Il tuo progetto Cripto ha bisogno di uno sceriffo, non di un cacciatore di taglie

Il 18 aprile, Avi Eisenberg è stato condannato per frode per il suo exploit di Mango Mercati dell'ottobre 2022. Il caso ha attirato particolare attenzione perché Eisenberg ha rapidamente riconosciuto di aver eseguito l'attacco da 110 milioni di dollari e ha caratterizzato le sue tattiche non come un crimine, ma come un “strategia di trading altamente redditizia”,basandosi sulla sua interpretazione del detto secondo cui “il codice è legge”.

Steven Walbroehl è co-fondatore e direttore Tecnologie di Halborn, un'azienda di sicurezza informatica specializzata in aziende blockchain.

Eisenberg ha anche cercato di giustificare le sue attività in un secondo modo: inquadrando i proventi come un “bug bounty”, ovvero una ricompensa per l’identificazione di una vulnerabilità. È così che le particaratterizzato un affarein cui Eisenberg restituì circa 67 milioni di dollari a Mango, ma tenne i restanti 47 milioni, in cambio della promessa di non sporgere denuncia. Ciò avrebbe resola più grande ricompensa per gli insetti della storia.

Sono un professionista della sicurezza informatica da 15 anni e ho fatto anch'io qualche caccia ai bug-bounty. Quindi credetemi quando dico: non è così che funzionano i bug-bounty.

La dirigenza di Mango in seguito ha rinnegato l'accordo con Eisenberg, affermando comprensibilmente che l'affare erafatto sotto costrizione. I tribunaliT ha preso sul serio la definizione di "taglia", neanche. Questo è un bene, perché l'idea che un ladro possa semplicemente restituire parte del suo bottino e diventare improvvisamente un eroe crea incentivi pericolosi.

Ma l'incidente illustra anche perché persino i bug bounty veri e propri sono controversi tra gli esperti di sicurezza informatica. Sebbene abbiano il loro posto in un approccio di sicurezza completo, possono semplicemente creare un'illusione di sicurezza se usati isolatamente. Peggio ancora, possono creare motivazioni perverse e rancore che aumento rischio invece di mitigarlo, soprattutto per i progetti Cripto e blockchain.

"Bounty retroattive per i bug" o semplice "ricatto"?

Molti altri aggressori Cripto hanno restituito i fondi dopo averli presi, ad esempio nel POLY E Finanza Eulero attacchi. È un fenomeno unicamente Cripto che alcuni hanno chiamato“premi retroattivi per bug”. In linea di principio, l'idea è che gli aggressori abbiano trovato una vulnerabilità in un sistema e che il denaro che prendono sia in qualche modo una giusta ricompensa per la loro Da scoprire. In pratica, però, questi incidenti sono più simili a negoziazioni di ostaggi, con le vittime che sperano di blandire o fare pressione sull'aggressore affinché restituisca il denaro.

T approvo che gli hacker prendano in ostaggio i soldi, ma essendo io stesso un ex cacciatore di bug-bounty, T posso negare una certa giustizia poetica a questo. Più di una volta, ho avvisato aziende con programmi di ricompensa di vulnerabilità gravi o critiche, solo per vederle respingere o ignorare i rischi per mesi o addirittura anni. Posso capire pienamente la frustrazione che potrebbe portare un giovane o ingenuo ricercatore di sicurezza in quella situazione ad arricchirsi semplicemente con le proprie conoscenze, a fare come Breaking Bad e passare da sceriffo "white hat" a rapinatore di banche "black hat".

Vedi anche:La DeFi ha bisogno che gli hacker diventino inattaccabili | Opinioni (2021)

Un problema CORE è che i progetti che offrono premi hanno molti incentivi a pagarli il meno frequentemente e il meno a buon mercato possibile. Ovviamente ci sono i costi finanziari, ma saresti sorpreso di quanto spesso un team neghi la gravità di un bug segnalato semplicemente per proteggere la propria reputazione, lasciando gli utenti a rischio continuo. Tale rifiuto può assumere numerose forme, come dichiarare i bug "fuori dall'ambito" per un premio pubblicato. A volte gli sviluppatori permalosi minacciano persino di intraprendere azioni legali contro i ricercatori che li hanno contattati correttamente con bug gravi.

Può essere incredibilmente frustrante per un ricercatore passare ore infinite alla ricerca di un "bug bounty", solo per vedere le proprie scoperte scartate o addirittura respinte contro di sé. Fare qualcosa di distruttivo, come rubare un sacco di soldi, potrebbe persino sembrare un modo ragionevole per ottenere risultati quando si è stati ignorati. Questa è la logica distorta dietro al tentativo di Avi Eisenberg di posizionare il suo furto come un "bug bounty": perdere 47 milioni di dollari è una spinta piuttosto grande per risolvere una vulnerabilità.

Troppo spesso vedo progetti blockchain che si basano in gran parte o addirittura esclusivamente su un mix di programmi bounty e supervisione interna per la sicurezza. E questa è una ricetta per il disastro.

La frustrazione di alcuni cacciatori di taglie è inestricabilmente legata a un altro difetto dei bug bounty: in genere invitano a inviare molti contributi che T sono utili. Per ogni bug autentico segnalato, un progetto potrebbe ricevere decine o addirittura centinaia di segnalazioni che non portano da nessuna parte. Un team potrebbe onestamente trascurare contributi di alta qualità mentre setaccia tutta quella feccia. Più in generale, cercare un ago nel pagliaio dei bug bounty può richiedere così tanto tempo ed energia ai dipendenti che compensa i risparmi sui costi che un programma di bounty potrebbe sembrare offrire.

I bug bounty sono anche particolarmente rischiosi per i progetti blockchain in alcuni modi. A differenza, ad esempio, di un'app per iPhone, è difficile testare completamente uno strumento basato su blockchain prima che sia stato effettivamente distribuito. I progetti software mainstream spesso lasciano che i cacciatori di bug cerchino di violare le versioni pre-produzione del software, ma in Cripto, le vulnerabilità possono emergere dalle interazioni di un sistema con altri prodotti on-chain.

L'hack di Mango di Eisenberg, ad esempio, si basava su oracoli di prezzo e sarebbe stato difficile o impossibile simularlo in un ambiente di test. Ciò può portare i cacciatori di taglie a provare attacchi sugli stessi sistemi in cui gli utenti reali hanno soldi in gioco, e a mettere a rischio quei soldi veri.

Mi preoccupa anche il fatto che così tanti programmi di bounty blockchain consentano invii anonimi, cosa molto più rara nella sicurezza informatica mainstream. Alcuni addirittura distribuiscono ricompense senza controlli di identità; ovvero, non hanno idea a chi stanno pagando la ricompensa.

Vedi anche:Chiamare un hack un exploit riduce al minimo l'errore Human | Opinioni (2022)

Ciò presenta una tentazione davvero inquietante: i programmatori di un progetto potrebbero lasciare dei bug al loro posto, o addirittura introdurre bug critici, quindi lasciare che un amico anonimo "trovi" e "segnali" i bug. L'insider e il cacciatore di bug potrebbero quindi dividersi la ricompensa, costando un sacco di soldi al progetto senza rendere nessuno più sicuro.

Hai bisogno di uno sceriffo, non di un cacciatore di taglie

Nonostante tutto questo, i bug bounty hanno ancora un ruolo da svolgere nella sicurezza della blockchain. L'idea di base di offrire una ricompensa per attrarre un'enorme diversità di talenti per provare a rompere il tuo sistema è ancora solida. Ma troppo spesso vedo progetti blockchain che si basano in gran parte o addirittura esclusivamente su un mix di programmi bounty e supervisione interna per la sicurezza. E questa è una ricetta per il disastro.

C'è una ragione, dopotutto, per cui i cacciatori di taglie nei film sono così spesso dei "cappelli grigi" moralmente ambigui: pensate a BOBA Fett, a "Man With No Name" di Clint Eastwood o al dottor King Schulz di "Django Unchained". Sono mercenari, lì per un pagamento una tantum, e notoriamente indifferenti al quadro generale del problema che stanno risolvendo. All'estremo opposto dello spettro, puoi trovare un Avi Eisenberg, desideroso di adottare la copertura di un "bug bounty" quando loro stessi sono i veri cattivi.

Ecco perché i cacciatori di taglie di vecchia data alla fine si rivolgevano a uno sceriffo, che ha un dovere a lungo termine nei confronti delle persone che protegge e si assicura che tutti rispettino le regole. In termini di sicurezza informatica, il ruolo dello sceriffo è svolto da revisori di codice professionisti, persone con una reputazione pubblica da proteggere, che vengono pagate indipendentemente da ciò che scoprono. Una revisione da parte di una società esterna mitiga anche l'impulso difensivo fuorviante degli sviluppatori interni che potrebbero rifiutare bug reali per proteggere la propria reputazione. E gli specialisti della sicurezza blockchain possono spesso prevedere i tipi di interazioni finanziarie che hanno sventrato Mango Mercati, prima che ci siano soldi veri in gioco.

La stragrande maggioranza dei cacciatori di bug bounty, per essere chiari, sta davvero cercando di fare la cosa giusta. Ma hanno così poco potere all'interno delle regole di quel sistema che non sorprende che alcuni di loro finiscano per usare male le loro scoperte. T possiamo normalizzare quel comportamento dando a sfruttatori come Avi Eisenberg il timbro di approvazione implicito in un premio "bounty" - e i progetti che hanno davvero a cuore la sicurezza dei loro utenti T dovrebbero lasciarla nelle mani della folla.

Vedi anche:Ogle cattura i truffatori Cripto