Facebook 
Pinterest Pemberian Bug di Crypto – Cara Terbaik untuk Memastikan Keselamatan Platform?
Syarikat Crypto sering mengetahui cara sukar yang digodam oleh penggodam daripada sistem keselamatan mereka. Oleh kerana peretasan di dunia kripto boleh mengakibatkan token bernilai ratusan juta dolar dicuri, nasib masa depan syarikat sering dapat menggunakan langkah keselamatannya. Dalam usaha untuk mengatasi hatches, syarikat menawarkan karunia bug.
Karunia ini pada dasarnya adalah pertandingan di mana penggodam digalakkan untuk mencuba kompromi perisian. Peretas kemudian menyerahkan laporan kerentanan kepada syarikat masing-masing sehingga mereka dapat memperbaiki bug sebelum dieksploitasi. Sebagai ganjaran, penggodam yang berjaya dibayar sejumlah wang.
Sebilangan besar syarikat menawarkan karunia dalam skala berperingkat, dengan harga ganjaran yang sepadan dengan keparahan bug. Wang bermula dari sekitar $ 50 hingga $ 100 untuk pembaikan peringkat rendah dan biasanya dibatasi pada sekitar $ 10,000 untuk bug kritikal. Dalam beberapa kes yang jarang berlaku, penggodam mendapat lebih banyak penghargaan.
Katie Moussouris, pengasas dan Ketua Pegawai Eksekutif Luta Security, yang melancarkan Microsoft dan Pentagon bug bounty pertama, menjelaskan kepada Cointelegraph bagaimana skema ganjaran bug dapat digunakan:
“Wang bug paling berguna dan efisien sebagai tambahan kepada aktiviti keselamatan proaktif yang difokuskan pada pencegahan dan pengesanan kerentanan di dalam organisasi terlebih dahulu. Setelah organisasi mewujudkan amalan keselamatan yang baik, karunia bug dapat membantu mengenal pasti pepijat keselamatan yang tidak dijumpai oleh organisasi. Pemberian pepijat sendiri tidak mencukupi. “
Sebilangan besar syarikat yang membangunkan perisian mempunyai karunia bug. Di dunia crypto, keperluan untuk program seperti itu sama pentingnya, tanpa mengira saiz syarikat. Menurut a lapor dijalankan oleh HackerOne, syarikat membayar $ 878,000 dalam bug bounties pada tahun 2023. Guido Vranken, seorang penyelidik Belanda yang menerima pembayaran $ 120,000 dari EOS setelah menemui 12 pepijat dalam masa tujuh hari, memberitahu Cointelegraph bahawa kepentingannya tinggi bagi syarikat crypto:
“Untuk mata wang digital global boleh dikatakan lebih banyak dipertaruhkan daripada banyak projek atau laman web lain. Pencurian aset adalah contoh yang paling nyata, tetapi kerana sinergi antara publisiti dan kadar pertukaran, kerugian bersih juga mungkin disebabkan oleh kerentanan yang banyak dipublikasikan. “
Salah satu karunia bug yang paling baru datang dari aplikasi pesanan global Telegram. Diumumkan di saluran Peraduan Telegramnya pada 24 September, syarikat itu meminta para pemaju untuk memanfaatkan blockchain TON dan menyerahkan laporan kerentanan.
Sekiranya penggodam dapat memanfaatkan bug di blockchain TON sehingga mereka dapat mencuri dana dari dompet pengguna lain, Telegram akan membayar hingga $ 200,000, jumlah yang sesuai dengan masalah kritikal Augur kurnia sebagai salah satu ganjaran terbesar dalam sejarah crypto. Peraduan ini berlangsung dengan latar belakang pelancaran token digital asli Telegram, Gram, yang dinanti-nantikan pada akhir Oktober.
EOS menduduki tempat teratas
Walaupun menggoda untuk berfikir bahawa syarikat yang lebih kecil dan lebih baru mungkin yang paling aktif dalam menyediakan karunia bug, Block.one, syarikat di belakang EOS, mengambil tempat teratas pada tahun 2023 untuk hadiah hadiah dengan $ 534,500, membayar 60% daripada semua karunia tahun itu , menurut laporan.
Menurut EOS profil di HackerOne, syarikat akan membayar maksimum $ 1,000 untuk laporan berisiko rendah dan maksimum $ 10,000 untuk laporan kritikal. Profil tersebut juga menyatakan bahawa jumlah akhir selalu ditentukan mengikut budi bicara panel ganjaran, dengan ganjaran yang lebih tinggi diberikan kepada kelemahan luar biasa.
Berikutan pelancaran program karunia EOS pada Mei 2023, Vranken dijelaskan bagaimana syarikat itu memperketat pendekatannya terhadap keselamatan setelah penemuannya:
“Bug yang dilaporkan dengan cepat dianalisis dan diperbaiki di repositori awam mereka. Pada mulanya prosesnya sangat ad-hoc kerana [EOS CTO] Daniel Larimer dan saya menghantar fail berulang-ulang di Telegram, tetapi sejak itu mereka mula menjalankan program bug bounty di HackerOne yang saya rasa paling menarik kedua-dua pencari bug dan pasukan EOS. “
EOS terus membayar ganjaran kepada penggodam pada tahun 2023, memberikan bug karunia untuk lima kelemahan kritikal setakat ini. Pada 10 Januari, EOS menganugerahkan sejumlah $ 40,750 kepada lima penggodam topi putih melalui HackerOne, dengan seorang penyelidik lain menerima hadiah $ 10,000 lagi.
Coinbase adalah pengeluaran kedua terbesar
Salah satu pertukaran cryptocurrency terbesar di dunia, Coinbase, adalah pengeluaran kedua terbesar dalam bounty, memperuntukkan sejumlah $ 290,381 pada tahun 2023. Syarikat ini telah mengalami sejumlah masalah berprofil tinggi sejak mengalami peningkatan pengguna yang ketara pada pertengahan 2023, mengakibatkan dana yang tertangguh atau hilang serta pemadaman perkhidmatan.
Syarikat itu memberikan ganjaran $ 30,000 lagi pada Februari 2023 kerana melaporkan pepijat kritikal, Menurut ke program pendedahan kerentanan Coinbase. Pada masa itu, bug memperoleh ganjaran terbesar di platform ini, walaupun perincian bug tersebut tidak diumumkan. Coinbase mengendalikan program bounty empat peringkat di mana ia akan membayar $ 200 untuk kes berisiko rendah, $ 2,000 untuk isu pertengahan dan sehingga $ 50,000 untuk bug kritikal.
Menurut profil HackerOne Coinbase, eksploitasi impak kritikal merangkumi situasi di mana penyerang “dapat membaca atau mengubah Data Sensitif dalam sistem, melaksanakan kod sewenang-wenang pada sistem, atau mengekspresikan mata wang digital atau fiat dengan cara tertentu.”
Berkaitan: Laporan Monero mengenai Menyelesaikan Binting Minting XMR Palsu Sebulan Selepas Betulkan
Syarikat juga menetapkan garis panduannya untuk menilai masalah berimpak rendah: “Penyerang dapat memperoleh sejumlah kecil maklumat yang tidak sah, sensitiviti rendah yang mempengaruhi subset pengguna, atau sedikit ketepatan dan prestasi sistem.”
Berkenaan dengan memperbaiki masalah yang dilaporkan, syarikat ini mempunyai sejarah lambat dalam penggunaannya. Setelah sebuah syarikat Belanda menemui gangguan kontrak pintar yang membolehkan pengguna mencuri “seberapa banyak yang mereka mahukan” di Ethereum (ETH), Coinbase dilaporkan mengambil masa sebulan untuk memperbaikinya. Coinbase membayar ganjaran $ 10,000 kepada syarikat di sebalik penemuan itu.
Tron menduduki tempat ketiga
Tron Foundation, yang berada di belakang duit syiling TRX, adalah pemboros ketiga terbesar untuk bug karunia, berjumlah $ 78,800 untuk 15 laporan. Setakat ini, syarikat telah membayar sejumlah $ 85,400 dalam bounty, dengan yang tertinggi, pada $ 10,000, pergi ke pengguna HackerOne nu11pe untuk laporan yang tidak didedahkan.
Program karunia syarikat akan membayar $ 100 untuk kerentanan berisiko rendah, $ 3,000 untuk risiko sederhana, $ 6,000 untuk risiko tinggi dan hingga $ 10,000 untuk masalah kritikal. Profil Tron’s HackerOne menerangkan kesalahan kritikal sebagai “bug yang dapat mengawal node java-tron dengan pelaksanaan kod apa-apa dari jauh,” dan juga yang boleh menyebabkan kebocoran kunci peribadi.
Pada bulan Mei, syarikat itu mendedahkan kerentanan kritikal yang dapat menurunkan blockchainnya. Pengumuman mengenai HackerOne menyatakan bahawa penyerang mungkin telah menelan semua memori yang tersedia walaupun penolakan perkhidmatan yang diedarkan, atau DDoS, menyerang rangkaian TRX dengan menerapkan kod jahat dalam kontrak pintar.
Syarikat itu menambah bahawa satu individu dapat melakukan serangan DDoS menggunakan mesin tunggal untuk menyerang semua atau 51% dari simpul senior, sehingga menjadikan jaringan tidak dapat digunakan. Walaupun bug tersebut dilaporkan pada 14 Januari, ia hanya diumumkan secara terbuka setelah ia diperbaiki. Penyelidik di sebalik kerentanan itu dianugerahkan $ 1,500.
Pemberian pepijat bukan sistem yang sempurna
Walaupun program bug bounty jelas mewujudkan persekitaran yang sihat di mana syarikat memberi ganjaran etika pada sistem mereka, konsepnya bukan tanpa pengkritiknya. Terkini, tokoh kripto terkenal Dovey Wan mengkritik keputusan Telegram untuk membuka pembangunan kontrak pintarnya. Wan muncul mengecam peristiwa itu sebagai contoh syarikat gagal melabur semula dalam proses pengembangan perisiannya, dengan mengatakan:
“Maaf, tetapi projek yang dikumpulkan melebihi satu bilion, dengan lebih dari 500 mm pengguna tidak dapat membuat penjelajah blok yang wajar? Saya harus meragui apakah tahap keutamaan rangkaian TON ini dalam pasukan Telegram dan bagaimana mereka akan menggunakan harta karun mereka pada perkara yang berkaitan dengan kripto. ”
Ketua Pegawai Eksekutif Luta Security Katie Moussouris memberitahu Cointelegraph bahawa walaupun bug karunia berkesan untuk menunjukkan kelemahan penting dalam struktur keselamatan yang ada, mereka bukan pengganti untuk menjalankan proses keselamatan khusus:
“Syarikat tidak boleh menggunakan bug karunia sebagai alternatif yang murah untuk usaha keselamatan. Cukup meminta orang asing untuk menunjukkan kelemahan tanpa kemampuan untuk memperbaikinya adalah salah satu cara menggunakan karunia bug dengan cepat dapat mengalahkan organisasi. “
Vranken menggariskan pandangannya kepada Cointelegraph bahawa, berdasarkan pengalamannya sebagai penyelidik, syarikat crypto dengan program bug bounty menunjukkan bahawa syarikat itu boleh dipercayai:
“Saya lebih cepat mempercayai projek cryptocurrency yang mempunyai program karunia yang berfungsi dengan baik daripada yang tidak. Pendirian ini dibentuk oleh pengalaman saya sebagai penyelidik dan kesedaran saya tentang hakikat bahawa perisian yang digunakan secara meluas tidak semestinya dipengaruhi oleh pemeriksaan kodenya yang serius tanpa insentif yang tepat. ”
Vranken terus menambah bahawa sangat sukar untuk membina perisian tanpa pepijat, tidak kira tahap bakat atau jumlah wang yang dikemukakan:
“Sekiranya tidak ada yang lain, program bug bounty membentuk saluran formal untuk melaporkan pepijat dan memberi isyarat tidak bermusuhan dengan penyelidik dengan bersumpah untuk menghargai pekerjaan mereka (melalui pampasan kewangan).”
Sistem bug bounty yang ada sekarang bergantung kepada penggodam yang bertindak secara bertanggungjawab, sama ada dari kecenderungan moral atau dengan penghargaan yang ditawarkan. Walaupun nampaknya mungkin bahawa penggodam dapat memperoleh lebih banyak wang daripada yang diiklankan dalam skema atau menjual perincian kekurangan kepada pesaing, Moussouris mengatakan bahawa permintaan untuk maklumat tersebut tidak setinggi yang dirasakan oleh banyak orang:
“Tidak ada pembeli bug yang tidak sabar menunggu untuk membeli setiap bug – itu adalah mitos biasa. Walau bagaimanapun, dalam cryptocurrency, kemungkinan besar terdapat lebih banyak pembeli bug daripada di kawasan lain. Yang dikatakan, jika pemburu bug mengutamakan keuntungan, mereka mungkin memilih untuk mengeksploitasi daripada menjual bug yang mereka dapati dalam cryptocurrency, untuk keuntungan lebih langsung. ”
Walaupun ganjaran yang diiklankan oleh kedua-dua syarikat cryptocurrency dan perisian di seluruh dunia dapat memberikan kesan bahawa pemburuan bug karunia dapat menawarkan kerjaya yang menguntungkan, kenyataannya adalah bahawa persaingan tinggi dan akses tidak dibahagi secara merata. Moussouris menjelaskan kepada Cointelegraph bahawa mereka yang diundang ke bug bounty swasta sering mempunyai kelebihan dalam persaingan:
“Biasanya banyak pekerjaan yang tidak mendapat pampasan, terutama jika jenis bug yang diketahui oleh pemburu adalah kelas bug yang agak biasa. Hanya orang pertama yang melaporkan kerentanan tertentu yang dibayar, jadi pemburu karunia bug yang paling berjaya cenderung menjadi orang yang diundang ke bug karunia swasta dengan pesaing yang lebih sedikit. “
Bagi Vranken, pemburuan bug karunia adalah beg campuran, kerana ganjarannya tidak selalu sepadan dengan masa yang dimasukkan ke dalam projek:
“Berbanding dengan kerja kontrak yang menetapkan usaha dan ganjaran terlebih dahulu, karunia bug dapat menggembirakan (ketika anda menemui banyak bug yang mendapat ganjaran mendalam) atau membuat frustrasi (menghabiskan banyak masa untuk sesuatu tanpa mencapai hasil, atau menerima yang lebih rendah ganjaran daripada yang anda jangkakan). “