暗号のバグバウンティ—プラットフォームの安全性を確保するための最良の方法？

暗号会社は、ハッカーが自分たちのセキュリティシステムを自分たちよりもよく知っているという難しい方法を見つけることがよくあります。暗号通貨の世界でのハッキングにより、数億ドル相当のトークンが盗まれる可能性があり、その結果になることが多いため、企業の将来の運命は、セキュリティ対策に依存することがよくあります。ハッチを打ち負かすために、企業はバグ報奨金を提供しています.

これらの報奨金は本質的に、ハッカーがソフトウェアを危険にさらそうとすることを奨励される競争です。次に、ハッカーは脆弱性レポートをそれぞれの会社に送信して、バグが悪用される前にパッチを適用できるようにします。報酬として、成功したハッカーには報奨金が支払われます.

ほとんどの企業は、バグの重大度に対応する報酬価格で、時差のある規模で報奨金を提供しています。報奨金は、低レベルの修正で約50ドルから100ドルで始まり、通常、重大なバグで約10,000ドルに制限されます。まれに、ハッカーにさらに多くの賞が授与されることがあります。.

マイクロソフトとペンタゴンの最初のバグ報奨金の両方を立ち上げたLutaSecurityの創設者兼CEOであるKatieMoussourisは、バグ報酬スキームがどのように役立つかをCointelegraphに説明しました。

「バグバウンティは、組織内の脆弱性を最初に防止および検出することに焦点を当てた予防的なセキュリティ活動を補完するものとして最も有用で効率的です。組織が優れたセキュリティ慣行を確立すると、バグバウンティは組織が見逃したセキュリティバグを特定するのに役立ちます。バグバウンティだけでは十分ではありません。」

ソフトウェアを開発するほとんどの企業には、バグの恩恵があります。暗号通貨の世界では、会社の規模に関係なく、そのようなプログラムの必要性も同様に重要です。によると 報告する HackerOneが実施した企業は、2023年に878,000ドルのバグ報奨金を支払いました。GuidoVranken、オランダの研究者、 受け取った 7日以内に12個のバグを発見した後のEOSからの120,000ドルの支払いは、暗号会社にとっての賭け金が高いとCointelegraphに語った。

「グローバルなデジタル通貨の場合、他の多くのプロジェクトやWebサイトよりも間違いなく多くの問題があります。資産の盗難が最も具体的な例ですが、宣伝と為替レートの相乗効果により、広く公表されている脆弱性から純損失が発生する可能性もあります。」

最新のバグ報奨金の1つは、グローバルメッセージングアプリTelegramからのものです。 9月24日のTelegramContestsチャネルで発表された同社は、開発者にTONブロックチェーンを悪用して脆弱性レポートを提出するよう呼びかけています。.

ハッカーがTONブロックチェーンのバグを悪用して、別のユーザーのウォレットから資金を盗むことができる場合、Telegramは最大$ 200,000を支払います。これは、Augurの重大な問題と一致する金額です。 報奨金 暗号の歴史の中で最大の報酬の1つとして。コンテストは、10月下旬にTelegramのネイティブデジタルトークンであるGramの発売が待望されていることを背景に開催されます。.

EOSがトップの座を占める

小規模で新しい企業がバグ報奨金の提供に最も積極的であると考えたくなりますが、EOSの背後にある会社であるBlock.oneは、2023年に534,500ドルの報奨金でトップの座を獲得し、その年のすべての報奨金の60％を支払いました。 、報告によると.

EOSによると プロフィール HackerOneでは、同社はリスクの低いレポートに最大1,000ドル、重要なレポートに最大10,000ドルを支払います。プロファイルはまた、最終的な金額は常に報酬パネルの裁量で決定され、例外的な脆弱性に対してより高い報酬が与えられることにも言及しています.

2023年5月にEOS報奨金プログラムが開始された後、Vranken 説明 彼の発見を受けて、会社がセキュリティへのアプローチをどのように強化したか：

「報告されたバグは迅速に分析され、公開リポジトリで修正されました。 [EOS CTO] Daniel Larimerと私はTelegramでファイルをやり取りしていたため、最初は非常にアドホックなプロセスでしたが、その後、HackerOneでバグバウンティプログラムを実行し始めました。これが最大の利益になると思います。バグファインダーとEOSチームの両方。」

EOSは、2023年もハッカーに報酬を支払い続けており、これまでに5つの重大な脆弱性に対してバグ報奨金を配っています。 1月10日、EOSはHackerOneを通じて5人のホワイトハットハッカーに合計40,750ドルを授与し、別の研究者はさらに10,000ドルの報奨金を受け取りました。.

Coinbaseは2番目に大きな支出者です

世界最大の暗号通貨取引所の1つであるCoinbaseは、賞金に2番目に大きな支出をしており、2023年に合計290,381ドルを割り当てています。同社は、2023年半ばにユーザーが大幅に増加して以来、多くの注目すべき問題を経験しています。その結果、資金の遅延または不足、およびサービスの停電が発生します.

同社は、重大なバグを報告したことに対して、2023年2月にさらに30,000ドルの報酬を提供しました, によると Coinbaseの脆弱性開示プログラムに。当時、バグの詳細は公表されていませんでしたが、バグはプラットフォーム上で史上最大の報酬を獲得しました。 Coinbaseは4層の報奨金プログラムを運営しており、低リスクのケースには200ドル、中レベルの問題には2,000ドル、重大なバグには最大50,000ドルを支払います。.

CoinbaseのHackerOneプロファイルによると、重大な影響の悪用には、攻撃者が「システム内の機密データを読み取ったり変更したり、システム上で任意のコードを実行したり、何らかの方法でデジタル通貨や法定通貨を盗み出したりする可能性がある」状況が含まれます。

関連：修正後1か月で偽のXMRミンティングバグを解決することに関するMoneroレポート

同社はまた、影響の少ない問題を評価するためのガイドラインを定めました。「攻撃者は、ユーザーのサブセットに影響を与える、またはシステムの精度とパフォーマンスにわずかに影響を与える、不正で感度の低い情報を少量取得する可能性があります。」

報告された問題の修正に関しては、同社は取り込みが遅いという歴史があります。オランダの会社が、ユーザーがイーサリアム（ETH）で「好きなだけ」盗むことができるスマートコントラクトの不具合を発見した後、Coinbaseはそれを修正するのに1か月かかったと伝えられています。 Coinbaseは、発見の背後にある会社に10,000ドルの報酬を支払いました.

トロンは3番目に来る

TRXコインの背後にあるTronFoundationは、バグ報奨金への3番目に大きな支出であり、15件のレポートで合計78,800ドルでした。現在のところ、同社は合計85,400ドルの報奨金を支払い、最高額は10,000ドルで、HackerOneユーザーnu11peに非公開のレポートを求めています。.

同社の報奨金プログラムは、低リスクの脆弱性に100ドル、中リスクに3,000ドル、高リスクに6,000ドル、重大な問題に最大10,000ドルを支払います。 TronのHackerOneプロファイル 説明します 「任意のコードのリモート実行によってjava-tronノードを制御できるバグ」などの重大な障害、および秘密鍵の漏洩を引き起こす可能性のある障害.

5月、同社はブロックチェーンをダウンさせる可能性のある重大な脆弱性を明らかにしました。 HackerOneの発表によると、攻撃者は、スマートコントラクトに悪意のあるコードを実装することにより、分散型サービス拒否（DDoS）攻撃を通じて、利用可能なすべてのメモリを飲み込んだ可能性があります。.

同社は、1人の個人が1台のマシンを使用してDDoS攻撃を実行し、シニアノードのすべてまたは51％を攻撃して、ネットワークを使用できなくする可能性があると付け加えました。バグは1月14日に報告されましたが、すでに修正されて初めて公表されました。脆弱性の背後にある研究者は$ 1,500を授与されました.

バグバウンティは完璧なシステムではありません

バグバウンティプログラムは、企業がシステムの倫理的ハッキングに報いる健全な環境を明らかに作り出しますが、その概念には批評家がいないわけではありません。最近では、著名な暗号通貨の人物であるDovey Wanが、スマートコントラクトの開発を開始するというTelegramの決定を批判しました。ワンが登場 批判する 会社がソフトウェア開発プロセスへの再投資に失敗した例としてのイベントは、次のように述べています。

「申し訳ありませんが、500mmを超えるユーザーがいる、10億を超えるプロジェクトは、合理的なブロックエクスプローラーを適切に作成することさえできませんか？ Telegramのチーム内でのこのTONネットワークの優先度と、暗号関連のものにメガトレジャーをどのように使用するかについては疑問があります。」

LutaSecurityのCEOであるKatieMoussouris氏は、バグバウンティは既存のセキュリティ構造の重要な抜け穴を指摘するのに効果的ですが、専用のセキュリティプロセスを導入することに代わるものではないとCointelegraphに語りました。

「企業は、セキュリティのデューデリジェンスの安価な代替手段としてバグバウンティを使用することはできません。見知らぬ人に欠陥を修正する能力がなくても指摘するように頼むだけで、バグバウンティを使いすぎると組織がすぐに圧倒される可能性があります。」

フランケンは、研究者としての彼の経験に基づいて、バグ報奨金プログラムを持つ暗号会社は会社が信頼できることを示しているというコインテレグラフへの彼の見解を概説しました：

「適切に運用されている報奨金プログラムが実施されている暗号通貨プロジェクトは、実施されていないプロジェクトよりも早く信頼できます。このスタンスは、研究者としての私の経験と、広く使用されているソフトウェアでさえ、適切なインセンティブなしにそのコードを真剣に精査することによって必ずしも裏付けられていないという事実に対する私の認識によって形作られています。」

Vrankenはさらに、才能のレベルや提案された金額に関係なく、バグのないソフトウェアを構築することは非常に難しいと付け加えました。

「他に何もないとしても、バグ報奨金プログラムは、バグを報告するための正式なチャネルを確立し、研究者の仕事に感謝することを誓うことによって、研究者に対する非敵意を示します（金銭的補償を通じて）。」

現在のバグ報奨金システムは、道徳的な傾向から、または提供される報酬によって、責任を持って行動するハッカーに依存しています。ハッカーがスキームで宣伝されているよりも多くのお金を差し控えたり、欠陥の詳細を競合他社に販売したりすることは実現可能と思われるかもしれませんが、ムスリス氏は、そのような情報の需要は多くの人が認識しているほど高くはないと述べました。

「すべてのバグを購入するのを待っているバグ購入者が無限にいるわけではありません。これは一般的な神話です。ただし、暗号通貨では、他の領域よりもバグの購入者が多い可能性があります。そうは言っても、バグハンターが利益を優先する場合、より直接的な利益を得るために、暗号通貨で見つけたバグを販売するのではなく、悪用することを選択する可能性があります。」

世界中の暗号通貨とソフトウェア会社の両方によって宣伝されている報酬は、バグバウンティハンティングが儲かるキャリアを提供できるという印象を与えるかもしれませんが、現実には競争が激しく、アクセスが均等に分割されていません。ムスリスはコインテレグラフに、プライベートバグバウンティに招待された人はしばしば競争力があると説明しました。

「通常、ハンターが見つける方法を知っているバグの種類が比較的一般的なクラスのバグである場合は特に、補償されない作業が多くなります。特定の脆弱性を最初に報告した人だけが報酬を受け取るので、最も成功しているバグバウンティハンターは、競合他社が少ないプライベートバグバウンティに招待される傾向があります。」

Vrankenにとって、バグバウンティハンティングは混合バッグです。報酬はプロジェクトに投入された時間と常に一致するとは限らないためです。

「事前に努力と報酬を規定する契約作業と比較して、バグの報奨金は、高揚する（深く報酬を得るバグの山に遭遇したとき）またはイライラする（結果を達成せずに何かに多くの時間を費やす、またはより低いものを受け取る）可能性があります予想以上の報酬）。」