Facebook 
Pinterest Tentera Penggodam Boleh Membuat Crypto Lebih Selamat, Tetapi Adakah Sudah Selesai?
Dalam dekad yang lalu, penggodaman secara beransur-ansur menjadi karier yang terhormat dan berpotensi bermanfaat berkat pengenalan bug karunia.
Walaupun beberapa organisasi seperti Mozilla melancarkan bug bounties sejak 2004, dorongan utama kepada industri datang ketika Google dan Facebook melancarkan program serupa pada tahun 2010 dan 2011. Tidak lama kemudian, pada tahun 2011 dan 2012, platform seperti Bugcrowd dan HackerOne mengkomersialkan bug karunia untuk memudahkan syarikat lain menyiapkannya.
Bug bounty membayar penyelidik bebas yang menemui dan melaporkan kerentanan yang boleh memberi kesan keselamatan pada sistem atau penggunanya. Salah satu kelemahan yang paling umum adalah serangan yang disebut Cross-Site Scripting (XSS), yang menyuntikkan kod JavaScript berbahaya ke penyemak imbas pengguna.
Kerana cara JavaScript meresap ke web hari ini, serangan ini dapat digunakan untuk merampas akaun mangsa, dan Google akan membayar hingga $ 7.500 untuk kategori ini pepijat.
Mengapa karunia bug berguna?
Audit keselamatan dan tinjauan kod adalah terhad pada masa dan jumlah mata yang meneliti. Walaupun mereka berguna untuk memilih buah gantung paling rendah sebelum melepaskan perisian kepada umum, beberapa pepijat yang paling serius dapat terjadi akibat komposisi banyak kegagalan reka bentuk yang halus.
Sebagai contoh baru-baru ini, penyelidik bebas menemui pepijat utama dalam algoritma ProgPoW walaupun terdapat banyak audit sebelumnya.
Peretasan terkini dalam kewangan terdesentralisasi, atau DeFi, memperlihatkan kerumitan sistem ini. Dalam penggodaman bZX pertama, inti dari eksploitasi itu adalah kegagalan halus untuk memeriksa jaminan yang tepat dalam kontrak pintar bZX – tetapi pinjaman kilat dan platform lain menyediakan alat yang diperlukan untuk mengekstrak wang melalui bug ini.
Program Google dengan mudah menunjukkan bahawa melepaskan kod selamat dari awal hampir mustahil. Program ganjaran kerentanannya disiarkan rekod pembayaran $ 6 juta yang belum pernah terjadi sebelumnya pada tahun 2023 – sembilan tahun selepas pelancaran. Dalam tempoh itu, syarikat mempunyai semua alat untuk menyempurnakan amalan keselamatan dalamannya, tetapi kerumitan sistemnya nampaknya menjadikan semuanya tidak mungkin.
Pemberian pepijat dalam crypto
Banyak syarikat dan projek dalam crypto akan memberikan ganjaran yang besar untuk pepijat kritikal. DeFi projek Maker, Compound dan Aave masing-masing mempunyai maksimum $ 100,000, $ 150,000 dan $ 250,000.
Pertukaran utama seperti Kraken, Coinbase dan Binance juga menyediakan program bug bounty. Kraken tidak mempunyai maksimum yang eksplisit, sementara Coinbase dan Binance masing-masing mendapat $ 50,000 dan $ 10,000. Tidak semua pertukaran utama melancarkan program seperti itu – terutamanya Huobi dan Bitstamp.
Perlu diingat bahawa pembayaran maksimum yang diiklankan tidak semestinya menjadikan program ini lebih menarik, kerana jumlah yang dibayar hampir selalu mengikut budi bicara syarikat.
Dari 458 laporan dikemukakan untuk Coinbase, pembayaran maksimum hanya $ 20,000, sementara rata-rata hanya $ 200. Ini mungkin disebabkan oleh keparahan pepijat yang rendah, tetapi statistik ini merupakan isyarat penting kepada penyelidik yang mesti memutuskan platform yang harus ditumpukan. Beberapa pembayaran rata-rata tertinggi pada Hacker One dapat diperoleh dari Monolith, Tron (TRX) dan Matic, walaupun yang terakhir baru saja melancarkan program bug bounty-nya.
Boleh bug karunia menjimatkan projek?
Infrastruktur Crypto menjadi sasaran ideal bagi penggodam kerana sifatnya seperti wang tunai, kerana mencuri wang digital dari bank sangat banyak lebih sukar.
Menggodam kisah “kejayaan” seperti Coincheck, di mana pelaku penggodaman bernilai $ 500 juta tidak ditangkap setelah lebih dari dua tahun, boleh menarik “topi hitam”, atau penggodam sepenuhnya, penggodam lebih banyak daripada industri lain.
Menurut peringkat keselamatan pertukaran diterbitkan oleh Hacken pada tahun 2023, 82% daripada semua pertukaran tidak mempunyai program bug bounty sama sekali. Dari mereka yang melakukannya, dan yang berada di kedudukan teratas dalam senarai, hanya Binance yang mengalami serangan besar pada tahun 2023.
Anehnya, bZX dan dForce mempunyai program bug bounty sebelum insiden mereka – tetapi mereka mempunyai peringatan penting.
bZX’s program hanya mempunyai bayaran maksimum $ 5.000, dan sangat memerlukan penyelidik untuk mengemukakan bukti identiti sebelum mengumpulkan hadiah. Nampaknya, ia hanya diterbitkan dalam catatan Medium. Berikutan kejadian itu, projek tersebut dibetulkan semua masalah yang disebutkan di atas.
DForce program juga diperlukan untuk menyerahkan dokumen, dan sementara pembayaran maksimumnya bernilai $ 50,000, ia hanya merangkumi sistem USDcoin stablecoin – bukan platform Lendf.me yang akhirnya digodam.
Walaupun syarikat wajib menahan pembayaran kepada penyelidik yang tinggal di wilayah yang dibenarkan, sangat sedikit program yang berjaya memerlukan cek identiti penuh untuk menerima wang. Dari perspektif pemburu bug, menyerahkan dokumen pengenalan diri boleh menjadi Pedang Damokel kerana sering berlaku pembalasan undang-undang terhadap penggodam yang sah sepenuhnya – dengan itu tidak mendorong mereka untuk memohon.
Mengingat semua perkara di atas, nampaknya ada hubungan yang signifikan antara kehadiran program bug karunia yang adil dan kejadian peretasan bencana.
Walaupun begitu, dalam perbualan dengan Cointelegraph, Egor Homakov, seorang penyelidik keselamatan yang disegani, memberi amaran terhadap projek “memalukan”:
“Wang tidak boleh dipaksakan pada proyek apa pun, dan minat harus datang dari dalam. Setiap projek sudah dilengkapi dengan program bounty secara lalai, cuma bountynya sama dengan $ 0. Saya rasa orang tidak perlu memalukan program dengan jumlah yang lebih tinggi. Pasar ini mengatur diri dengan sempurna, dan tidak memerlukan kemarahan / tuntutan penyelidikan lagi. “
Melihat dari tindak balas insiden oleh beberapa syarikat yang diretas, pemilihan semula jadi untuk mendapatkan kutu bug yang lebih baik mungkin sudah berlaku.