18 kwietnia Avi Eisenberg został skazany za oszustwo związane z wykorzystaniem Mango Markets w październiku 2022 r. Sprawa wzbudziła szczególne zainteresowanie, ponieważ Eisenberg szybko przyznał się do przeprowadzenia ataku na kwotę 110 milionów dolarów i scharakteryzował swoją taktykę nie jako przestępstwo, ale jako „wysoce zyskowną strategię handlową”, opierając się na swojej interpretacji stwierdzenia, że ​​„kod jest prawem”.

Steven Walbroehl jest współzałożycielem i dyrektorem ds. technologii w Halborn, firmie zajmującej się bezpieczeństwem cybernetycznym, specjalizującej się w firmach blockchain.

Eisenberg próbował także uzasadnić swoje działania w drugi sposób: traktując dochód jako „nagrodę za błąd” lub nagrodę za zidentyfikowanie luki w zabezpieczeniach. Tak strony scharakteryzowały umowę, w ramach której Eisenberg zwrócił Mango około 67 milionów dolarów, zatrzymując pozostałe 47 milionów w zamian za obietnicę niewnoszenia zarzutów. To oznaczałoby największą nagrodę za błędy w historii.

Zajmuję się cyberbezpieczeństwem od 15 lat i sam polowałem na błędy. Więc uwierz mi, kiedy mówię: nie tak działają nagrody za błędy.

Przywódcy Mango wyparli się później porozumienia z Eisenbergiem, co zrozumiałe twierdząc, że zostało ono zawarte pod przymusem. Sądy również nie potraktowały poważnie kwestii „nagrody”. To dobrze, ponieważ pomysł, że złodziej może po prostu zwrócić część swojego łupu i nagle zostać bohaterem, stwarza niebezpieczne zachęty.

Ale ten incydent ilustruje również, dlaczego nawet odpowiednie nagrody za błędy budzą kontrowersje wśród ekspertów ds. cyberbezpieczeństwa. Chociaż mają swoje miejsce w kompleksowym podejściu do bezpieczeństwa, mogą jedynie stworzyć iluzję bezpieczeństwa, jeśli zostaną użyte osobno. Co gorsza, mogą tworzyć przewrotne motywy i złą krew, które zwiększają ryzyko, zamiast je łagodzić – szczególnie w przypadku projektów kryptograficznych i blockchain.

„Wsteczne nagrody za błędy” czy zwykły „szantaż”?

Wielu innych atakujących kryptowaluty zwróciło środki po ich przejęciu, na przykład w atakach Poly Network i Euler Finance. Jest to wyjątkowe zjawisko kryptograficzne, które niektórzy nazywają „wstecznymi nagrodami za błędy”. Ogólnie rzecz biorąc, pomysł jest taki, że napastnicy znaleźli lukę w systemie, a pieniądze, które pobiorą, są w jakiś sposób słuszną nagrodą za ich odkrycie. Jednak w praktyce incydenty te przypominają bardziej negocjacje z zakładnikami, podczas których ofiary mają nadzieję nakłonić napastnika do zwrotu pieniędzy lub wywrzeć na nim presję.

Nie pochwalam hakerów biorących zakładników finansowych, ale jako były łowca nagród za błędy nie mogę odmówić temu pewnej poetyckiej sprawiedliwości. Niejednokrotnie ostrzegałem firmy realizujące programy nagród o poważnych lub krytycznych lukach w zabezpieczeniach, a one odrzucały lub ignorowały ryzyko przez miesiące, a nawet lata. W pełni rozumiem frustrację, która może skłonić młodego lub naiwnego badacza bezpieczeństwa w takiej sytuacji do po prostu wzbogacenia się o swoją wiedzę – wyciągnięcia Breaking Bad i przejścia od szeryfa w białym kapeluszu do rabusia banku w czarnym kapeluszu.

Zobacz także: DeFi potrzebuje hakerów, aby stać się niemożliwymi do zhakowania | Opinia (2021)

Podstawowy problem polega na tym, że projekty oferujące nagrody oferują wiele zachęt, aby wypłacać je tak rzadko i jak najtaniej. Oczywiście istnieją koszty finansowe, ale zdziwiłbyś się, jak często zespół zaprzecza wadze zgłoszonego błędu, aby chronić własną reputację, narażając użytkowników na ciągłe ryzyko. Odmowa ta może przybierać różne formy, na przykład deklarowanie błędów jako „poza zakresem” wysłanej nagrody. Czasami programiści o cienkiej skórze mogą nawet zagrozić podjęciem kroków prawnych badaczom, którzy prawidłowo zwrócili się do nich z poważnymi błędami.

Niewiarygodnie frustrujące może być dla badacza spędzanie niekończących się godzin w pogoni za „nagrodą za błędy” tylko po to, by jego ustalenia zostały odrzucone lub nawet obrócone przeciwko niemu. Zrobienie czegoś destrukcyjnego, na przykład kradzież dużej ilości pieniędzy, może nawet wydawać się rozsądnym sposobem na osiągnięcie rezultatów, gdy zostaniesz zignorowany. Na tym właśnie polega pokręcona logika Aviego Eisenberga, który próbuje pozycjonować swoją kradzież jako „nagrodę za błąd” – utrata 47 milionów dolarów to dość duży bodziec do naprawienia luki w zabezpieczeniach.

Zbyt często widzę, że projekty blockchain opierają się w dużej mierze lub nawet wyłącznie na połączeniu programów nagród i wewnętrznego nadzoru nad bezpieczeństwem. I to jest przepis na katastrofę.

Frustracja niektórych łowców nagród jest nierozerwalnie związana z inną wadą nagród za błędy: zazwyczaj zapraszają oni do wielu zgłoszeń, które nie są przydatne. Za każdy zgłoszony prawdziwy błąd projekt może otrzymać dziesiątki, a nawet setki raportów, które prowadzą donikąd. Zespół mógłby uczciwie przeoczyć zgłoszenia wysokiej jakości podczas przeglądania tych wszystkich śmieci. Mówiąc bardziej ogólnie, szukanie igły w stogu siana z nagrodami za owady może zająć tyle czasu i energii pracowników, że zrównoważy oszczędności, jakie może wydawać się zapewniać program nagród.

Nagrody za błędy są również pod kilkoma względami wyjątkowo ryzykowne w przypadku projektów blockchain. W przeciwieństwie do, powiedzmy, aplikacji na iPhone'a, ciężko jest w pełni przetestować narzędzie oparte na blockchainie, zanim zostanie ono faktycznie wdrożone. Projekty oprogramowania głównego nurtu często pozwalają łowcom błędów próbować złamać przedprodukcyjne wersje oprogramowania, ale w przypadku kryptowalut luki w zabezpieczeniach mogą wyłonić się w wyniku interakcji systemu z innymi produktami w łańcuchu.

Na przykład hack Eisenberga do Mango opierał się na wyroczniach cenowych i jego symulacja w środowisku testowym byłaby trudna lub niemożliwa. Może to sprawić, że łowcy nagród będą próbować ataków na te same systemy, w których stawką są pieniądze prawdziwych użytkowników, i narażać te prawdziwe pieniądze na ryzyko.

Martwię się również faktem, że tak wiele programów nagród typu blockchain umożliwia anonimowe przesyłanie zgłoszeń, co jest znacznie rzadsze w głównym nurcie cyberbezpieczeństwa. Niektórzy nawet rozdają nagrody bez sprawdzania tożsamości; to znaczy, że nie mają pojęcia, komu płacą nagrodę.

Zobacz także: Nazywanie hacka exploitem minimalizuje błąd ludzki | Opinia (2022)

Stanowi to naprawdę złowrogą pokusę: programiści projektu mogą pozostawić błędy na miejscu, a nawet wprowadzić błędy krytyczne, a następnie pozwolić anonimowemu znajomemu „znaleźć” i „zgłosić” błędy. Osoba mająca dostęp do informacji poufnych i łowca błędów mogliby następnie podzielić się nagrodą, co kosztowałoby projekt duże pieniądze, nie czyniąc nikogo bezpieczniejszym.

Potrzebujesz szeryfa, a nie łowcy nagród

Pomimo tego nagrody za błędy nadal odgrywają rolę w bezpieczeństwie blockchain. Podstawowa idea oferowania nagrody w celu przyciągnięcia ogromnej różnorodności talentów, które będą próbowały złamać Twój system, jest nadal solidna. Jednak zbyt często widzę, że projekty blockchain opierają się w dużej mierze lub nawet wyłącznie na połączeniu programów nagród i wewnętrznego nadzoru nad bezpieczeństwem. I to jest przepis na katastrofę.

W końcu nie bez powodu łowcy nagród w filmach często noszą dwuznaczne moralnie „szare kapelusze” – pomyśl o Bobie Fettowi, „Człowieku bez imienia” Clinta Eastwooda czy doktorze Kingu Schulzu z „Django Unchained”. Są najemnikami, pobierającymi jednorazową zapłatę i notorycznie obojętnymi na szerszy obraz problemu, który rozwiązują. Na samym końcu spektrum można znaleźć Aviego Eisenberga, który chętnie przyjmie przykrywkę „nagrody za robaki”, podczas gdy oni sami są prawdziwymi złoczyńcami.

Właśnie dlatego dawni łowcy nagród ostatecznie zgłosili się do szeryfa, który ma długoterminowe obowiązki wobec ludzi, których chroni, i pilnuje, aby wszyscy przestrzegali zasad. W kontekście cyberbezpieczeństwa rolę szeryfa pełnią profesjonalni recenzenci kodu – osoby posiadające reputację publiczną, które należy chronić i które otrzymują wynagrodzenie niezależnie od tego, co odkryją. Przegląd dokonany przez firmę zewnętrzną łagodzi również błędny impuls obronny wewnętrznych programistów, którzy mogliby odrzucić prawdziwe błędy, aby chronić własną reputację. Specjaliści ds. bezpieczeństwa blockchain często potrafią przewidzieć rodzaje interakcji finansowych, które wypatroszyły Mango Markets, zanim w grę wchodziły prawdziwe pieniądze.

Aby było jasne, zdecydowana większość łowców nagród za błędy naprawdę stara się postępować właściwie. Mają jednak tak małą władzę w ramach zasad tego systemu, że nie jest zaskoczeniem, że niektórzy z nich nadużywają swoich ustaleń. Nie możemy normalizować takiego zachowania, dając exploitom takim jak Avi Eisenberg pieczęć aprobaty wynikającą z nagrody „nagrody” – a projekty, które naprawdę dbają o bezpieczeństwo swoich użytkowników, nie powinny pozostawiać tego w rękach tłumu.

Zobacz też: Ogle łapie krypto oszustów