Įsilaužėlių armija gali padaryti kriptografiją saugesnę, tačiau ar jos pakanka?

Praėjusį dešimtmetį įsilaužimai palaipsniui tapo garbinga ir potencialiai naudinga karjera dėl įdiegtų klaidų.

Nors kai kurios organizacijos, tokios kaip „Mozilla“, išleido klaidų gausą dar 2004 m., Svarbiausias impulsas pramonei atsirado, kai „Google“ ir „Facebook“ išleido panašias programas atitinkamai 2010 ir 2011 m. Netrukus, 2011 ir 2012 m., Tokios platformos kaip „Bugcrowd“ ir „HackerOne“ reklamavo klaidų gausą, kad kitoms įmonėms būtų lengviau jas nustatyti..

Už klaidų atlygį moka nepriklausomi tyrėjai, kurie randa ir praneša apie pažeidžiamumus, kurie gali turėti įtakos sistemai ar jos vartotojams. Viena iš dažniausiai pasitaikančių pažeidžiamumų yra vadinamoji „Cross-Site Scripting“ (XSS) ataka, į kurią į vartotojo naršyklę įterpiamas kenkėjiškas „JavaScript“ kodas..

Dėl to, kaip „JavaScript“ šiandien skverbiasi į internetą, šią ataką galima panaudoti iš esmės užgrobiant aukos sąskaitą, o „Google“ sumokės iki 7500 USD už šios kategorijos klaidų.

Kodėl naudingos klaidų gausos?

Saugumo auditai ir kodų peržiūros yra riboti tiek laiko, tiek ir tikrinamų akių skaičiaus. Nors prieš išleidžiant programinę įrangą visuomenei yra naudinga nuskinti žemiausiai kabančius vaisius, kai kurios rimčiausios klaidos gali kilti dėl daugybės subtilių dizaino gedimų..

Nepaisant daugelio ankstesnių auditų, nepriklausomas tyrėjas kaip naujausią to pavyzdį rado pagrindinę „ProgPoW“ algoritmo klaidą.

Naujausi decentralizuoto finansų arba „DeFi“ įsilaužimai rodo šių sistemų sudėtingumą. Pirmojo „bZX“ įsilaužimo metu išnaudojimo esmė buvo subtilus nesugebėjimas patikrinti tinkamo įkaito užtikrinimo „bZX“ išmaniosiose sutartyse, tačiau greitosios paskolos ir kitos platformos suteikė būtinus įrankius, kad išgautų pinigus per šią klaidą.

„Google“ programa lengvai parodo, kad išleisti saugų kodą iš pradžios yra beveik neįmanoma. Jo atlygis už pažeidžiamumą paskelbta precedento neturintis rekordas – 6 mln. USD išmokų 2023 m. – praėjus devyneriems metams po paleidimo. Tuo laikotarpiu įmonė turėjo visas priemones tobulinti savo vidaus saugumo praktiką, tačiau, atrodo, kad dėl savo sistemų sudėtingumo tai padarė viską, bet neįmanoma..

Klaidų dovanos kriptografijoje

Daugelis kriptografijos įmonių ir projektų pasiūlys gausų atlygį už kritines klaidas. „DeFi“ projektai „Maker“, „Compound“ ir „Aave“ gali būti atitinkamai 100 000, 150 000 ir 250 000 USD.

Pagrindinėse biržose, tokiose kaip „Kraken“, „Coinbase“ ir „Binance“, taip pat teikiamos „bug bounty“ programos. „Kraken“ neturi aiškaus maksimumo, o „Coinbase“ ir „Binance“ pasiekia atitinkamai 50 000 ir 10 000 USD. Ne visos pagrindinės biržos pradėjo tokias programas, ypač „Huobi“ ir „Bitstamp“.

Verta paminėti, kad reklamuojamas maksimalus išmokėjimas nebūtinai daro programą patrauklesne, nes sumokėtos sumos beveik visada priklauso nuo įmonės pasirinkimo.

Iš 458 pranešimų pateiktas į „Coinbase“ didžiausia išmoka siekė tik 20 000 USD, o vidutinė – vos 200 USD. Tikėtina, kad taip yra dėl mažo klaidų sunkumo, tačiau ši statistika yra svarbus signalas tyrėjams, kurie turi nuspręsti, kuriai platformai sutelkti dėmesį. Kai kuriuos didžiausius vidutinius „Hacker One“ išmokėjimus galite gauti iš „Monolith“, „Tron“ (TRX) ir „Matic“, nors pastarieji ką tik pradėjo savo klaidų premijų programą.

Ar gali klaidų premijos išsaugoti projektus?

Kripto infrastruktūra yra idealus tikslas įsilaužėliams dėl savo grynųjų pinigų savybių, nes pavogti skaitmeninius pinigus iš banko yra daug sunkiau.

Įsilaužimas į „sėkmės“ istorijas, tokias kaip „Coincheck“, kur 500 milijonų dolerių įsilaužimo kaltininkai nebuvo sugauti po daugiau nei dvejų metų, gali labiau nei kitose pramonės šakose pritraukti „juodą skrybėlę“ arba visiškai piktybiškus įsilaužėlius..

Pagal valiutos keitimo saugumo reitingą paskelbta pateikė Hackenas 2023 m., 82% visų mainų iš viso nėra jokių klaidų „Bounty Bounty“ programų. Iš tų, kurie tai daro ir kurie reitinguojami aukštai jo sąraše, tik „Binance“ patyrė didelę ataką 2023 m.

Įdomu tai, kad tiek „bZX“, tiek „dForce“ prieš savo incidentus buvo įdiegusios „bug bounty“ programas, tačiau jie turėjo pastebimų įspėjimų.

„bZX“ programa turėjo tik 5 000 USD maksimalią įmoką, todėl labai svarbu, kad mokslininkai prieš rinkdami atlygį pateiktų asmens tapatybę patvirtinantį dokumentą. Taip pat atrodo, kad jis buvo paskelbtas tik „Medium“ įraše. Po įvykio projektas ištaisyta visi minėti klausimai.

„DForce“ programa taip pat reikėjo pateikti dokumentus, ir nors jo didžiausias išmokėjimas buvo reikšmingas – 50 000 USD, jis apėmė tik „USDx“ stablecoin sistemą, o ne „Lendf.me“ platformą, į kurią buvo įsilaužta..

Nors įmonės yra įpareigotos sulaikyti užmokestį tyrėjams, gyvenantiems sankcionuotuose regionuose, norint gauti pinigų, labai nedaugeliui sėkmingų programų reikia išsamaus asmens tapatybės patikrinimo. Žiūrint iš klaidų medžiotojo perspektyvos, asmens dokumentų pateikimas dėl dažno gali tapti Damoklo kardu teisinės represijos prieš visiškai teisėtus įsilaužėlius – taip atgrasydami juos nuo paraiškų teikimo.

Atsižvelgiant į visa tai, kas išdėstyta pirmiau, atrodo, kad egzistuoja reikšminga sąsaja tarp sąžiningos klaidų programos „Bug Bounty“ programos ir katastrofiškų įsilaužimų atvejų..

Nepaisant to, pokalbyje su „Cointelegraph“ gerbiamas saugumo tyrėjas Egoras Homakovas įspėjo apie „gėdijimąsi“:

„Dovanos neturėtų būti verčiamos vykdyti bet kokį projektą, o susidomėjimas turėtų kilti iš vidaus. Kiekvienas projektas pagal numatytuosius nustatymus jau turi „Bounty“ programą, tik premijos yra lygios [$] 0. Nemanau, kad žmonės turėtų sugėdinti programas dėl didesnių sumų. Ši rinka puikiai save reguliuoja ir jai nebereikia jokių mokslinių tyrimų įniršio / poreikių “.

Sprendžiant iš kai kurių įsibrovusių bendrovių atsakymų į įvykius, jau gali vykti natūrali atranka siekiant geresnių klaidų.