Ang Iyong Crypto Project ay Nangangailangan ng Sheriff, Hindi ng Bounty Hunter

Noong Abril 18, hinatulan si Avi Eisenberg ng panloloko para sa kanyang pagsasamantala noong Oktubre 2022 sa Mango Markets. Ang kaso ay nakakuha ng partikular na atensyon dahil mabilis na kinilala ni Eisenberg ang pagpapatupad ng $110 milyon na pag-atake, at inilarawan ang kanyang mga taktika hindi bilang isang krimen, ngunit bilang isang "mataas na kumikitang diskarte sa pangangalakal," nakasandal sa kanyang interpretasyon sa diktum na "kodigo ay batas."

Si Steven Walbroehl ay ang co-founder at punong opisyal ng Technology ng Halborn, isang cybersecurity firm na dalubhasa sa mga kumpanya ng blockchain.

Sinubukan din ni Eisenberg na bigyang-katwiran ang kanyang mga aktibidad sa pangalawang paraan: sa pamamagitan ng pag-frame ng mga nalikom bilang isang "bug bounty," o isang reward para sa pagtukoy ng isang kahinaan. Ganyan ang mga party nailalarawan ang isang deal kung saan ibinalik ni Eisenberg ang humigit-kumulang $67 milyon kay Mango, ngunit iningatan ang natitirang $47 milyon, kapalit ng pangakong hindi kakasuhan. Iyon ay ginawa ito sa pinakamalaking bug bounty sa kasaysayan.

Ako ay isang propesyonal sa cybersecurity sa loob ng 15 taon, at ako mismo ay nakagawa ng ilang bug-bounty hunting. Kaya maniwala ka sa akin kapag sinabi kong: hindi iyon kung paano gumagana ang mga bug bounty.

Nang maglaon ay tinanggihan ng pamunuan ng Mango ang kasunduan kay Eisenberg, maliwanag na sinasabing ang deal ay ginawa sa ilalim ng pamimilit. Ang mga korte T sineseryoso ang “bounty” framing, alinman. Mabuti iyon, dahil ang ideya na ang isang magnanakaw ay maaaring ibalik lamang ang ilan sa kanyang mga pagnakawan at biglang maging isang bayani ay lumilikha ng mga mapanganib na insentibo.

Ngunit ang insidente ay naglalarawan din kung bakit kahit na ang tamang bug bounty ay kontrobersyal sa mga eksperto sa cybersecurity. Bagama't mayroon sila ng kanilang lugar sa isang komprehensibong diskarte sa seguridad, maaari lamang silang lumikha ng isang ilusyon ng kaligtasan kung gagamitin sa paghihiwalay. Mas masahol pa, maaari silang lumikha ng masamang motibo at masamang dugo na pagtaas panganib sa halip na pagaanin ito– lalo na para sa mga proyekto ng Crypto at blockchain.

'Retroactive bug bounties' o simpleng lumang 'blackmail'?

Maraming iba pang mga Crypto attacker ang nagbalik ng mga pondo pagkatapos kunin ang mga ito, halimbawa sa POLY Network at Finance ng Euler mga pag-atake. Ito ay isang natatanging Crypto phenomenon na tinatawag ng ilan "mga retroactive bug bounty." Sa malabong prinsipyo, ang ideya ay ang mga umaatake ay nakahanap ng kahinaan sa isang sistema, at ang perang kinukuha nila ay kahit papaano ay isang makatarungang gantimpala para sa kanilang Discovery. Gayunpaman, sa pagsasagawa, ang mga insidenteng ito ay higit na katulad ng mga negosasyong hostage, kung saan ang mga biktima ay umaasa na akitin o gipitin ang umaatake na ibalik ang pera.

T ko aprubahan ang mga hacker na kumukuha ng mga pinansiyal na hostage, ngunit bilang isang dating mangangaso ng bug-bounty, T ko maitatanggi ang isang tiyak na patula na hustisya dito. Higit sa isang beses, inalertuhan ko ang mga kumpanyang may mga bounty program ng seryoso o kritikal na mga kahinaan, para lang i-dismiss o balewalain nila ang mga panganib sa loob ng ilang buwan, o kahit na taon. Lubos kong nauunawaan ang pagkabigo na maaaring humantong sa isang bata o walang muwang na mananaliksik ng seguridad sa sitwasyong iyon na payamanin lamang ang kanilang sarili sa kanilang kaalaman - upang hilahin ang isang Breaking Bad at pumunta mula sa "white hat" sheriff tungo sa "black hat" bank robber.

Tingnan din ang: Ang DeFi ay Nangangailangan ng mga Hacker upang Maging Hindi Ma-hack | Opinyon (2021)

Ang CORE problema ay ang mga proyektong nag-aalok ng mga bounty ay may maraming mga insentibo upang bayaran ang mga ito nang madalang at kasing mura hangga't maaari. Malinaw na mayroong mga gastos sa pananalapi, ngunit magugulat ka kung gaano kadalas itatanggi ng isang koponan ang kalubhaan ng isang iniulat na bug para lamang maprotektahan ang kanilang sariling mga reputasyon, habang iniiwan ang mga user sa patuloy na panganib. Maaaring magkaroon ng maraming paraan ang pagtanggi na iyon, gaya ng pagdedeklara ng mga bug na "wala sa saklaw" para sa isang naka-post na bounty. Kung minsan ang mga developer na manipis ang balat ay nagbabanta pa ng legal na aksyon laban sa mga mananaliksik na maayos na lumapit sa kanila na may malubhang mga bug.

Maaaring hindi kapani-paniwalang nakakadismaya para sa isang mananaliksik na maglaan ng walang katapusang mga oras sa paghahangad ng isang "bug bounty," para lang ma-dismiss ang kanilang mga natuklasan, o kahit na tumalikod sa kanila. Ang paggawa ng isang bagay na mapanira, tulad ng pagnanakaw ng maraming pera, ay maaaring mukhang isang makatwirang paraan ng pagkuha ng mga resulta kapag hindi ka pinansin. Iyan ang baluktot na lohika sa likod ni Avi Eisenberg na sinusubukang iposisyon ang kanyang pagnanakaw bilang isang "bug bounty" - ang pagkawala ng $47 milyon ay isang medyo malaking siko upang ayusin ang isang kahinaan.

Kadalasan, nakikita ko ang mga proyekto ng blockchain na umaasa nang malaki o kahit na eksklusibo sa isang halo ng mga bounty program at in-house na pangangasiwa para sa seguridad. At iyon ay isang recipe para sa kalamidad.

Ang pagkadismaya ng ilang mga mangangaso ng bounty ay hindi maihihiwalay mula sa isa pang pagkukulang ng mga bug bounty: Karaniwan silang nag-iimbita ng maraming pagsusumite na T kapaki-pakinabang. Para sa bawat tunay na bug na iniulat, ang isang proyekto ay maaaring makakuha ng dose-dosenang o kahit na daan-daang mga ulat na walang hahantong. Ang isang koponan ay maaaring matapat na makaligtaan ang mataas na kalidad na mga pagsusumite habang sinusuri ang lahat ng dumi na iyon. Sa pangkalahatan, ang paghahanap para sa isang karayom ​​sa bug-bounty haystack ay maaaring tumagal ng napakaraming oras at lakas ng mga tauhan kung kaya't nababawasan nito ang pagtitipid sa gastos na maaaring mukhang inaalok ng isang bounty program.

Ang mga bug bounty ay katangi-tanging peligroso para sa mga proyekto ng blockchain sa ilang paraan. Hindi tulad ng isang iPhone app, mahirap na ganap na subukan ang isang blockchain-based na tool bago ito aktwal na na-deploy. Madalas na hinahayaan ng mga pangunahing proyekto ng software ang mga mangangaso ng bug na subukang sirain ang mga bersyon ng software bago ang produksyon, ngunit sa Crypto, maaaring lumabas ang mga kahinaan mula sa mga pakikipag-ugnayan ng isang system sa iba pang on-chain na produkto.

Ang Mango hack ng Eisenberg, halimbawa, ay umasa sa mga orakulo ng presyo, at magiging mahirap o imposibleng gayahin sa isang kapaligiran ng pagsubok. Maaari itong mag-iwan ng mga bounty hunters na sumubok ng mga pag-atake sa parehong mga system kung saan ang mga tunay na user ay may pera na nakataya – at inilalagay ang tunay na pera sa panganib.

Nag-aalala din ako tungkol sa katotohanan na ang napakaraming programa ng bounty ng blockchain ay nagbibigay-daan para sa mga hindi kilalang pagsusumite, na mas bihira sa pangunahing cybersecurity. Ang ilan ay namamahagi pa nga ng mga gantimpala nang walang mga pagsusuri sa pagkakakilanlan; ibig sabihin, wala silang ideya kung kanino sila nagbabayad ng bounty.

Tingnan din ang: Ang pagtawag sa isang Hack na isang Exploit ay nagpapaliit ng Human Error | Opinyon (2022)

Nagpapakita ito ng talagang nakakatakot na tukso: maaaring mag-iwan ng mga bug sa lugar ang mga coder ng isang proyekto, o magpakilala pa nga ng mga kritikal na bug, pagkatapos ay hayaan ang isang hindi kilalang kaibigan na "hanapin" at "iulat" ang mga bug. Ang insider at ang mangangaso ng bug ay maaaring hatiin ang bounty reward, na gagastusan ng malaking halaga ng proyekto nang hindi ginagawang mas ligtas ang sinuman.

Kailangan mo ng sheriff, hindi isang bounty hunter

Sa kabila ng lahat ng ito, ang mga bug bounty ay mayroon pa ring papel na ginagampanan sa seguridad ng blockchain. Matatag pa rin ang pangunahing ideya ng pag-aalok ng reward para makaakit ng malaking pagkakaiba-iba ng talento para subukang sirain ang iyong system. Ngunit madalas, nakikita ko ang mga proyekto ng blockchain na umaasa sa kalakhan o kahit na eksklusibo sa isang halo ng mga bounty program at in-house na pangangasiwa para sa seguridad. At iyon ay isang recipe para sa kalamidad.

May dahilan, kung tutuusin, na ang mga bounty hunters sa mga pelikula ay madalas na hindi malinaw sa moral na "mga grey na sumbrero" - isipin ang BOBA Fett, ang "Man With No Name" ni Clint Eastwood, o si Dr. King Schulz mula sa "Django Unchained." Sila ay mga mersenaryo, doon para sa isang one-off na payout, at kilalang-kilala na walang malasakit sa mas malaking larawan ng problemang kanilang nilulutas. Sa pinakadulo ng spectrum, maaari kang makakuha ng Avi Eisenberg, na sabik na gamitin ang cover ng isang "bug bounty" kapag sila mismo ang aktwal na mga kontrabida.

Iyon ang dahilan kung bakit ang mga lumang bounty hunters sa huli ay nag-ulat sa isang sheriff, na may pangmatagalang tungkulin sa mga taong pinoprotektahan niya, at tinitiyak na lahat ay naglalaro ayon sa mga patakaran. Sa mga tuntunin ng cybersecurity, ang papel ng sheriff ay ginagampanan ng mga propesyonal na tagasuri ng code - mga taong may pampublikong reputasyon na protektahan, na binabayaran anuman ang kanilang natuklasan. Ang isang pagsusuri ng isang panlabas na kumpanya ay nagpapagaan din sa maling depensa ng mga in-house na developer na maaaring tanggihan ang mga tunay na bug upang protektahan ang kanilang sariling reputasyon. At madalas na mahulaan ng mga espesyalista sa seguridad ng blockchain ang mga uri ng pakikipag-ugnayan sa pananalapi na sumira sa Mango Markets, bago magkaroon ng totoong pera na nakataya.

Ang karamihan sa mga mangangaso ng bug bounty, upang maging malinaw, ay talagang sinusubukang gawin ang tamang bagay. Ngunit mayroon silang napakaliit na kapangyarihan sa loob ng mga patakaran ng sistemang iyon na hindi nakakagulat na ang ilan sa kanila ay nauwi sa maling paggamit ng kanilang mga natuklasan. T namin ma-normalize ang pag-uugali na iyon sa pamamagitan ng pagbibigay sa mga mapagsamantala tulad ni Avi Eisenberg ng selyo ng pag-apruba na ipinahiwatig ng isang “bounty” na parangal – at ang mga proyektong talagang nagmamalasakit sa kaligtasan ng kanilang mga user ay T dapat ipaubaya ito sa mga kamay ng karamihan.

Tingnan din ang: Nahuli ni Ogle ang Crypto Crooks