Votre projet Crypto a besoin d'un shérif, pas d'un chasseur de primes

Le 18 avril, Avi Eisenberg a été reconnu coupable de fraude pour son exploit d'octobre 2022 sur Mango Marchés. L’affaire a retenu une attention particulière parce qu’Eisenberg a rapidement reconnu avoir exécuté l’attaque de 110 millions de dollars et a qualifié sa tactique non pas de crime, mais de « stratégie commerciale hautement rentable », en s’appuyant sur son interprétation du dicton selon lequel « le code est la loi ».

Steven Walbroehl est le co-fondateur et directeur de la Technologies de Halborn, une société de cybersécurité spécialisée dans les sociétés blockchain.

Eisenberg a également tenté de justifier ses activités d’une deuxième manière : en présentant les bénéfices comme une « prime aux bogues », ou une récompense pour l’identification d’une vulnérabilité. C'est ainsi que les parties ont qualifié un accord dans lequel Eisenberg a restitué environ 67 millions de dollars à Mango, mais a conservé les 47 millions de dollars restants, en échange de la promesse de ne pas porter plainte. Cela en aurait fait la plus grande prime aux bugs de l'histoire .

Je suis un professionnel de la cybersécurité depuis 15 ans et j'ai moi-même fait de la chasse aux bugs. Alors croyez-moi quand je dis : ce n’est pas ainsi que fonctionnent les bug bounties.

Les dirigeants de Mango ont par la suite désavoué l’accord avec Eisenberg, affirmant naturellement que l’accord avait été conclu sous la contrainte . Les tribunaux n'ont T non plus pris au sérieux la notion de « prime » . C'est une bonne chose, car l'idée qu'un voleur puisse simplement restituer une partie de son butin et devenir soudainement un héros crée des incitations dangereuses.

Mais l’incident illustre également pourquoi même les bug bounties sont controversés parmi les experts en cybersécurité. S’ils ont leur place dans une approche globale de sécurité, ils ne peuvent que créer une illusion de sécurité s’ils sont utilisés isolément. Pire encore, ils peuvent créer des motivations perverses et des tensions qui augmentent le risque au lieu de l’atténuer. – notamment pour les projets Crypto et blockchain.

De nombreux autres attaquants Crypto ont restitué les fonds après les avoir récupérés, par exemple dans le cadre des attaques POLY Network et Euler Finance . Il s’agit d’un phénomène Crypto unique que certains ont appelé « primes rétroactives contre les bogues ». En principe vague, l'idée est que les attaquants ont trouvé une vulnérabilité dans un système, et que l'argent qu'ils prennent est en quelque sorte une juste récompense pour leur À découvrir. Dans la pratique, cependant, ces incidents s'apparentent davantage à des négociations d'otages, les victimes espérant cajoler ou faire pression sur l'agresseur pour qu'il restitue l'argent.

Je n'approuve T que des pirates informatiques prennent des otages financiers, mais en tant qu'ancien chasseur de bugs, je ne peux T nier une certaine justice poétique à cela. Plus d’une fois, j’ai alerté des entreprises dotées de programmes de primes de vulnérabilités graves ou critiques, pour ensuite les faire ignorer ou ignorer les risques pendant des mois, voire des années. Je peux parfaitement comprendre la frustration qui pourrait conduire un chercheur en sécurité jeune ou naïf dans cette situation à simplement s’enrichir de ses connaissances – à sortir un Breaking Bad et à passer du statut de shérif « chapeau blanc » au braqueur de banque « chapeau noir ».

Voir aussi : DeFi a besoin que les pirates informatiques deviennent impossibles à pirater | Analyses (2021)

L’un des CORE problèmes réside dans le fait que les projets offrant des primes sont incités à les verser le moins souvent et le moins cher possible. Il y a évidemment des coûts financiers, mais vous seriez surpris de la fréquence à laquelle une équipe nie la gravité d'un bug signalé simplement pour protéger sa propre réputation, tout en exposant les utilisateurs à un risque continu. Ce refus peut prendre de nombreuses formes, comme déclarer des bogues « hors de portée » pour une prime publiée. Parfois, des développeurs à la peau fine menacent même de poursuites judiciaires contre les chercheurs qui les ont approchés à bon escient avec de graves bugs.

Il peut être incroyablement frustrant pour un chercheur de consacrer des heures interminables à la recherche d’une « prime aux bogues », pour ensuite voir ses découvertes rejetées, voire même se retourner contre lui. Faire quelque chose de destructeur, comme voler beaucoup d’argent, peut même sembler être un moyen raisonnable d’obtenir des résultats lorsque vous avez été ignoré. C'est la logique tordue qui pousse Avi Eisenberg à présenter son vol comme une « prime aux bugs » : perdre 47 millions de dollars est un coup de pouce assez important pour corriger une vulnérabilité.

La frustration de certains chasseurs de primes est inextricable d'un autre défaut des bug bounties : ils invitent généralement beaucoup de soumissions qui ne sont T utiles. Pour chaque bug authentique signalé, un projet peut recevoir des dizaines, voire des centaines de rapports qui ne mènent nulle part. Une équipe pourrait honnêtement ignorer les soumissions de haute qualité tout en passant au crible toutes ces scories. Plus généralement, chercher une aiguille dans la botte de foin des primes aux insectes peut prendre tellement de temps et d'énergie au personnel que cela annule les économies qu'un programme de primes pourrait sembler offrir.

Les bug bounties sont également particulièrement risqués pour les projets blockchain de plusieurs manières. Contrairement, par exemple, à une application iPhone, il est difficile de tester entièrement un outil basé sur la blockchain avant qu'il ne soit réellement déployé. Les projets logiciels grand public permettent souvent aux chasseurs de bogues d'essayer de casser les versions de pré-production des logiciels, mais dans le domaine de la Crypto, des vulnérabilités peuvent émerger des interactions d'un système avec d'autres produits en chaîne.

Le hack Mango d'Eisenberg, par exemple, reposait sur des oracles de prix et aurait été difficile, voire impossible, à simuler dans un environnement de test. Cela peut amener les chasseurs de primes à tenter des attaques sur les mêmes systèmes où les vrais utilisateurs ont de l’argent en jeu – et à mettre cet argent réel en danger.

Je m'inquiète également du fait qu'un si grand nombre de programmes de primes blockchain permettent des soumissions anonymes, ce qui est beaucoup plus rare dans le domaine de la cybersécurité traditionnelle. Certains distribuent même des récompenses sans contrôle d'identité ; c'est-à-dire qu'ils n'ont aucune idée à qui ils versent la prime.

Voir aussi :  Qualifier un piratage d'exploit minimise les erreurs Human | Analyses (2022)

Cela présente une tentation vraiment inquiétante : les codeurs d'un projet peuvent laisser des bogues en place, ou même introduire des bogues critiques, puis laisser un ami anonyme « trouver » et « signaler » les bogues. L'initié et le chasseur de bogues pourraient alors partager la récompense de la prime, ce qui coûterait beaucoup d'argent au projet sans assurer la sécurité de quiconque.

Malgré tout cela, les bug bounties ont toujours un rôle à jouer dans la sécurité de la blockchain. L’idée de base d’offrir une récompense pour attirer une grande diversité de talents pour tenter de briser votre système est toujours solide. Mais trop souvent, je vois des projets de blockchain s’appuyer en grande partie, voire exclusivement, sur un mélange de programmes de primes et de surveillance interne de la sécurité. Et c'est une recette pour le désastre.

Il y a une raison, après tout, pour laquelle les chasseurs de primes dans les films sont si souvent des « chapeaux gris » moralement ambigus – pensez à BOBA Fett, à « L'Homme sans nom » de Clint Eastwood ou au Dr King Schulz de « Django Unchained ». Ce sont des mercenaires, là pour une rémunération unique, et notoirement indifférents à l’ensemble du problème qu’ils résolvent. À l’extrême extrémité du spectre, vous pouvez trouver un Avi Eisenberg, désireux d’adopter la couverture d’un « bug bounty » alors qu’ils sont eux-mêmes les véritables méchants.

C'est pourquoi les anciens chasseurs de primes relevaient finalement d'un shérif, qui a un devoir à long terme envers les personnes qu'il protège et veille à ce que tout le monde respecte les règles. En termes de cybersécurité, le rôle de shérif est joué par des réviseurs de codes professionnels – des personnes ayant une réputation publique à protéger et qui sont payées indépendamment de ce qu’elles découvrent. Un examen par une société externe atténue également l'impulsion défensive malavisée des développeurs internes qui pourraient rejeter de vrais bugs pour protéger leur propre réputation. Et les spécialistes de la sécurité de la blockchain peuvent souvent prévoir les types d'interactions financières qui ont vidé Mango Marchés, avant qu'il n'y ait de l'argent réel en jeu.

Pour être clair, la grande majorité des chasseurs de bug bounty essaient réellement de faire ce qu’il faut. Mais ils ont si peu de pouvoir dans le cadre des règles de ce système qu'il n'est pas surprenant que certains d'entre eux finissent par abuser de leurs découvertes. Nous ne pouvons T normaliser ce comportement en donnant à des exploiteurs comme Avi Eisenberg le cachet d'approbation qu'implique une récompense de « prime » – et les projets qui se soucient vraiment de la sécurité de leurs utilisateurs ne devraient T la laisser entre les mains du grand public.

Voir aussi :Ogle attrape les escrocs de la Crypto