Шериф проти мисливця: критика bug bounty
12
Твій криптопроєкт потребує шерифа, а не мисливця за головами
У квітні 18-го, Аві Ізенберг був засуджений за шахрайство за свою експлуатацію Mango Markets у жовтні 2022 року. Справа викликала особливий інтерес, оскільки Ізенберг швидко визнав себе в проведенні атаки на суму $110 мільйонів і характеризував свої тактики не як злочин, а як `вигідну торгівельну стратегію`, спираючись на своє тлумачення девізу `код це закон`.
Стивен Вальбрел є співзасновником та головним технологічним офіцером Halborn, фірми з кібербезпеки, що спеціалізується на блокчейн-компаніях.
Ізенберг також намагався виправдати свої дії ще одним способом: розглядаючи виручку як `bug bounty` або винагороду за ідентифікацію вразливостей. Так сторони охарактеризували угоду, в рамках якої Ізенберг повернув близько $67 мільйонів Mango, але залишив за собою $47 мільйонів на обмін за обіцянку не порушувати справу. Це було б найбільшим `bug bounty` в історії.
Я працюю в сфері кібербезпеки протягом 15 років, і сам проводив деякі полювання за `bug bounty`. Так що вірте мені, коли я кажу: так не працюють `bug bounties`.
Пізніше керівництво Mango відмовилося від угоди з Ізенбергом, зрозуміло сказавши, що угода була укладена під примусом. Суди також не взяли серйозно терміну `bug bounty`. Це добре, оскільки ідея того, що злодій може просто повернути частину свого здобутку і раптово стати героєм, створює небезпечні стимули.
Але подія також показує, чому навіть правильні `bug bounties` сприймаються критично серед експертів з кібербезпеки. Хоча вони мають своє місце в комплексному підході до безпеки, вони можуть створювати лише ілюзію безпеки, якщо використовувати їх у зневажених випадках. Що гірше, вони можуть створювати спрямованість на погане і недоброзичливість, які збільшують ризики замість їх зменшення - особливо для проектів у крипто- та блокчейн-сферах.
`Ретроактивні bug bounty` чи просто `шантаж`?
Багато інших криптопоміщиків повертали кошти після їх викрадення, наприклад, у атаках на Poly Network та Euler Finance. Це унікальне крипто-явище, яке деякі називають `ретроактивними bug bounties`. По суті, ідея в тому, що нападники знайшли вразливість в системі, а кошти, які вони беруть, є винагородою за їх знахідку. Однак на практиці ці випадки схожі на переговори з заручниками, де жертви сподіваються підбадьорити або тискнути нападника повернути кошти.
Я не підтримую хакерів, які утримують фінансових заручників, але як колишній полювач за `bug bounty`, я не можу заперечити певної поетичної справедливості у цьому. Більше одного разу, я повідомляв фірми з програмами винагород за вразливості про серйозні або критичні вразливості, тільки щоб вони проігнорували ризики протягом місяців або навіть років. Я цілком розумію фрустрацію, яка може спонукати молодого або наївного дослідника з безпеки у такій ситуації просто збагатитися своїми знаннями - змінити свою роль з `білого шляху` шерифа на `чорний шлях` банківського грабіжника.
Клікніть ось для отримання додаткової інформації.
JustGiving підтримує біткоїни та догекоіни для благодійних пожертвувань
JustGiving підтримує біткоїни та догекоіни! 🎉 Тепер користувачі можуть жертвувати понад 60 криптовалют, спрощуючи фінансову допомогу благодійним організаціям. 💰 Благодійні фонди отримають нові можливості. 🚀
Visa запускає B2B Connect у Катарі завдяки новим регуляціям DLT
Visa запустила B2B Connect у Катарі після нових регуляцій DLT, що дозволяє банкам покращувати фінансові операції. Зростання цифрових платежів вражає! 💳🌐💼
Браян Брукс стає фаворитом на посаду голови SEC під час адміністрації Трампа, обіймаючи лідерську позицію серед кандидатів у криптоіндустрії.
Кандидатура Браяна Брукса на позицію голови SEC активно обговорюється криптоспільнотою. Його шанс на призначення – 40%, попереду Дан Галлахер з 30%.🔍💼💰
Лаптоп для відстеження вкрадених біткоїнів з Bitfinex потрапив до Смiтсонівського музею як символ еволюції уявлень про гроші.
Лаптоп, на якому відстежували вкрадені біткоїни з Bitfinex, тепер в Смiтсонівському музеї. Це символ змін у розумінні криптовалюти і її відстеження. 💻💰🔍✨🪙