Вашому Крипто потрібен шериф, а не мисливець за головами

18 квітня Аві Айзенберга було визнано винним у шахрайстві за його вторгнення в Mango Ринки у жовтні 2022 року. Справа привернула особливу увагу, оскільки Айзенберг швидко визнав, що здійснив атаку на 110 мільйонів доларів, і охарактеризував свою тактику не як злочин, а як «високоприбуткова торгова стратегія» спираючись на його тлумачення вислову, що «кодекс є законом».

Стівен Валброль є співзасновником і головним Технології директором Halborn, фірми з кібербезпеки, що спеціалізується на блокчейн-компаніях.

Айзенберг також намагався виправдати свою діяльність іншим способом: представивши виручку як «нагороду за помилку» або винагороду за виявлення вразливості. Ось так сторони характеризував угоду в якому Айзенберг повернув Mango близько 67 мільйонів доларів, але залишив собі решту 47 мільйонів доларів в обмін на обіцянку не висувати звинувачення. Це зробило б це найбільша винагорода за помилку в історії.

Я займаюся кібербезпекою 15 років і сам займаюся пошуком винагород за помилки. Тож повірте мені, коли я кажу: винагороди за помилки не працюють так.

Пізніше керівництво Mango відмовилося від угоди з Айзенбергом, зрозуміло заявивши, що угода була такою зроблено під примусом. Суди T сприйняв кадрування «баунті» всерйоз, або. Це добре, тому що думка про те, що злодій може просто повернути частину своєї здобичі і раптово стати героєм, створює небезпечні стимули.

Але цей інцидент також показує, чому експерти з кібербезпеки викликають суперечки навіть щодо належних винагород за помилки. Хоча вони займають своє місце в комплексному підході до безпеки, вони можуть лише створити ілюзію безпеки, якщо використовувати їх ізольовано. Що ще гірше, вони можуть створювати збочені мотиви та погану кров збільшення ризик замість того, щоб його пом’якшувати, особливо для Крипто і блокчейн-проектів.

«Нагороди за помилки заднім числом» чи звичайний «шантаж»?

Багато інших Крипто зловмисників повернули кошти після їх заволодіння, наприклад, у Мережа POLY і Euler Фінанси напади. Це унікальний Крипто , який деякі називають «ретроактивні винагороди за помилки». У невизначеному принципі ідея полягає в тому, що зловмисники знайшли вразливе місце в системі, і що гроші, які вони беруть, є певною мірою справедливою винагородою за їх Цікаве. На практиці, однак, ці інциденти більше нагадують переговори щодо захоплення заручників, коли жертви сподіваються умовити або натиснути на нападника, щоб той повернув гроші.

Я T схвалюю хакерів, які беруть фінансові заручники, але, як колишній мисливець за головами за помилками, я T можу відмовити цьому в певній поетичній справедливості. Неодноразово я повідомляв фірми з програмами винагороди про серйозні або критичні вразливості, але змушував їх відкидати або ігнорувати ризики протягом місяців або навіть років. Я цілком розумію розчарування, яке може змусити молодого чи наївного дослідника безпеки в такій ситуації просто збагатитися своїми знаннями – зробити Breaking Bad і перетворитися з шерифа в «білому капелюсі» в «чорного» грабіжника банків.

Дивіться також: DeFi потребує хакерів, щоб стати неможливим для злому | Погляди (2021)

CORE проблема полягає в тому, що проекти, які пропонують бонуси, мають багато стимулів виплачувати їх якомога рідше та якомога дешевше. Очевидно, що є фінансові витрати, але ви здивуєтеся, як часто команда буде заперечувати серйозність повідомленої помилки просто для захисту власної репутації, залишаючи користувачів під постійною небезпекою. Ця відмова може приймати різні форми, наприклад оголошення помилок «поза межами» для опублікованої нагороди. Іноді тонкошкірі розробники навіть погрожують судовим позовом дослідникам, які належним чином звернулися до них із серйозними помилками.

Для дослідника може бути неймовірно розчаровано витрачати нескінченні години на «винагороду за помилку» лише для того, щоб їхні висновки були відхилені або навіть повернуті проти них. Зробити щось деструктивне, наприклад, вкрасти багато грошей, може навіть здатися розумним способом отримати результат, коли вас ігнорують. Це перекручена логіка, за якою Аві Айзенберг намагається позиціонувати свою крадіжку як «винагороду за помилку» — втрата 47 мільйонів доларів є досить серйозним поштовхом для усунення вразливості.

Дуже часто я бачу блокчейн-проекти, які значною мірою або навіть виключно покладаються на поєднання програм баунті та внутрішнього нагляду за безпекою. І це рецепт катастрофи.

Розчарування деяких мисливців за головами невід’ємне від ще одного недоліку винагород за помилок: зазвичай вони запрошують багато матеріалів, які T є корисними. На кожне повідомлення про справжню помилку проект може отримати десятки чи навіть сотні повідомлень, які нікуди не приведуть. Команда могла б чесно не помітити високоякісних матеріалів, просіюючи весь цей шлак. Загалом, пошук голки в стозі винагороди за помилок може забрати стільки часу та енергії співробітників, що компенсує економію коштів, яку може запропонувати програма винагороди.

Винагороди за помилки також надзвичайно ризиковані для блокчейн-проектів у кількох аспектах. На відміну, скажімо, від програми для iPhone, важко повністю протестувати інструмент, заснований на блокчейні, до його фактичного розгортання. Основні проекти програмного забезпечення часто дозволяють шукачам помилок намагатися зламати попередні версії програмного забезпечення, але в Крипто уразливості можуть виникати під час взаємодії системи з іншими продуктами в мережі.

Наприклад, хак Mango Айзенберга покладався на оракули цін, і його було б важко або неможливо змоделювати в тестовому середовищі. Це може змусити мисливців за головами спробувати атаки на ті самі системи, де реальні користувачі мають на кону гроші, і поставити ці реальні гроші під загрозу.

Мене також непокоїть той факт, що так багато блокчейн-баунті програм дозволяють анонімні подання, які набагато рідше зустрічаються в кібербезпеці. Деякі навіть роздають винагороди без перевірки особи; тобто вони поняття не мають, кому платять винагороду.

Дивіться також: Називаючи хак експлойтом, ви мінімізуєте Human помилку | Погляди (2022)

Це створює справді зловісну спокусу: кодери проекту можуть залишити помилки на місці або навіть запровадити критичні помилки, а потім дозволити анонімному другу «знайти» та «повідомити» про помилки. Інсайдер і мисливець за помилками могли б розділити винагороду за баунті, коштуючи проекту великих грошей, не забезпечуючи нікого в безпеці.

Вам потрібен шериф, а не мисливець за головами

Незважаючи на все це, винагороди за помилки все ще відіграють важливу роль у безпеці блокчейну. Основна ідея пропонувати винагороду за залучення великої різноманітності талантів, щоб спробувати зламати вашу систему, все ще є твердою. Але надто часто я бачу блокчейн-проекти, які значною мірою або навіть виключно покладаються на поєднання програм баунті та внутрішнього нагляду за безпекою. І це рецепт катастрофи.

Зрештою, є причина того, що мисливці за головами у фільмах часто є морально неоднозначними «сірими капелюхами» – згадайте BOBA Фетта, «Людину без імені» Клінта Іствуда чи доктора Кінга Шульца з «Джанго звільненого». Вони найманці, готові отримати одноразову винагороду, і, як відомо, байдужі до загальної картини проблеми, яку вони вирішують. На самому дальньому кінці спектру ви можете отримати Аві Айзенберга, який прагне прийняти обкладинку «нагороди за помилок», хоча вони самі є справжніми лиходіями.

Ось чому колишні мисливці за головами зрештою звітували перед шерифом, який має довгостроковий обов’язок перед людьми, яких він захищає, і стежить за тим, щоб усі грали за правилами. З точки зору кібербезпеки, роль шерифа виконують професійні рецензенти коду – люди з публічною репутацією, яких потрібно захищати, які отримують гроші незалежно від того, що вони виявляють. Огляд зовнішньої фірми також пом’якшує помилковий захисний імпульс внутрішніх розробників, які можуть відхиляти справжні помилки, щоб захистити власну репутацію. І фахівці з блокчейн-безпеки часто можуть передбачити види фінансових взаємодій, які знищили Mango Ринки, ще до того, як на кону будуть реальні гроші.

Щоб було зрозуміло, переважна більшість мисливців за головами за помилками справді намагаються діяти правильно. Але вони мають так мало влади в рамках правил цієї системи, що не дивно, що деякі з них зловживають своїми висновками. Ми T можемо нормалізувати таку поведінку, надаючи експлуататорам, таким як Аві Айзенберг, печатку схвалення, яку передбачає нагорода «баунті», і проекти, які дійсно піклуються про безпеку своїх користувачів, T повинні залишати це в руках натовпу.

Дивіться також: Ogle ловить Крипто