18 Nisan'da Avi Eisenberg, Ekim 2022'de Mango Markets'ı istismar etmesi nedeniyle dolandırıcılıktan suçlu bulundu. Dava özellikle dikkat çekti çünkü Eisenberg, 110 milyon dolarlık saldırıyı gerçekleştirdiğini hemen kabul etti ve taktiklerini bir suç olarak değil, "kod kanundur" hükmüne dayanarak "son derece karlı bir ticaret stratejisi" olarak nitelendirdi.
Steven Walbroehl, blockchain şirketlerinde uzmanlaşmış bir siber güvenlik firması olan Halborn'un kurucu ortağı ve baş teknoloji sorumlusudur.
Eisenberg ayrıca faaliyetlerini ikinci bir yolla da haklı çıkarmaya çalıştı: Gelirleri bir "hata ödülü" veya bir güvenlik açığını tespit etmenin bir ödülü olarak çerçeveleyerek. Taraflar, Eisenberg'in yaklaşık 67 milyon doları Mango'ya iade ettiği, ancak kalan 47 milyon doları dava açmayacağına dair söz vermesi karşılığında elinde tuttuğu bir anlaşmayı bu şekilde tanımladılar. Bu, onu tarihin en büyük böcek ödülü haline getirirdi.
15 yıldır siber güvenlik uzmanıyım ve kendim de bazı böcek ödülleri avcılığı yaptım. O yüzden bana inanın: hata ödülleri bu şekilde çalışmıyor.
Mango yönetimi daha sonra Eisenberg ile yapılan anlaşmayı reddetti ve anlaşılır bir şekilde anlaşmanın baskı altında yapıldığını söyledi. Mahkemeler “ödül” çerçevesini de ciddiye almadı. Bu iyi bir şey, çünkü bir hırsızın ganimetinin bir kısmını geri verip birdenbire kahraman olabileceği fikri tehlikeli teşvikler yaratır.
Ancak olay aynı zamanda siber güvenlik uzmanları arasında düzgün hata ödüllerinin bile neden tartışmalı olduğunu da gösteriyor. Kapsamlı bir güvenlik yaklaşımında yeri olsa da, tek başına kullanıldığında yalnızca güvenlik yanılsaması yaratabilirler. Daha da kötüsü, özellikle kripto ve blockchain projeleri için riski azaltmak yerine artıran sapkın saikler ve kötü kan yaratabilirler.
'Geriye dönük hata ödülleri' mi, yoksa sıradan eski 'şantaj' mı?
Diğer birçok kripto saldırganı, örneğin Poly Network ve Euler Finance saldırılarında, parayı aldıktan sonra iade etti. Bu, bazılarının "geriye dönük hata ödülleri" olarak adlandırdığı benzersiz bir kripto olgusudur. Belirsiz prensipte fikir, saldırganların bir sistemde bir güvenlik açığı bulması ve aldıkları paranın bir şekilde bu keşif için adil bir ödül olduğudur. Ancak pratikte bu olaylar daha çok, mağdurların saldırganı parayı geri vermesi için ikna etmeyi veya baskı yapmayı umduğu rehine müzakerelerine benziyor.
Bilgisayar korsanlarının mali rehin almasını onaylamıyorum, ancak ben de eski bir böcek ödülü avcısı olarak, bunun şiirsel bir adaletini inkar edemem. Ödül programlarına sahip firmaları ciddi veya kritik güvenlik açıkları konusunda birden fazla kez uyardım, ancak riskleri aylarca, hatta yıllarca göz ardı etmelerini veya görmezden gelmelerini sağladım. Bu durumda genç veya saf bir güvenlik araştırmacısının bilgileriyle kendilerini zenginleştirmesine, bir Breaking Bad'i çekip "beyaz şapkalı" şeriften "siyah şapkalı" banka soyguncusuna dönüşmesine yol açabilecek hayal kırıklığını tam olarak anlayabiliyorum.
Ayrıca bakınız: DeFi'nin Hacklenemez Hale Gelmesi İçin Bilgisayar Korsanlarına İhtiyacı Var | Görüş (2021)
Temel sorunlardan biri, ödül sunan projelerin bunları mümkün olduğu kadar seyrek ve ucuz bir şekilde ödemeye yönelik pek çok teşvike sahip olmasıdır. Açıkçası finansal maliyetler var, ancak bir ekibin, kullanıcıları sürekli risk altında bırakırken, sırf kendi itibarlarını korumak için rapor edilen bir hatanın ciddiyetini ne sıklıkla inkar edeceğine şaşıracaksınız. Bu inkar, yayınlanan bir ödül için hataların "kapsam dışı" olduğunu ilan etmek gibi çeşitli şekillerde olabilir. Bazen zayıf geliştiriciler, kendilerine ciddi hatalarla uygun şekilde yaklaşan araştırmacılara karşı yasal işlem başlatmakla tehdit bile edebilirler.
Bir araştırmacının bir "hata ödülü" peşinde sonsuz saatler harcaması, ancak bulgularının reddedilmesi, hatta onlara karşı geri çevrilmesi inanılmaz derecede sinir bozucu olabilir. Çok fazla para çalmak gibi yıkıcı bir şey yapmak, görmezden gelindiğinizde sonuç almanın makul bir yolu gibi görünebilir. Avi Eisenberg'in hırsızlığını bir "hata ödülü" olarak konumlandırmaya çalışmasının ardındaki çarpık mantık budur; 47 milyon doları kaybetmek, bir güvenlik açığını düzeltmek için oldukça büyük bir dürtüdür.
Çoğunlukla, blockchain projelerinin büyük ölçüde ve hatta yalnızca ödül programlarının ve güvenlik için kurum içi gözetimin bir karışımına dayandığını görüyorum. Ve bu felaketin tarifi.
Bazı ödül avcılarının hayal kırıklığı, hata ödüllerinin başka bir eksikliğinden ayrılamaz: Genellikle yararlı olmayan birçok gönderimi davet ederler. Bildirilen her gerçek hata için, bir proje hiçbir yere varmayan düzinelerce, hatta yüzlerce rapor alabilir. Bir ekip tüm bu cürufları incelerken yüksek kaliteli gönderimleri dürüstçe gözden kaçırabilir. Daha genel olarak, böcek ödülü samanlığında iğne aramak personelin zamanını ve enerjisini o kadar alabilir ki, bir ödül programının sunabileceği maliyet tasarruflarını dengeler.
Hata ödülleri de blockchain projeleri için birkaç açıdan benzersiz derecede risklidir. Örneğin bir iPhone uygulamasının aksine, blockchain tabanlı bir aracı gerçekten konuşlandırılmadan önce tamamen test etmek zordur. Ana akım yazılım projeleri genellikle hata avcılarının yazılımın üretim öncesi sürümlerini kırmaya çalışmasına izin verir, ancak kriptoda güvenlik açıkları, bir sistemin diğer zincir üstü ürünlerle etkileşimlerinden ortaya çıkabilir.
Örneğin Eisenberg'in Mango hack'i fiyat kehanetlerine dayanıyordu ve bir test ortamında simüle edilmesi zor ya da imkansız olurdu. Bu, ödül avcılarının, gerçek kullanıcıların parasının tehlikede olduğu aynı sistemlere saldırılar denemesine ve bu gerçek parayı riske atmasına neden olabilir.
Ayrıca, pek çok blockchain ödül programının, ana akım siber güvenlikte çok daha nadir görülen, anonim gönderimlere izin vermesi konusunda da endişeleniyorum. Hatta bazıları ödülleri kimlik kontrolü olmadan bile dağıtıyor; yani ödülü kime ödedikleri hakkında hiçbir fikirleri yok.
Ayrıca bakınız: Hack'i Açıklardan Yararlanmak olarak adlandırmak İnsan Hatasını En Aza İndirir | Görüş (2022)
Bu gerçekten uğursuz bir ayartmadır: Bir projenin kodlayıcıları hataları yerinde bırakabilir, hatta kritik hatalar oluşturabilir, ardından anonimleştirilmiş bir arkadaşının hataları "bulmasına" ve "rapor etmesine" izin verebilir. İçeriden biri ve böcek avcısı daha sonra ödül ödülünü bölüşebilir ve kimseyi daha güvenli hale getirmeden projeye büyük paralara mal olabilir.
Sana bir ödül avcısına değil, bir şerife ihtiyacın var
Tüm bunlara rağmen, hata ödüllerinin blockchain güvenliğinde hala oynayacak bir rolü var. Sisteminizi kırmaya çalışmak için çok çeşitli yetenekleri çekmek amacıyla bir ödül sunmanın temel fikri hala sağlam. Ancak çoğu zaman blockchain projelerinin büyük ölçüde ve hatta yalnızca ödül programlarının ve güvenlik için kurum içi gözetimin bir karışımına dayandığını görüyorum. Ve bu felaketin tarifi.
Sonuçta filmlerdeki ödül avcılarının ahlaki açıdan belirsiz "gri şapkalar" olmasının bir nedeni var; Clint Eastwood'un "Man With No Name" filmi Boba Fett'i ya da "Zincirsiz" filminden Dr. King Schulz'u düşünün. Onlar paralı askerlerdir, tek seferlik bir ödeme için oradadırlar ve çözdükleri sorunun büyük resmine karşı kayıtsız kalmalarıyla meşhurdurlar. Spektrumun en uç noktasında, kendileri gerçek kötü adam olduklarında bir "böcek ödülü" kılıfını benimsemeye istekli bir Avi Eisenberg alabilirsiniz.
Bu nedenle eski ödül avcıları, koruduğu insanlara karşı uzun vadeli bir görevi olan ve herkesin kurallara göre oynamasını sağlayan bir şerife rapor verirler. Siber güvenlik açısından şerifin rolü profesyonel kod incelemeciler tarafından oynanır; bu kişiler, kamuda itibarı olan ve ne ortaya çıkarırlarsa çıkarsınlar para alan kişilerdir. Dışarıdan bir firma tarafından yapılan bir inceleme, kendi itibarlarını korumak için gerçek hataları reddedebilecek şirket içi geliştiricilerin yanlış yönlendirilmiş savunma dürtülerini de azaltır. Ve blockchain güvenlik uzmanları, gerçek para söz konusu olmadan önce Mango Markets'in içini boşaltan finansal etkileşim türlerini sıklıkla öngörebilirler.
Açıkça söylemek gerekirse, böcek ödülü avcılarının büyük çoğunluğu gerçekten doğru olanı yapmaya çalışıyor. Ancak bu sistemin kuralları dahilinde o kadar az güçleri var ki, bazılarının bulgularını kötüye kullanması pek de şaşırtıcı değil. Avi Eisenberg gibi istismarcılara "ödül" ödülünün ima ettiği onay damgasını vererek bu davranışı normalleştiremeyiz ve kullanıcılarının güvenliğini gerçekten önemseyen projeler, bunu kalabalığın eline bırakmamalı.
Ayrıca bakınız: Ogle Kripto Dolandırıcılarını Yakalıyor
