Шериф проти мисливця: критика bug bounty

Твій криптопроєкт потребує шерифа, а не мисливця за головами

У квітні 18-го, Аві Ізенберг був засуджений за шахрайство за свою експлуатацію Mango Markets у жовтні 2022 року. Справа викликала особливий інтерес, оскільки Ізенберг швидко визнав себе в проведенні атаки на суму $110 мільйонів і характеризував свої тактики не як злочин, а як `вигідну торгівельну стратегію`, спираючись на своє тлумачення девізу `код це закон`.

Стивен Вальбрел є співзасновником та головним технологічним офіцером Halborn, фірми з кібербезпеки, що спеціалізується на блокчейн-компаніях.

Ізенберг також намагався виправдати свої дії ще одним способом: розглядаючи виручку як `bug bounty` або винагороду за ідентифікацію вразливостей. Так сторони охарактеризували угоду, в рамках якої Ізенберг повернув близько $67 мільйонів Mango, але залишив за собою $47 мільйонів на обмін за обіцянку не порушувати справу. Це було б найбільшим `bug bounty` в історії.

Я працюю в сфері кібербезпеки протягом 15 років, і сам проводив деякі полювання за `bug bounty`. Так що вірте мені, коли я кажу: так не працюють `bug bounties`.

Пізніше керівництво Mango відмовилося від угоди з Ізенбергом, зрозуміло сказавши, що угода була укладена під примусом. Суди також не взяли серйозно терміну `bug bounty`. Це добре, оскільки ідея того, що злодій може просто повернути частину свого здобутку і раптово стати героєм, створює небезпечні стимули.

Але подія також показує, чому навіть правильні `bug bounties` сприймаються критично серед експертів з кібербезпеки. Хоча вони мають своє місце в комплексному підході до безпеки, вони можуть створювати лише ілюзію безпеки, якщо використовувати їх у зневажених випадках. Що гірше, вони можуть створювати спрямованість на погане і недоброзичливість, які збільшують ризики замість їх зменшення - особливо для проектів у крипто- та блокчейн-сферах.

`Ретроактивні bug bounty` чи просто `шантаж`?

Багато інших криптопоміщиків повертали кошти після їх викрадення, наприклад, у атаках на Poly Network та Euler Finance. Це унікальне крипто-явище, яке деякі називають `ретроактивними bug bounties`. По суті, ідея в тому, що нападники знайшли вразливість в системі, а кошти, які вони беруть, є винагородою за їх знахідку. Однак на практиці ці випадки схожі на переговори з заручниками, де жертви сподіваються підбадьорити або тискнути нападника повернути кошти.

Я не підтримую хакерів, які утримують фінансових заручників, але як колишній полювач за `bug bounty`, я не можу заперечити певної поетичної справедливості у цьому. Більше одного разу, я повідомляв фірми з програмами винагород за вразливості про серйозні або критичні вразливості, тільки щоб вони проігнорували ризики протягом місяців або навіть років. Я цілком розумію фрустрацію, яка може спонукати молодого або наївного дослідника з безпеки у такій ситуації просто збагатитися своїми знаннями - змінити свою роль з `білого шляху` шерифа на `чорний шлях` банківського грабіжника.

Клікніть ось для отримання додаткової інформації.