Kriptoda Hata Ödülleri – Platform Güvenliğini Sağlamanın En İyi Yolu mu?

Kripto şirketleri, bilgisayar korsanlarının güvenlik sistemlerini onlardan daha iyi bilmesinin zor yolunu genellikle öğrenirler. Kripto dünyasındaki hackler yüz milyonlarca dolarlık token çalınmasına neden olabileceğinden ve çoğu zaman sonuçlandığından, bir şirketin geleceğinin kaderi genellikle güvenlik önlemlerine bağlı olabilir. Kapakları yıkmak için şirketler böcek ödülleri sunuyor.

Bu ödüller, esasen bilgisayar korsanlarının yazılımı tehlikeye atmaya teşvik edildiği yarışmalardır. Bilgisayar korsanları daha sonra ilgili şirketlere bir güvenlik açığı raporu göndererek hataları istismar edilmeden önce düzeltebilirler. Ödül olarak, başarılı bilgisayar korsanlarına bir ödül verilir.

Çoğu şirket, hatanın ciddiyetine karşılık gelen ödül fiyatı ile kademeli bir ölçekte ödül sunar. Ödüller, düşük seviyeli düzeltmeler için yaklaşık 50 ila 100 ABD Doları arasında başlar ve kritik hatalar için genellikle yaklaşık 10.000 ABD Doları ile sınırlandırılır. Birkaç nadir durumda, bilgisayar korsanları daha fazla ödül aldı.

Hem Microsoft hem de Pentagon’un ilk hata ödüllerini başlatan Luta Security’nin kurucusu ve CEO’su Katie Moussouris, Cointelegraph’a hata ödül planlarının nasıl yararlı olabileceğini açıkladı:

“Hata ödülleri, öncelikle kuruluşlar içindeki güvenlik açıklarını önlemeye ve tespit etmeye odaklanan proaktif güvenlik etkinliklerine ek olarak en yararlı ve etkilidir. Kuruluşlar iyi güvenlik uygulamaları oluşturduktan sonra, hata ödülleri kuruluşların gözden kaçırdığı güvenlik hatalarını belirlemeye yardımcı olabilir. Tek başına böcek ödülleri yeterli değil. “

Yazılım geliştiren çoğu şirketin hata ödülleri vardır. Kripto dünyasında, bu tür programlara duyulan ihtiyaç, şirket büyüklüğünden bağımsız olarak aynı derecede önemlidir. Göre bildiri HackerOne tarafından yürütülen, şirketler 2018’de 878.000 $ hata ödülü ödedi. Alınan Yedi gün içinde 12 hata keşfettikten sonra EOS’tan 120.000 dolarlık bir ödeme, Cointelegraph’a kripto şirketleri için risklerin yüksek olduğunu söyledi:

“Küresel bir dijital para birimi için, muhtemelen diğer birçok proje veya web sitesinden çok daha fazla risk söz konusudur. Varlık hırsızlığı en somut örnektir, ancak tanıtım ve döviz kurları arasındaki sinerji nedeniyle, net zararlar da geniş çapta duyurulan bir güvenlik açığından kaynaklanabilir. “

En son hata ödüllerinden biri, küresel mesajlaşma uygulaması Telegram’dan geliyor. 24 Eylül’de Telegram Yarışmaları kanalında duyurulan şirket, geliştiricilere TON blok zincirinden yararlanmaları ve bir güvenlik açığı raporu sunmaları çağrısında bulunuyor..

Bilgisayar korsanları, TON blok zincirindeki bir hatayı, başka bir kullanıcının cüzdanından para çalabilecekleri ölçüde istismar edebilirlerse, Telegram, Augur’un kritik sorunuyla eşleşen bir miktar olan 200.000 $ ‘a kadar ödeme yapacaktır. ödül kripto tarihindeki en büyük ödüllerden biri olarak. Yarışma, Ekim ayı sonunda Telegram’ın yerel dijital jetonu Gram’ın heyecanla beklenen lansmanının zemininde gerçekleşiyor.

EOS en üst sırada yer alıyor

Küçük, daha yeni şirketlerin hata ödülleri sağlama konusunda en aktif olduklarını düşünmek cazip gelse de, EOS’un arkasındaki şirket Block.one, ödül ödülleri için 534.500 $ ile 2018’de en üst sırada yer aldı ve o yıl tüm ödüllerin% 60’ını ödedi. bir rapora göre.

EOS’a göre profil HackerOne’da şirket, düşük riskli bir rapor için maksimum 1.000 $ ve kritik bir rapor için maksimum 10.000 $ ödeyecek. Profil ayrıca, nihai tutara her zaman bir ödül panelinin takdirine bağlı olarak karar verildiğini ve istisnai güvenlik açıklarına daha yüksek ödüllerin verildiğini de belirtiyor..

EOS ödül kuralları

EOS ödül programının Mayıs 2018’de başlatılmasının ardından, Vranken açıkladı şirketin keşiflerinin ardından güvenlik yaklaşımını nasıl sıkılaştırdı:

“Bildirilen hatalar hızlı bir şekilde analiz edildi ve genel depolarında düzeltildi. Başlangıçta süreç çok plansızdı çünkü [EOS CTO] Daniel Larimer ve ben Telegram’da ileri geri dosya gönderiyorduk, ancak o zamandan beri HackerOne’da en iyisi olduğunu düşündüğüm bir hata ödül programı çalıştırmaya başladılar hem hata bulucular hem de EOS ekibi. “

EOS, 2019’da bilgisayar korsanlarına ödül ödemeye devam etti ve şu ana kadar beş kritik güvenlik açığı için hata ödülleri dağıttı. 10 Ocak’ta EOS, HackerOne aracılığıyla beş beyaz şapka korsanına toplam 40.750 ABD doları ödül verirken, başka bir araştırmacı 10.000 ABD doları daha ödül aldı..

Coinbase ikinci en büyük harcayandır

Dünyanın en büyük kripto para borsalarından biri olan Coinbase, 2018 yılında toplamda 290.381 $ tahsis ederek ödüllere en büyük ikinci harcama yapan şirkettir. 2017 ortalarında önemli bir kullanıcı artışı yaşadığından bu yana şirket bir dizi yüksek profilli sorun yaşadı. gecikmiş veya eksik fonların yanı sıra hizmet kesintilerine neden olur.

Şirket, kritik bir hatayı bildirdiği için Şubat 2019’da 30.000 $ ödül daha verdi, göre Coinbase’in güvenlik açığı ifşa programına. Hatanın ayrıntıları kamuya açıklanmasa da, hata o zamanlar platformda bugüne kadarki en büyük ödülü kazandı. Coinbase, düşük riskli bir vaka için 200 $, orta seviye bir sorun için 2.000 $ ve kritik hatalar için 50.000 $ ‘a kadar ödeyeceği dört aşamalı bir ödül programı yürütmektedir..

Coinbase’in HackerOne profiline göre, kritik bir etki istismarı, saldırganların “bir sistemdeki Hassas Verileri okuyup değiştirebildiği, sistemde keyfi kod çalıştırabildiği veya bir şekilde dijital veya fiat para birimini çalabildiği” bir durumu kapsıyor.

İlgili: Düzeltmeden Bir Ay Sonra Sahte XMR Daraltma Hatalarını Çözme Hakkında Monero Raporları

Şirket ayrıca düşük etkili sorunları değerlendirmeye yönelik yönergelerini de ortaya koydu: “Saldırganlar, bir kullanıcı alt kümesini etkileyen küçük miktarlarda yetkisiz, düşük hassasiyetli bilgiler elde edebilir veya sistemin doğruluğunu ve performansını biraz etkileyebilir.”

Bildirilen sorunların giderilmesiyle ilgili olarak, şirketin alımda yavaşlama geçmişi var. Hollandalı bir şirket, kullanıcıların Ethereum’da (ETH) “istedikleri kadar” çalmalarına izin veren bir akıllı sözleşme aksaklığı keşfettikten sonra, Coinbase’in bunu düzeltmek için bir ay sürdüğü bildirildi. Coinbase, keşfin arkasındaki şirkete 10.000 $ ödül ödedi.

Tron üçüncü sırada

TRX madeni paranın arkasındaki Tron Vakfı, 15 rapor için toplam 78.800 dolar olan hata ödüllerinde üçüncü en büyük harcama yapan kişiydi. Şu an itibariyle şirket, açıklanmayan bir rapor için HackerOne user nu11pe’ye giden en yüksek 10.000 $ ile toplam 85.400 $ ödül ödedi..

Şirketin ödül programı, düşük riskli güvenlik açığı için 100 $, orta riskli güvenlik açığı için 3.000 $, yüksek riskli için 6.000 $ ve kritik sorunlar için 10.000 $ ‘a kadar ödeyecek. Tron’un HackerOne profili tanımlar “herhangi bir kodun uzaktan yürütülmesiyle java-tron düğümlerinin kontrolünü ele geçirebilen hatalar” gibi kritik hatalar ve özel anahtar sızıntısına neden olabilecek hatalar.

Mayıs ayında şirket, blok zincirini çökertebilecek kritik bir güvenlik açığını açıkladı. HackerOne’daki duyuru, bir saldırganın akıllı bir sözleşmede kötü amaçlı kod uygulayarak TRX ağına yönelik dağıtılmış bir hizmet reddi veya DDoS saldırısı ile mevcut tüm belleği yutmuş olabileceğini belirtir..

Şirket, bir kişinin DDoS saldırısını tek bir makine kullanarak üst düğümün tamamına veya% 51’ine saldırmak için gerçekleştirebileceğini ve böylece ağı kullanılamaz hale getirebileceğini ekledi. Hata 14 Ocak’ta bildirilmesine rağmen, ancak zaten düzeltildikten sonra kamuya duyuruldu. Güvenlik açığının arkasındaki araştırmacıya 1.500 dolar ödül verildi.

Hata ödülleri mükemmel bir sistem değildir

Hata ödülü programları, şirketlerin sistemlerinde etik saldırıları ödüllendirdiği sağlıklı bir ortam yaratsa da, konsept eleştirisiz değildir. Son zamanlarda, önde gelen kripto figürü Dovey Wan, Telegram’ın akıllı kontratını geliştirmeye başlama kararını eleştirdi. Wan göründü eleştirmek Olay, şirketin yazılım geliştirme süreçlerine yeniden yatırım yapmamasına bir örnek olarak şunları söylüyor:

“Üzgünüz, ancak 500 mm’den fazla kullanıcısı olan bir milyarı aşan bir proje, makul bir blok gezgini bile yapamıyor mu? Telegram’ın ekibindeki bu TON ağının öncelik seviyesinin ne olduğundan ve mega hazinelerini kripto ile ilgili konularda nasıl kullanacaklarından şüpheliyim. ”

Luta Güvenlik CEO’su Katie Moussouris, Cointelegraph’a yaptığı açıklamada, hata ödüllerinin mevcut güvenlik yapılarındaki önemli boşlukları belirtmek için etkili olmasına rağmen, özel bir güvenlik sürecine sahip olmanın yerini alamayacaklarını söyledi:

“Şirketler, güvenlikte durum tespiti için ucuz bir alternatif olarak hata ödüllerini kullanamazlar. Yabancılardan hataları düzeltme kapasitesine sahip olmadan bunları göstermelerini istemek, hata ödüllerini aşırı kullanmanın kuruluşları hızlı bir şekilde bunaltabilecek bir yoldur. “

Vranken, Cointelegraph’a, araştırmacı olarak deneyimine dayanarak, hata ödül programına sahip bir kripto şirketinin şirketin güvenilir olabileceğini gösterdiğine dair görüşünü özetledi:

“Düzgün çalışan bir ödül programı olan bir kripto para birimi projesine, olmayan bir projeden daha erken güvenirim. Bu duruş, bir araştırmacı olarak deneyimim ve yaygın olarak kullanılan bir yazılımın bile uygun bir teşvik olmaksızın kodunun ciddi bir incelemesiyle desteklenmeyeceği gerçeğiyle şekilleniyor. ”

Vranken, yetenek seviyesi veya öne sürülen para miktarı ne olursa olsun, hatasız yazılım geliştirmenin son derece zor olduğunu ekledi:

“Hiçbir şey değilse bile, bir hata ödül programı, hataları bildirmek için resmi bir kanal oluşturur ve çalışmalarını takdir etme sözü vererek (finansal tazminat yoluyla) araştırmacılara karşı düşmanlık olmadığına işaret eder.”

Mevcut hata ödül sistemi, hackerların ya ahlaki eğilimlerden ya da sunulan ödüllerden sorumlu bir şekilde hareket etmelerine dayanıyor. Bilgisayar korsanlarının programda ilan edilenden daha fazla paraya el koymaları veya kusurun ayrıntılarını rakiplere satmaları mümkün görünse de Moussouris, bu tür bilgilere olan talebin pek çok kişinin algıladığı kadar yüksek olmadığını söyledi:

“Her hatayı satın almayı bekleyen sonsuz böcek alıcısı yoktur – bu yaygın bir efsanedir. Bununla birlikte, kripto para biriminde, diğer alanlara göre hatalar için muhtemelen daha fazla alıcı vardır. Bununla birlikte, böcek avcıları kâra öncelik verirlerse, buldukları böcekleri kripto para biriminde satmak yerine daha fazla doğrudan kar elde etmek için istismar etmeyi çok iyi seçebilirler. ”

Dünya çapında hem kripto para birimi hem de yazılım şirketleri tarafından ilan edilen ödüller, böcek avcılığının kazançlı bir kariyer sunabileceği izlenimini verse de, gerçek şu ki rekabet yüksek ve erişim eşit olarak bölünmemiş. Moussouris, Cointelegraph’a özel hata ödüllerine davet edilenlerin genellikle rekabet üstünlüğüne sahip olduğunu açıkladı:

“Genellikle telafi edilmeyen çok fazla iştir, özellikle de avcının nasıl bulacağını bildiği böcek türleri nispeten yaygın böcek sınıflarıysa. Yalnızca belirli bir güvenlik açığını ilk rapor eden kişiye ödeme yapılır, bu nedenle en başarılı olan böcek ödül avcıları, daha az rakiple özel hata ödüllerine davet edilenler olma eğilimindedir. “

Ödül her zaman bir projeye harcanan zamanla eşleşmediğinden, Vranken için böcek ödül avı karışık bir çantadır:

“Önceden çaba ve ödülü şart koşan sözleşmeli çalışmaya kıyasla, böcek ödülleri sevindirici (derinden ödüllendirilen bir böcek hazinesiyle karşılaştığınızda) veya sinir bozucu (sonuç elde etmeden bir şeye çok zaman harcamak veya daha düşük bir puan almak) beklediğinizden daha fazla ödül). “