apčiuopiamas pavyzdys, tačiau dėl viešumo ir valiutų kursų sinergijos grynieji nuostoliai taip pat gali atsirasti dėl plačiai paskelbto pažeidžiamumo “.
Vienas naujausių klaidų yra iš pasaulinės pranešimų programėlės „Telegram“. Rugsėjo 24 d. „Telegram Contests“ kanale paskelbta bendrovė ragina kūrėjus išnaudoti „TON blockchain“ ir pateikti pažeidžiamumo ataskaitą.
Jei įsilaužėliai gali išnaudoti „TON blockchain“ klaidą tiek, kiek sugeba pavogti lėšų iš kito vartotojo piniginės, „Telegram“ išmokės iki 200 000 USD – sumą, atitinkančią kritinę „Augur“ problemą. premija kaip vieną didžiausių atlygių kriptografijos istorijoje. Konkursas vyksta karštai laukiamo „Telegram“ vietinio skaitmeninio žetono „Gram“ paleidimo spalio pabaigoje..
EOS užima aukščiausią vietą
Nors yra viliojanti mintis, kad mažesnės, naujesnės įmonės gali būti aktyviausios teikdamos klaidas, EOS kompanija „Block.one“ užėmė pirmąją vietą 2023 m. Už premijas už 534 500 USD, išmokėdama 60% visų tų metų premijų. , teigiama pranešime.
Pasak EOS profilis „HackerOne“ kompanija už mažos rizikos ataskaitą mokės ne daugiau kaip 1 000 USD, o už kritinę ataskaitą – 10 000 USD. Profilyje taip pat pažymima, kad galutinė suma visada sprendžiama atlygio komisijos nuožiūra, o didesni atlygiai skiriami už išskirtinius pažeidžiamumus.
Po to, kai 2023 m. Gegužės mėn. Buvo paleista „EOS Bounty“ programa, „Vranken“ paaiškino kaip įmonė sugriežtino požiūrį į saugumą po savo atradimų:
„Praneštos klaidos buvo greitai išanalizuotos ir pašalintos jų viešojoje saugykloje. Iš pradžių procesas buvo labai ad-hoc, nes su [EOS CTO] Danielis Larimeris siuntėme failus pirmyn ir atgal į „Telegram“, tačiau nuo tada jie pradėjo vykdyti „HackerOne“ klaidų gausos programą, kuri, manau, yra svarbiausia. tiek klaidų ieškotojai, tiek EOS komanda “.
2023 m. EOS ir toliau mokėjo įsilaužėliams atlyginimus, dalindama klaidų dovanas už penkis kritinius pažeidžiamumus. Sausio 10 d. „EOS“ per „HackerOne“ paskyrė penkis baltų kepurių įsilaužėlius iš viso 40 750 USD, o kitas tyrėjas gavo dar 10 000 USD premiją.
„Coinbase“ yra antra pagal dydį išlaidų suma
Viena didžiausių pasaulyje kriptovaliutų biržų „Coinbase“ yra antra pagal dydį lėšų išleidimo priemonė, iš viso 2023 m. Skyrusi 290 381 USD. Bendrovė patyrė daugybę didelio masto problemų, nes 2023 m. Viduryje pastebimai padidėjo vartotojų, dėl to vėluoja arba trūksta lėšų, taip pat nutrūksta paslaugų teikimas.
Bendrovė 2023 m. Vasario mėn. Išplatino dar 30 000 USD atlygį už pranešimą apie kritinę klaidą, pagal į „Coinbase“ pažeidžiamumo atskleidimo programą. Tuo metu klaida uždirbo didžiausią visų laikų apdovanojimą platformoje, nors klaidos detalės nebuvo viešai paskelbtos. „Coinbase“ vykdo keturių pakopų premijų programą, kurioje mokės 200 USD už mažos rizikos atvejį, 2000 USD už vidutinio lygio emisiją ir iki 50 000 USD už kritines klaidas..
Pagal „Coinbase“ „HackerOne“ profilį, kritinio poveikio išnaudojimas apima situaciją, kai užpuolikai „gali skaityti ar modifikuoti sistemoje esančius neskelbtinus duomenis, vykdyti sistemoje savavališką kodą arba kaip nors išfiltruoti skaitmeninę ar fiat valiutą“.
Susijęs: „Monero“ ataskaitos apie padirbtų XMR kalimo klaidų pašalinimą per mėnesį po taisymo
Bendrovė taip pat išdėstė gaires, kaip įvertinti nedidelio poveikio problemas: „Užpuolikai gali gauti nedidelį kiekį neteisėtos, mažai jautrios informacijos, turinčios įtakos vartotojų pogrupiui, arba šiek tiek paveikti sistemos tikslumą ir našumą“.
Kalbant apie problemų, apie kurias pranešta, šalinimą, įmonė turi lėtą įsisavinimą. Po to, kai olandų kompanija atrado sumanių sutarčių nesklandumą, leidusį vartotojams vogti „kiek tik nori“ Ethereum (ETH), pranešama, kad „Coinbase“ užtruko mėnesį. „Coinbase“ sumokėjo 10 000 USD atlygį kompanijai, kuri buvo atradusi šią kompaniją.
Tronas užima trečią vietą
„TRON“ fondas, esantis už TRX monetos, buvo trečias pagal dydį išleidęs klaidas, iš viso išleidęs 78 800 USD už 15 ataskaitų. Šiuo metu bendrovė iš viso sumokėjo 85 400 USD už dujas, o didžiausia – 10 000 USD – skirta „HackerOne“ vartotojui nu11pe už neatskleistą ataskaitą.
Bendrovės bounty programa mokės 100 USD už mažos rizikos pažeidžiamumą, 3000 USD už vidutinės rizikos, 6000 USD už didelės rizikos ir iki 10 000 USD už kritines problemas. Trono „HackerOne“ profilis apibūdina kritiniai gedimai kaip „klaidos, kurios gali valdyti„ java-tron “mazgus nuotoliniu būdu vykdydami bet kurį kodą“, taip pat tie, kurie gali sukelti privataus rakto nutekėjimą.
Gegužę bendrovė atskleidė kritinį pažeidžiamumą, kuris galėjo sumažinti jo „blockchain“. Skelbime apie „HackerOne“ teigiama, kad užpuolikas galėjo užimti visą turimą atmintį, nors paskirstytas paslaugų atsisakymas arba DDoS užpuolė TRX tinklą, įdiegdamas kenkėjišką kodą išmanioje sutartyje..
Bendrovė pridūrė, kad vienas asmuo gali įvykdyti DDoS ataką naudodamas vieną mašiną, kad užpultų visus arba 51% vyresniojo mazgo ir tokiu būdu padarytų tinklą netinkamu naudoti. Nors apie klaidą buvo pranešta sausio 14 d., Ji buvo viešai paskelbta tik po to, kai ji jau buvo ištaisyta. Pažeidžiamumo tyrėjui buvo paskirta 1 500 USD.
Bug bounties nėra tobula sistema
Nors „bug bounty“ programos akivaizdžiai sukuria sveiką aplinką, kurioje įmonės apdovanoja etinius įsilaužimus į savo sistemas, ši koncepcija nėra be kritikų. Visai neseniai garsus kripto veikėjas Dovey Wanas kritikavo „Telegram“ sprendimą atverti savo išmaniosios sutarties plėtrą. Wanas pasirodė kritikuoti įvykis yra pavyzdys, kai įmonė nesugebėjo reinvestuoti į savo programinės įrangos kūrimo procesus, sakydama:
„Atsiprašau, bet projektas, surinkęs daugiau nei milijardą, su daugiau nei 500 mm vartotojais net negali tinkamai padaryti pagrįsto bloko tyrinėtojo? Turiu abejoti, koks yra šio „TON“ tinklo prioritetas „Telegram“ komandoje ir kaip jie panaudos savo mega lobį su kriptografija susijusiems dalykams “.
„Luta Security“ generalinė direktorė Katie Moussouris „Cointelegraph“ teigė, kad nors klaidų gausa yra veiksminga siekiant atkreipti dėmesį į svarbias esamų saugumo struktūrų spragas, jos nepakeičia specialaus saugumo proceso:
„Įmonės negali naudoti klaidų dovanų kaip pigios alternatyvos kruopščiam saugumo patikrinimui. Paprasčiausiai paprašyti nepažįstamų žmonių atkreipti dėmesį į trūkumus, nesugebant jų pašalinti, yra vienas iš būdų, kaip perdėti klaidų gausą, gali greitai užvaldyti organizacijas “.
Vrankenas išdėstė savo nuomonę „Cointelegraph“, kad, remdamasis savo tyrėjo patirtimi, kriptografijos įmonė, turinti klaidų gausos programą, nurodo, kad įmonei galima pasitikėti:
„Aš greičiau pasitikėčiau kriptovaliutos projektu, kuriame yra tinkamai veikianti„ Bounty “programa, nei tuo, kuris neturi. Šią poziciją formuoja mano, kaip mokslininko, patirtis ir supratau, kad net ir plačiai naudojama programinė įranga nebūtinai yra rimtai tikrinama jos kodo be tinkamų paskatų “.
Vrankenas pridūrė, kad be klaidų kurti programinę įrangą yra be galo sunku, nesvarbu, koks talentas ar kokia pinigų suma būtų pateikta:
„Jei ne kas kita,„ bug bounty “programa sukuria oficialų kanalą pranešti apie klaidas ir rodo priešiškumą tyrėjams, žadėdama įvertinti jų darbą (per finansinę kompensaciją).
Dabartinė „bug bounty“ sistema remiasi įsilaužėliais, kurie elgiasi atsakingai arba dėl moralinio polinkio, arba dėl siūlomo atlygio. Nors gali pasirodyti įmanoma, kad įsilaužėliai galėtų išsilaikyti daugiau pinigų, nei buvo skelbiama schemoje, arba parduoti trūkumų informaciją konkurentams, Moussourisas teigė, kad tokios informacijos paklausa nėra tokia didelė, kaip daugelis suvokia:
„Nėra begalinių klaidų pirkėjų, kurie laukia, kol nusipirks kiekvieną klaidą – tai yra dažnas mitas. Tačiau kriptovaliuta tikriausiai yra daugiau klaidų pirkėjų nei kitose srityse. Beje, jei klaidų medžiotojai teikia pirmenybę pelnui, jie gali labai gerai pasinaudoti, o ne parduoti kriptovaliutoje esančias klaidas, kad gautų tiesioginį pelną “.
Nors tiek kriptovaliutų, tiek programinės įrangos kompanijų reklamuojamas atlygis visame pasaulyje gali susidaryti įspūdį, kad klaidų dovanų ieškojimas gali pasiūlyti pelningą karjerą, realybė yra ta, kad konkurencija yra didelė ir prieiga nėra tolygiai padalyta. Moussourisas „Cointelegraph“ paaiškino, kad tie, kurie yra kviečiami į privačias klaidų gausas, dažnai turi konkurencinį pranašumą:
„Paprastai neatlygintinai daug darbo tenka, ypač jei medžiotojo žinomos klaidų rūšys yra gana paplitusios klaidų klasės. Užmokestį gauna tik pirmasis asmuo, pranešęs apie tam tikrą pažeidžiamumą, todėl sėkmingiausi blakių premijų medžiotojai dažniausiai būna kviečiami į privačias klaidų premijas, kuriose yra mažiau konkurentų “.
„Vranken“ klaidų apdovanojimų medžioklė yra mišrus maišas, nes atlygis ne visada sutampa su projektu įdėtu laiku:
„Palyginti su sutartiniu darbu, kuriame iš anksto numatomos pastangos ir atlygis, klaidų gausa gali pakilti (kai susiduriate su daugybe klaidų, už kurias gausiai atlyginama) arba apmaudu (praleisti daug laiko kažkam nepasiekus rezultatų arba gauti mažesnį atlygį atlygio, nei tikėjotės). “