Шериф проти мисливця: критика bug bounty
42
Твій криптопроєкт потребує шерифа, а не мисливця за головами
У квітні 18-го, Аві Ізенберг був засуджений за шахрайство за свою експлуатацію Mango Markets у жовтні 2022 року. Справа викликала особливий інтерес, оскільки Ізенберг швидко визнав себе в проведенні атаки на суму $110 мільйонів і характеризував свої тактики не як злочин, а як `вигідну торгівельну стратегію`, спираючись на своє тлумачення девізу `код це закон`.
Стивен Вальбрел є співзасновником та головним технологічним офіцером Halborn, фірми з кібербезпеки, що спеціалізується на блокчейн-компаніях.
Ізенберг також намагався виправдати свої дії ще одним способом: розглядаючи виручку як `bug bounty` або винагороду за ідентифікацію вразливостей. Так сторони охарактеризували угоду, в рамках якої Ізенберг повернув близько $67 мільйонів Mango, але залишив за собою $47 мільйонів на обмін за обіцянку не порушувати справу. Це було б найбільшим `bug bounty` в історії.
Я працюю в сфері кібербезпеки протягом 15 років, і сам проводив деякі полювання за `bug bounty`. Так що вірте мені, коли я кажу: так не працюють `bug bounties`.
Пізніше керівництво Mango відмовилося від угоди з Ізенбергом, зрозуміло сказавши, що угода була укладена під примусом. Суди також не взяли серйозно терміну `bug bounty`. Це добре, оскільки ідея того, що злодій може просто повернути частину свого здобутку і раптово стати героєм, створює небезпечні стимули.
Але подія також показує, чому навіть правильні `bug bounties` сприймаються критично серед експертів з кібербезпеки. Хоча вони мають своє місце в комплексному підході до безпеки, вони можуть створювати лише ілюзію безпеки, якщо використовувати їх у зневажених випадках. Що гірше, вони можуть створювати спрямованість на погане і недоброзичливість, які збільшують ризики замість їх зменшення - особливо для проектів у крипто- та блокчейн-сферах.
`Ретроактивні bug bounty` чи просто `шантаж`?
Багато інших криптопоміщиків повертали кошти після їх викрадення, наприклад, у атаках на Poly Network та Euler Finance. Це унікальне крипто-явище, яке деякі називають `ретроактивними bug bounties`. По суті, ідея в тому, що нападники знайшли вразливість в системі, а кошти, які вони беруть, є винагородою за їх знахідку. Однак на практиці ці випадки схожі на переговори з заручниками, де жертви сподіваються підбадьорити або тискнути нападника повернути кошти.
Я не підтримую хакерів, які утримують фінансових заручників, але як колишній полювач за `bug bounty`, я не можу заперечити певної поетичної справедливості у цьому. Більше одного разу, я повідомляв фірми з програмами винагород за вразливості про серйозні або критичні вразливості, тільки щоб вони проігнорували ризики протягом місяців або навіть років. Я цілком розумію фрустрацію, яка може спонукати молодого або наївного дослідника з безпеки у такій ситуації просто збагатитися своїми знаннями - змінити свою роль з `білого шляху` шерифа на `чорний шлях` банківського грабіжника.
Клікніть ось для отримання додаткової інформації.
OpenAI на тиждень закривається через тиск з боку Meta: співробітники йдуть, стратегія під загрозою
OpenAI закривається на тиждень через перевантаження, коли Meta активно рекрутує таланти. Стратегії компаній різні: OpenAI - закриті моделі, Meta - відкриті розробки. 💻🚀
Суперечка навколо костюма Зеленського на саміті НАТО: що кажуть криптобеттори?
Судова справа Polymarket про одяг Зеленського на саміті НАТО викликала суперечки серед криптобетторів. Чи дійсно це костюм? 🤔💼🔍 Визначення й рішення ринку можуть стати ще більш заплутаними. ⚖️💰
Запуск домену .PUNDI для крипто-платежів та інтеграції з ШІ
Unstoppable Domains і Pundi X запустили домен .PUNDI для крипто-платежів та інтеграції з ШІ. Це полегшить транзакції та розвиток децентралізованих додатків. 🚀💰🤖
Спонсорство Ledger з НБА: відновлення партнерств у спорті та криптовалютах
Спонсорство Ledger із командою Спурз свідчить про відновлення партнерств між спортом і криптовалютами. Витрати на спонсорство зросли на 20%, що відображає оптимізм у галузі. 🏀💰💥