Шериф проти мисливця: критика bug bounty
56
Твій криптопроєкт потребує шерифа, а не мисливця за головами
У квітні 18-го, Аві Ізенберг був засуджений за шахрайство за свою експлуатацію Mango Markets у жовтні 2022 року. Справа викликала особливий інтерес, оскільки Ізенберг швидко визнав себе в проведенні атаки на суму $110 мільйонів і характеризував свої тактики не як злочин, а як `вигідну торгівельну стратегію`, спираючись на своє тлумачення девізу `код це закон`.
Стивен Вальбрел є співзасновником та головним технологічним офіцером Halborn, фірми з кібербезпеки, що спеціалізується на блокчейн-компаніях.
Ізенберг також намагався виправдати свої дії ще одним способом: розглядаючи виручку як `bug bounty` або винагороду за ідентифікацію вразливостей. Так сторони охарактеризували угоду, в рамках якої Ізенберг повернув близько $67 мільйонів Mango, але залишив за собою $47 мільйонів на обмін за обіцянку не порушувати справу. Це було б найбільшим `bug bounty` в історії.
Я працюю в сфері кібербезпеки протягом 15 років, і сам проводив деякі полювання за `bug bounty`. Так що вірте мені, коли я кажу: так не працюють `bug bounties`.
Пізніше керівництво Mango відмовилося від угоди з Ізенбергом, зрозуміло сказавши, що угода була укладена під примусом. Суди також не взяли серйозно терміну `bug bounty`. Це добре, оскільки ідея того, що злодій може просто повернути частину свого здобутку і раптово стати героєм, створює небезпечні стимули.
Але подія також показує, чому навіть правильні `bug bounties` сприймаються критично серед експертів з кібербезпеки. Хоча вони мають своє місце в комплексному підході до безпеки, вони можуть створювати лише ілюзію безпеки, якщо використовувати їх у зневажених випадках. Що гірше, вони можуть створювати спрямованість на погане і недоброзичливість, які збільшують ризики замість їх зменшення - особливо для проектів у крипто- та блокчейн-сферах.
`Ретроактивні bug bounty` чи просто `шантаж`?
Багато інших криптопоміщиків повертали кошти після їх викрадення, наприклад, у атаках на Poly Network та Euler Finance. Це унікальне крипто-явище, яке деякі називають `ретроактивними bug bounties`. По суті, ідея в тому, що нападники знайшли вразливість в системі, а кошти, які вони беруть, є винагородою за їх знахідку. Однак на практиці ці випадки схожі на переговори з заручниками, де жертви сподіваються підбадьорити або тискнути нападника повернути кошти.
Я не підтримую хакерів, які утримують фінансових заручників, але як колишній полювач за `bug bounty`, я не можу заперечити певної поетичної справедливості у цьому. Більше одного разу, я повідомляв фірми з програмами винагород за вразливості про серйозні або критичні вразливості, тільки щоб вони проігнорували ризики протягом місяців або навіть років. Я цілком розумію фрустрацію, яка може спонукати молодого або наївного дослідника з безпеки у такій ситуації просто збагатитися своїми знаннями - змінити свою роль з `білого шляху` шерифа на `чорний шлях` банківського грабіжника.
Клікніть ось для отримання додаткової інформації.
Торговельна війна США та Китаю: нові загрози, мита та експорт рідкоземельних мінералів
Торговельна війна США та Китаю загострюється, з новими загрозами мит і санкцій. Китай введе експортні обмеження на рідкоземельні мінерали, що вплине на глобальні ринки. 📉💰⚡️🌍💼
Nasdaq визнав токенізацію досліджень раку від AlphaTON Capital
Nasdaq визнав ініціативу AlphaTON з токенізації досліджень раку, підкреслюючи інтерес до блокчейн-фінансування в охороні здоровя. 🚀💡 Це відкриває нові можливості для інвесторів! 🎗️🔗
Майбутнє мNAV: Чи витримають премії крипто-холдингів ринкові потрясіння?
Премії модифікованого чистого активу на крипто-компанії під тиском. Краще адаптовані структури капіталу витримають падіння, тоді як інші ризикують втратити мільярди 💸📉.
Flare та TON Wallet обєднують зусилля для запуску FLR з новими можливостями для користувачів
Flare співпрацює з TON Wallet для запуску FLR, залучаючи нових користувачів та інтегруючи FLR у Wallet. Кампанія пропонує освітній контент і мотиваційні заходи. 🚀💰📈