Криптопроекты и вопрос баг-баунти

Вашему криптопроекту нужен шериф, а не охотник за головами.

18 апреля Ави Эйзенберг был признан виновным в мошенничестве за свой эксплойт Mango Markets в октябре 2022 года. Дело привлекло особое внимание, потому что Эйзенберг быстро признал исполнение атаки на $110 миллионов и охарактеризовал свои тактики не как преступление, а как `крайне прибыльную торговую стратегию`, опираясь на свою интерпретацию девиза `код есть закон`.

Стивен Уолброел - соучредитель и главный технолог компании Halborn, специализирующейся на кибербезопасности для блокчейн-компаний.

Эйзенберг также пытался оправдать свои действия во втором случае, описывая полученные средства как `поощрение за нахождение уязвимости`. Именно так стороны охарактеризовали сделку, в рамках которой Эйзенберг вернул около $67 миллионов Mango, но оставил оставшиеся $47 миллионов в обмен на обещание не предъявлять обвинений. Это сделало бы ее крупнейшим `баг-баунти` в истории.

Я работаю в сфере кибербезопасности уже 15 лет и сам участвовал в охоте за багами. Поверьте мне, когда я говорю: это не то, как работают баг-баунти.

Руководство Mango позднее отреклось от соглашения с Эйзенбергом, логично заявив, что сделка была совершена под давлением. Суды также не восприняли серьезно аргументацию в виде `баунти`. Это хорошо, потому что идея того, что вор просто вернет часть своего добычи и вдруг станет героем, создает опасные стимулы.

Но этот инцидент также показывает, почему даже правильные баг-баунти вызывают контроверзии среди экспертов по кибербезопасности. Хотя они имеют свое место в комплексном подходе к безопасности, они могут создавать лишь иллюзию безопасности, если используются в изоляции. Что хуже, они могут создать извращенные мотивы и негативные отношения, увеличивая риск вместо его снижения - особенно для крипто- и блокчейн-проектов.