Facebook 
Pinterest Bug Bounties in Crypto: il modo migliore per garantire la sicurezza della piattaforma?
Le aziende crittografiche spesso scoprono nel modo più duro che gli hacker conoscono i loro sistemi di sicurezza meglio di loro. Poiché gli hack nel mondo delle criptovalute possono e spesso comportano il furto di token per centinaia di milioni di dollari, il destino del futuro di un’azienda può spesso dipendere dalle sue misure di sicurezza. Nel tentativo di chiudere i portelli, le aziende offrono ricompense per gli insetti.
Questi premi sono essenzialmente competizioni in cui gli hacker sono incoraggiati a tentare di compromettere il software. Gli hacker inviano quindi un rapporto di vulnerabilità alle rispettive società in modo che siano in grado di correggere i bug prima che vengano sfruttati. Come ricompensa, gli hacker di successo vengono pagati una taglia.
La maggior parte delle aziende offre taglie su una scala sfalsata, con il prezzo del premio corrispondente alla gravità del bug. I premi partono da circa $ 50 a $ 100 per correzioni di basso livello e di solito sono limitati a circa $ 10.000 per bug critici. In pochi rari casi, agli hacker sono stati assegnati di più.
Katie Moussouris, fondatrice e CEO di Luta Security, che ha lanciato i primi bug bounty di Microsoft e del Pentagono, ha spiegato a Cointelegraph come possono essere utili gli schemi di ricompensa dei bug:
“I bug bounties sono più utili ed efficienti come supplemento alle attività di sicurezza proattive focalizzate prima sulla prevenzione e sul rilevamento delle vulnerabilità all’interno delle organizzazioni. Una volta che le organizzazioni hanno stabilito buone pratiche di sicurezza, i bug bounties possono aiutare a identificare i bug di sicurezza che le organizzazioni hanno mancato. Le taglie di insetti da sole non sono sufficienti. “
La maggior parte delle aziende che sviluppano software hanno premi sui bug. Nel mondo delle criptovalute, la necessità di tali programmi è altrettanto importante, indipendentemente dalle dimensioni dell’azienda. Secondo a rapporto condotto da HackerOne, le aziende hanno pagato 878.000 dollari in premi per i bug nel 2023. Guido Vranken, un ricercatore olandese che ricevuto un pagamento di $ 120.000 da EOS dopo aver scoperto 12 bug entro sette giorni, ha detto a Cointelegraph che la posta in gioco è alta per le società crittografiche:
“Per una valuta digitale globale c’è probabilmente molto di più in gioco di molti altri progetti o siti web. Il furto di beni è l’esempio più tangibile, ma a causa della sinergia tra pubblicità e tassi di cambio, le perdite nette potrebbero derivare anche da una vulnerabilità ampiamente pubblicizzata “.
Uno dei più recenti bug bounty proviene dall’app di messaggistica globale Telegram. Annunciato sul suo canale Telegram Contests il 24 settembre, la società chiede agli sviluppatori di sfruttare la blockchain TON e inviare un rapporto di vulnerabilità.
Se gli hacker possono sfruttare un bug nella blockchain TON nella misura in cui sono in grado di rubare fondi dal portafoglio di un altro utente, Telegram pagherà fino a $ 200.000, una somma che corrisponde al problema critico di Augur generosità come una delle più grandi ricompense nella storia delle criptovalute. Il concorso si svolge sullo sfondo dell’attesissimo lancio del token digitale nativo di Telegram, Gram, a fine ottobre.
EOS occupa il primo posto
Anche se si è tentati di pensare che le aziende più piccole e più recenti possano essere le più attive nel fornire bug bounty, Block.one, la società dietro EOS, ha conquistato il primo posto nel 2023 per premi bounty con $ 534.500, pagando il 60% di tutti i premi quell’anno , secondo un rapporto.
Secondo EOS profilo su HackerOne, la società pagherà un massimo di $ 1.000 per un rapporto a basso rischio e un massimo di $ 10.000 per un rapporto critico. Il profilo rileva inoltre che l’importo finale viene sempre deciso a discrezione di un panel di ricompensa, con ricompense più elevate date a vulnerabilità eccezionali.
Dopo il lancio del programma di taglie EOS nel maggio 2023, Vranken spiegato come l’azienda aveva rafforzato il suo approccio alla sicurezza sulla scia delle sue scoperte:
“I bug segnalati sono stati rapidamente analizzati e corretti nel loro repository pubblico. All’inizio il processo era molto ad-hoc perché [EOS CTO] Daniel Larimer e io stavamo inviando file avanti e indietro su Telegram, ma da allora hanno iniziato a eseguire un programma di bug bounty su HackerOne che penso sia nel migliore interesse di sia i rilevatori di bug che il team EOS. “
EOS ha continuato a pagare ricompense agli hacker nel 2023, distribuendo premi di bug per cinque vulnerabilità critiche finora. Il 10 gennaio, EOS ha assegnato un totale di $ 40.750 a cinque hacker white hat tramite HackerOne, con un altro ricercatore che ha ricevuto un’ulteriore taglia di $ 10.000.
Coinbase è il secondo più grande spender
Uno dei più grandi scambi di criptovaluta al mondo, Coinbase, è il secondo più grande spender in premi, stanziando un totale di $ 290.381 nel 2023. L’azienda ha riscontrato una serie di problemi di alto profilo da quando ha registrato un aumento significativo degli utenti a metà del 2023, con conseguente ritardo o mancanza di fondi nonché blackout del servizio.
La società ha distribuito ulteriori $ 30.000 in premi a febbraio 2023 per aver segnalato un bug critico, secondo al programma di divulgazione delle vulnerabilità di Coinbase. A quel tempo, il bug ha guadagnato la più grande ricompensa mai vista sulla piattaforma, sebbene i dettagli del bug non siano stati resi pubblici. Coinbase gestisce un programma di taglie a quattro livelli in cui pagherà $ 200 per un caso a basso rischio, $ 2.000 per un problema di medio livello e fino a $ 50.000 per bug critici.
Secondo il profilo HackerOne di Coinbase, uno sfruttamento dell’impatto critico comprende una situazione in cui gli aggressori “possono leggere o modificare dati sensibili in un sistema, eseguire codice arbitrario sul sistema o esfiltrare valuta digitale o fiat in qualche modo”.
Correlati: Monero riporta sulla risoluzione di bug di conio XMR falsi un mese dopo la correzione
La società ha inoltre definito le sue linee guida per la valutazione dei problemi a basso impatto: “Gli aggressori possono ottenere piccole quantità di informazioni non autorizzate e con scarsa sensibilità che incidono su un sottoinsieme di utenti o influire leggermente sulla precisione e sulle prestazioni del sistema”.
Per quanto riguarda la risoluzione dei problemi segnalati, l’azienda ha una storia di lentezza nell’accettazione. Dopo che una società olandese ha scoperto un problema tecnico del contratto intelligente che consentiva agli utenti di rubare “quanto vogliono” in Ethereum (ETH), Coinbase avrebbe impiegato un mese per risolverlo. Coinbase ha pagato una ricompensa di $ 10.000 alla società dietro la scoperta.
Tron arriva terzo
La Tron Foundation, che è dietro la moneta TRX, è stata la terza più grande spesa per i bug bounties, per un totale di $ 78.800 per 15 segnalazioni. A partire da ora, la società ha pagato un totale di $ 85.400 in premi, con il suo massimo, $ 10.000, andato a nu11pe utente di HackerOne per un rapporto non divulgato.
Il programma di taglie dell’azienda pagherà $ 100 per una vulnerabilità a basso rischio, $ 3.000 per rischio medio, $ 6.000 per alto rischio e fino a $ 10.000 per problemi critici. Il profilo HackerOne di Tron descrive errori critici come “bug che possono assumere il controllo dei nodi java-tron mediante l’esecuzione remota di qualsiasi codice”, nonché quelli che possono causare perdite di chiavi private.
A maggio, la società ha rivelato una vulnerabilità critica che avrebbe potuto abbattere la sua blockchain. L’annuncio su HackerOne afferma che un utente malintenzionato potrebbe aver inghiottito tutta la memoria disponibile attraverso un attacco Denial of Service distribuito, o DDoS, sulla rete TRX implementando codice dannoso in uno smart contract.
L’azienda ha aggiunto che un individuo potrebbe effettuare l’attacco DDoS utilizzando una singola macchina per attaccare tutto o il 51% del nodo senior, rendendo così inutilizzabile la rete. Sebbene il bug sia stato segnalato il 14 gennaio, è stato annunciato pubblicamente solo dopo che era già stato risolto. Il ricercatore dietro la vulnerabilità ha ricevuto $ 1.500.
Le taglie di bug non sono un sistema perfetto
Mentre i programmi di bug bounty creano chiaramente un ambiente sano in cui le aziende premiano gli hack etici sui loro sistemi, il concetto non è privo di critiche. Più di recente, la figura di spicco delle criptovalute Dovey Wan ha criticato la decisione di Telegram di aprire lo sviluppo del suo contratto intelligente. Wan sembrava criticare l’evento come esempio del mancato reinvestimento da parte dell’azienda nei propri processi di sviluppo software, affermando:
“Scusa, ma un progetto ha raccolto oltre un miliardo, con oltre 500 mm di utenti non può nemmeno creare correttamente un esploratore di blocchi ragionevole? Devo dubitare di quale sia il livello di priorità di questa rete TON all’interno del team di Telegram e di come useranno il loro mega tesoro su cose legate alla crittografia. ”
Katie Moussouris, CEO di Luta Security, ha dichiarato a Cointelegraph che, sebbene i bug bounty siano efficaci per evidenziare importanti scappatoie nelle strutture di sicurezza esistenti, non sostituiscono la presenza di un processo di sicurezza dedicato:
“Le aziende non possono utilizzare i bug bounties come alternativa economica per la due diligence nella sicurezza. Chiedere semplicemente a estranei di segnalare i difetti senza avere la capacità di risolverli è un modo in cui un uso eccessivo dei bug bounty può rapidamente sopraffare le organizzazioni “.
Vranken ha illustrato a Cointelegraph il suo punto di vista secondo cui, in base alla sua esperienza di ricercatore, un’azienda di criptovalute con un programma di bug bounty indica che ci si può fidare dell’azienda:
“Mi fiderei prima di un progetto di criptovaluta che ha un programma di taglie che funziona correttamente piuttosto che di uno che non lo fa. Questa posizione è plasmata dalla mia esperienza di ricercatore e dalla mia consapevolezza del fatto che anche il software ampiamente utilizzato non è necessariamente supportato da un esame accurato del suo codice senza un incentivo adeguato “.
Vranken ha aggiunto che è estremamente difficile creare software senza bug, indipendentemente dal livello di talento o dalla quantità di denaro proposta:
“Se non altro, un programma di bug bounty stabilisce un canale formale per la segnalazione di bug e segnala la non ostilità nei confronti dei ricercatori promettendo di apprezzare il loro lavoro (attraverso una compensazione finanziaria)”.
L’attuale sistema di bug bounty si basa su hacker che agiscono in modo responsabile, sia per inclinazione morale che per i premi offerti. Anche se può sembrare fattibile che gli hacker possano resistere per più soldi di quelli pubblicizzati nello schema o vendere i dettagli del difetto ai concorrenti, Moussouris ha affermato che la richiesta di tali informazioni non è così alta come molti percepiscono:
“Non ci sono infiniti acquirenti di bug in attesa di acquistare ogni bug: questo è un mito comune. Tuttavia, in criptovaluta, ci sono probabilmente più acquirenti di bug che in altre aree. Detto questo, se i cacciatori di bug danno la priorità ai profitti, potrebbero benissimo scegliere di sfruttare piuttosto che vendere i bug che trovano nella criptovaluta, per un profitto più diretto “.
Sebbene i premi pubblicizzati dalle società di criptovaluta e di software in tutto il mondo possano dare l’impressione che la caccia alle taglie di bug possa offrire una carriera redditizia, la realtà è che la concorrenza è alta e l’accesso non è equamente diviso. Moussouris ha spiegato a Cointelegraph che coloro che sono invitati a ricevere premi privati di bug spesso hanno un vantaggio competitivo:
“Di solito è molto lavoro che non viene compensato, soprattutto se i tipi di bug che il cacciatore sa trovare sono classi di bug relativamente comuni. Solo la prima persona che segnala una particolare vulnerabilità viene pagata, quindi i cacciatori di taglie di bug che hanno più successo tendono ad essere quelli che vengono invitati a premi di bug privati con meno concorrenti.
Per Vranken, la caccia alla taglia degli insetti è un miscuglio, poiché la ricompensa non sempre corrisponde al tempo impiegato in un progetto:
“Rispetto al lavoro contrattuale che prevede impegno e ricompensa in anticipo, i bug bounties possono essere esaltanti (quando ti imbatti in un tesoro di bug che viene ricompensato profondamente) o frustranti (dedicare molto tempo a qualcosa senza ottenere risultati, o ricevere un ricompensa di quanto ti aspettassi). “