Facebook 
Pinterest 해커 군대는 암호화를 더 안전하게 만들 수 있지만 충분합니까?
지난 10 년 동안 해킹은 버그 현상금의 도입 덕분에 점차 존경받을 만하고 잠재적으로 보람있는 직업이되었습니다..
Mozilla와 같은 일부 조직은 2004 년에 버그 바운티를 시작했지만 Google과 Facebook이 각각 2010 년과 2011 년에 유사한 프로그램을 출시하면서 업계에 큰 자극을주었습니다. 얼마 지나지 않아 2011 년과 2012 년에 Bugcrowd 및 HackerOne과 같은 플랫폼은 다른 회사에서 쉽게 설정할 수 있도록 버그 현상금을 상용화했습니다..
버그 현상금은 시스템 또는 사용자에게 보안에 영향을 미칠 수있는 취약점을 찾아보고하는 독립적 인 연구자에게 지급됩니다. 가장 일반적인 취약점 중 하나는 악의적 인 JavaScript 코드를 사용자의 브라우저에 삽입하는 소위 XSS (Cross-Site Scripting) 공격입니다..
오늘날 자바 스크립트가 웹에 침투하는 방식으로 인해이 공격은 본질적으로 피해자의 계정을 탈취하는 데 사용될 수 있으며 Google은 이에 대해 최대 7,500 달러를 지불 할 것입니다. 이 카테고리 버그.
버그 현상금이 유용한 이유?
보안 감사 및 코드 검토는 조사를 제공하는 눈의 수와 시간 모두에서 제한됩니다. 소프트웨어를 대중에게 공개하기 전에 가장 낮은 열매를 선택하는 데 유용하지만 가장 심각한 버그 중 일부는 많은 미묘한 설계 실패의 구성으로 인해 발생할 수 있습니다..
이에 대한 최근의 예로, 독립적 인 연구원이 여러 번의 이전 감사에도 불구하고 ProgPoW 알고리즘에서 주요 버그를 발견했습니다..
최근 탈 중앙화 금융 또는 DeFi의 해킹은 이러한 시스템의 복잡성을 보여줍니다. 첫 번째 bZX 해킹에서 익스플로잇의 핵심은 bZX 스마트 계약에서 적절한 담보를 확인하지 못한 미묘한 실패 였지만 플래시 대출 및 기타 플랫폼은이 버그를 통해 돈을 추출하는 데 필요한 도구를 제공했습니다..
Google 프로그램은 처음부터 안전한 코드를 공개하는 것이 거의 불가능 함을 쉽게 보여줍니다. 취약성 보상 프로그램 게시 됨 출시 9 년 후인 2023 년에 6 백만 달러라는 전례없는 기록입니다. 그 기간 동안 회사는 내부 보안 관행을 완벽하게 할 수있는 모든 도구를 가지고 있었지만 시스템의 복잡성으로 인해 불가능한 일이 아닌 것 같습니다..
암호 화폐의 버그 현상금
암호 화폐의 많은 회사와 프로젝트는 중요한 버그에 대해 관대 한 보상을 제공합니다. DeFi 프로젝트 Maker, Compound 및 Aave의 최대 금액은 각각 $ 100,000, $ 150,000 및 $ 250,000입니다..
Kraken, Coinbase 및 Binance와 같은 주요 거래소도 버그 바운티 프로그램을 제공합니다. Kraken은 명시적인 최대 금액이 없으며 Coinbase와 Binance는 각각 $ 50,000와 $ 10,000를 기록합니다. 모든 주요 거래소가 그러한 프로그램을 시작하지는 않았습니다. 특히 Huobi와 Bitstamp.
지불 된 금액은 거의 항상 회사의 재량에 달려 있기 때문에 광고 된 최대 지불금이 반드시 프로그램을 더 매력적으로 만드는 것은 아닙니다..
458 개 보고서 중 제출 Coinbase에 대한 최대 지불금은 $ 20,000에 불과한 반면 평균은 $ 200에 불과했습니다. 이는 버그의 심각도가 낮기 때문일 수 있지만 이러한 통계는 집중할 플랫폼을 결정해야하는 연구원에게 중요한 신호입니다. Hacker One에서 가장 높은 평균 지불금 중 일부는 Monolith, Tron (TRX) 및 Matic에서 얻을 수 있지만 후자는 방금 버그 현상금 프로그램을 시작했습니다..
버그 현상금으로 프로젝트를 저장할 수 있습니까??
암호화 인프라는 은행에서 디지털 돈을 훔치는 것이 많기 때문에 현금과 같은 속성으로 인해 해커에게 이상적인 표적이됩니다. 더 세게.
코인 체크 (Coincheck)와 같은 해킹 “성공”스토리는 2 년 이상 지난 후에도 5 억 달러의 해킹 가해자가 잡히지 않은 경우 “블랙 햇”또는 완전히 악의적 인 해커를 다른 산업보다 더 많이 끌어들일 수 있습니다..
교환 보안 순위에 따라 출판 2023 년 Hacken은 모든 거래소의 82 %에 버그 바운티 프로그램이 전혀 없습니다. 목록에서 높은 순위를 차지하는 이들 중 Binance만이 2023 년에 주요 공격을 받았습니다..
흥미롭게도 bZX와 dForce는 모두 사건이 발생하기 전에 버그 현상금 프로그램을 마련했지만 주목할만한주의 사항이있었습니다..
bZX 프로그램 최대 지급액은 $ 5,000에 불과했으며, 보상을 받기 전에 연구원이 신원 증명을 제출해야했습니다. 또한 미디엄 게시물에만 게시 된 것으로 보입니다. 사건 이후 프로젝트 정류 앞서 언급 한 모든 문제.
DForce의 프로그램 마찬가지로 문서 제출이 필요했고 최대 지급액이 $ 50,000에 달했지만 해킹 된 Lendf.me 플랫폼이 아닌 USDx 스테이 블코 인 시스템 만 다루었습니다..
기업은 제재 지역에 거주하는 연구원에 대한 지불을 보류 할 의무가 있지만, 성공적인 프로그램은 돈을 받기 위해 완전한 신원 확인을 요구합니다. 버그 사냥꾼의 관점에서 신원 문서를 제출하는 것은 자주 발생하는 다모 클스 소드가 될 수 있습니다. 법적 보복 적법한 해커에 대항하여.
위의 모든 사항을 고려할 때 공정한 버그 바운티 프로그램의 존재와 치명적인 해킹 발생 사이에는 중요한 상관 관계가있는 것으로 보입니다..
그럼에도 불구하고 Cointelegraph와의 대화에서 존경받는 보안 연구원 인 Egor Homakov는“부끄러운”프로젝트에 대해 경고했습니다.
“보상금은 어떤 프로젝트에도 강요되어서는 안되며이자는 내부에서 나와야합니다. 모든 프로젝트에는 기본적으로 현상금 프로그램이 포함되어 있습니다. 현상금은 $ 0와 같습니다. 나는 사람들이 더 많은 금액을 위해 프로그램을 부끄럽게 생각해서는 안된다고 생각합니다. 이 시장은 완벽하게 자체 규제되며 더 이상 연구 분노 / 요구가 필요하지 않습니다. “
해킹당한 일부 회사의 사고 대응으로 판단하면 더 나은 버그 현상금을 향한 자연 선택이 이미 일어나고있을 수 있습니다..