Шериф проти мисливця: критика bug bounty
33
Твій криптопроєкт потребує шерифа, а не мисливця за головами
У квітні 18-го, Аві Ізенберг був засуджений за шахрайство за свою експлуатацію Mango Markets у жовтні 2022 року. Справа викликала особливий інтерес, оскільки Ізенберг швидко визнав себе в проведенні атаки на суму $110 мільйонів і характеризував свої тактики не як злочин, а як `вигідну торгівельну стратегію`, спираючись на своє тлумачення девізу `код це закон`.
Стивен Вальбрел є співзасновником та головним технологічним офіцером Halborn, фірми з кібербезпеки, що спеціалізується на блокчейн-компаніях.
Ізенберг також намагався виправдати свої дії ще одним способом: розглядаючи виручку як `bug bounty` або винагороду за ідентифікацію вразливостей. Так сторони охарактеризували угоду, в рамках якої Ізенберг повернув близько $67 мільйонів Mango, але залишив за собою $47 мільйонів на обмін за обіцянку не порушувати справу. Це було б найбільшим `bug bounty` в історії.
Я працюю в сфері кібербезпеки протягом 15 років, і сам проводив деякі полювання за `bug bounty`. Так що вірте мені, коли я кажу: так не працюють `bug bounties`.
Пізніше керівництво Mango відмовилося від угоди з Ізенбергом, зрозуміло сказавши, що угода була укладена під примусом. Суди також не взяли серйозно терміну `bug bounty`. Це добре, оскільки ідея того, що злодій може просто повернути частину свого здобутку і раптово стати героєм, створює небезпечні стимули.
Але подія також показує, чому навіть правильні `bug bounties` сприймаються критично серед експертів з кібербезпеки. Хоча вони мають своє місце в комплексному підході до безпеки, вони можуть створювати лише ілюзію безпеки, якщо використовувати їх у зневажених випадках. Що гірше, вони можуть створювати спрямованість на погане і недоброзичливість, які збільшують ризики замість їх зменшення - особливо для проектів у крипто- та блокчейн-сферах.
`Ретроактивні bug bounty` чи просто `шантаж`?
Багато інших криптопоміщиків повертали кошти після їх викрадення, наприклад, у атаках на Poly Network та Euler Finance. Це унікальне крипто-явище, яке деякі називають `ретроактивними bug bounties`. По суті, ідея в тому, що нападники знайшли вразливість в системі, а кошти, які вони беруть, є винагородою за їх знахідку. Однак на практиці ці випадки схожі на переговори з заручниками, де жертви сподіваються підбадьорити або тискнути нападника повернути кошти.
Я не підтримую хакерів, які утримують фінансових заручників, але як колишній полювач за `bug bounty`, я не можу заперечити певної поетичної справедливості у цьому. Більше одного разу, я повідомляв фірми з програмами винагород за вразливості про серйозні або критичні вразливості, тільки щоб вони проігнорували ризики протягом місяців або навіть років. Я цілком розумію фрустрацію, яка може спонукати молодого або наївного дослідника з безпеки у такій ситуації просто збагатитися своїми знаннями - змінити свою роль з `білого шляху` шерифа на `чорний шлях` банківського грабіжника.
Клікніть ось для отримання додаткової інформації.
Гонка сперми: новий крипто-спорт, що підвищує обізнаність про чоловіче здоровя
Гонки сперми: новий тренд в крипто-ставках! 🚀 Студенти коледжу змагаються за швидкість сперми, залучаючи інвестиції та нові ідеї в спорт. Чи це справжній прогрес у здоровї? 💸👀
Тіффані Фонг відмовилася від пропозиції Елона Маска про дитину, що вплинуло на її доходи на платформі X.
Тіффані Фонг відмовилася від пропозиції Елона Маска про дитину, що призвело до падіння її доходів і охоплення на платформі X. 😲💔📉
Трамп запускає крипто-відеогру в стилі Monopoly: всі подробиці нового проєкту
Дональд Трамп запускає крипто-відеогру у стилі Monopoly. Проект, керований Біллом Занкером, еволюціонує в цифровий формат. Це ще одне вторгнення сімї Трампа в крипто-світ! 🎮💰🌐
OpenAI запускає соціальну мережу для конкуренції з X: нова платформа для обміну зображеннями від ChatGPT
OpenAI запускає нову соціальну мережу для конкуренції з X 🎨🤖. Платформа буде фокусуватися на обміні зображеннями, створеними ChatGPT. 🚀💡 нові можливості ринку!