Facebook 
Pinterest ハッカーの軍隊は暗号をより安全にすることができますが、十分に行われていますか?
過去10年間で、バグ報奨金の導入により、ハッキングは徐々に立派でやりがいのあるキャリアになりました。.
Mozillaのようないくつかの組織は2004年にずっとバグバウンティを開始しましたが、業界への大きな推進力は、GoogleとFacebookがそれぞれ2010年と2011年に同様のプログラムを展開したときに来ました。その後すぐに、2011年と2012年に、BugcrowdやHackerOneなどのプラットフォームがバグ報奨金を商品化し、他の企業が簡単に設定できるようにしました。.
バグ報奨金は、システムまたはそのユーザーにセキュリティ上の影響を与える可能性のある脆弱性を見つけて報告する独立した研究者に支払われます。最も一般的な脆弱性の1つは、いわゆるクロスサイトスクリプティング(XSS)攻撃です。これは、悪意のあるJavaScriptコードをユーザーのブラウザに挿入します。.
今日のJavaScriptの浸透方法により、この攻撃は基本的に被害者のアカウントを乗っ取るために使用される可能性があり、Googleは最大7,500ドルを支払います このカテゴリ バグの.
バグバウンティが役立つのはなぜですか?
セキュリティ監査とコードレビューは、時間と精査を提供する目の数の両方で制限されています。ソフトウェアを一般にリリースする前に、ぶら下がっている果物を選ぶのに役立ちますが、最も深刻なバグのいくつかは、多くの微妙な設計の失敗の構成から生じる可能性があります.
この最近の例として、独立した研究者が、以前の複数の監査にもかかわらず、ProgPoWアルゴリズムに大きなバグを発見しました。.
分散型ファイナンス(DeFi)の最近のハッキングは、これらのシステムの複雑さを示しています。最初のbZXハックでは、エクスプロイトの核心はbZXスマートコントラクトの適切な担保のチェックの微妙な失敗でしたが、フラッシュローンやその他のプラットフォームはこのバグを通じてお金を引き出すために必要なツールを提供しました.
Googleのプログラムは、安全なコードを最初からリリースすることはほぼ不可能であることを簡単に示しています。その脆弱性報酬プログラム 投稿 発売から9年後の2023年の支払い額は600万ドルという前例のない記録です。その間、会社は社内のセキュリティ慣行を完成させるためのすべてのツールを持っていましたが、システムの複雑さがそれをほとんど不可能にしたようです。.
暗号通貨のバグ報奨金
暗号通貨の多くの企業やプロジェクトは、重大なバグに対して寛大な報酬を提供します。 DeFiプロジェクトのMaker、Compound、Aaveの最大額はそれぞれ$ 100,000、$ 150,000、$ 250,000です。.
Kraken、Coinbase、Binanceなどの主要な取引所も、バグ報奨金プログラムを提供しています。 Krakenには明確な上限はありませんが、CoinbaseとBinanceはそれぞれ50,000ドルと10,000ドルで最高になります。すべての主要な取引所がそのようなプログラムを開始したわけではありません—特にHuobiとBitstamp.
支払われる金額はほとんどの場合会社の裁量であるため、宣伝されている最大支払い額が必ずしもプログラムをより魅力的にするわけではないことに注意してください。.
458件のレポートのうち 提出された Coinbaseへの最大支払い額はわずか20,000ドルでしたが、平均はわずか200ドルです。これはバグの重大度が低いことが原因である可能性がありますが、これらの統計は、焦点を当てるプラットフォームを決定する必要がある研究者にとって重要なシグナルです。 Hacker Oneで最も高い平均支払い額のいくつかは、Monolith、Tron(TRX)、およびMaticから取得できますが、後者はバグ報奨金プログラムを開始したばかりです。.
脆弱性報奨金はプロジェクトを保存できますか?
銀行からデジタルマネーを盗むことは非常に多いため、暗号インフラストラクチャは現金のような特性のため、ハッカーにとって理想的なターゲットになります もっと強く.
Coincheckのようなハッキングの「成功」ストーリーでは、5億ドルのハッキングの加害者が、2年以上経っても捕まえられなかったため、他の業界よりも「ブラックハット」または完全に悪意のあるハッカーを引き付ける可能性があります。.
取引所のセキュリティのランキングによると 公開 2023年のハッケンによると、すべての取引所の82%には、バグ報奨金プログラムがまったくありません。そうしていて、そのリストで上位にランクされているもののうち、2023年に大規模な攻撃を受けたのはBinanceだけでした.
不思議なことに、bZXとdForceはどちらも、インシデントの前にバグ報奨金プログラムを実施していましたが、注目すべき警告がありました。.
bZXの プログラム 最高支払額は5,000ドルのみであり、研究者は報酬を受け取る前に身分証明書を提出する必要がありました。また、中程度の投稿でのみ公開されたようです。事件の後、プロジェクト 修正済み 前述のすべての問題.
DForceの プログラム 同様に書類の提出が必要で、最大支払い額は50,000ドルと多額でしたが、ハッキングされたLendf.meプラットフォームではなく、USDxのstablecoinシステムのみを対象としていました。.
企業は認可された地域に住む研究者への支払いを差し控える義務がありますが、お金を受け取るために完全な身元確認を必要とする成功したプログラムはほとんどありません。バグハンターの観点からは、身分証明書の提出は頻繁に行われるため、ダモクレスソードになる可能性があります 法的な報復 完全に合法的なハッカーに対して—したがって彼らが適用するのを思いとどまらせる.
上記のすべてを考慮すると、公正なバグ報奨金プログラムの存在と壊滅的なハッキングの発生率の間には有意な相関関係があるようです。.
それにもかかわらず、Cointelegraphとの会話の中で、尊敬されているセキュリティ研究者であるEgor Homakovは、「恥ずべき」プロジェクトに対して警告しました。
「賞金はどのプロジェクトにも強制されるべきではなく、利益は内部からもたらされるべきです。すべてのプロジェクトにはすでにデフォルトで報奨金プログラムが付属しています。報奨金は$ 0に等しいだけです。私は人々がより高い金額のためにプログラムを恥じるべきではないと思います。この市場は完全に自己規制しており、これ以上の研究の怒りや要求は必要ありません。」
ハッキングされた一部の企業によるインシデント対応から判断すると、より良いバグバウンティへの自然淘汰がすでに行われている可能性があります.