:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/GV76VK77QJEWRC3JMSLXBOOOFI.png)
Em 18 de abril, Avi Eisenberg foi condenado por fraude por sua exploração do Mango Mercados em outubro de 2022. O caso chamou especial atenção porque Eisenberg rapidamente reconheceu a execução do ataque de 110 milhões de dólares e caracterizou as suas táticas não como um crime, mas como uma “estratégia comercial altamente lucrativa”, apoiando-se na sua interpretação do ditado de que “código é lei”.
Steven Walbroehl é cofundador e diretor de Tecnologia da Halborn, uma empresa de segurança cibernética especializada em empresas de blockchain.
Eisenberg também tentou justificar as suas actividades de uma segunda forma: enquadrando os lucros como uma “recompensa por bugs”, ou uma recompensa pela identificação de uma vulnerabilidade. Foi assim que as partes caracterizaram um acordo em que Eisenberg devolveu cerca de 67 milhões de dólares à Mango, mas manteve os restantes 47 milhões de dólares, em troca da promessa de não apresentar queixa. Isso teria tornado a maior recompensa por bugs da história .
Sou profissional de segurança cibernética há 15 anos e também já procurei recompensas por bugs. Então acredite em mim quando digo: não é assim que funcionam as recompensas de bugs.
A liderança da Mango posteriormente rejeitou o acordo com Eisenberg, dizendo, compreensivelmente, que o acordo foi feito sob coação . Os tribunais também T levaram a sério o enquadramento da “recompensa” . Isso é bom, porque a ideia de que um ladrão pode simplesmente devolver parte do seu saque e de repente se tornar um herói cria incentivos perigosos.
Mas o incidente também ilustra por que mesmo as recompensas adequadas por bugs são controversas entre os especialistas em segurança cibernética. Embora tenham o seu lugar numa abordagem de segurança abrangente, podem apenas criar uma ilusão de segurança se usados isoladamente. Pior, eles podem criar motivos perversos e rixas que aumentam o risco em vez de mitigá-lo. – especialmente para projetos de Cripto e blockchain.
'Recompensas retroativas de bugs' ou a velha 'chantagem'?
Muitos outros Cripto devolveram fundos após aceitá-los, por exemplo, nos ataques da POLY Network e da Euler Finanças . É um fenômeno exclusivamente Cripto que alguns chamam de “recompensas retroativas de bugs”. Em princípio vago, a ideia é que os atacantes encontraram uma vulnerabilidade num sistema e que o dinheiro que recebem é de alguma forma uma recompensa justa pela sua Confira. Na prática, porém, estes incidentes assemelham-se mais a negociações de reféns, em que as vítimas esperam persuadir ou pressionar o agressor a devolver o dinheiro.
T aprovo que hackers façam reféns financeiros, mas, como ex-caçador de recompensas, T posso negar uma certa justiça poética a isso. Mais de uma vez, alertei empresas com programas de recompensas sobre vulnerabilidades graves ou críticas, apenas para que elas rejeitassem ou ignorassem os riscos durante meses, ou mesmo anos. Posso compreender perfeitamente a frustração que pode levar um investigador de segurança jovem ou ingénuo nessa situação a simplesmente enriquecer com o seu conhecimento – fazer um Breaking Bad e passar de xerife “chapéu branco” a ladrão de banco “chapéu preto”.
Veja também: DeFi precisa de hackers para se tornar inatacável | Opinião (2021)
Um problema CORE é que os projetos que oferecem recompensas têm muitos incentivos para pagá-las com a menor frequência e do modo mais barato possível. Obviamente, existem custos financeiros, mas você ficaria surpreso com a frequência com que uma equipe negará a gravidade de um bug relatado simplesmente para proteger sua própria reputação, deixando os usuários em risco contínuo. Essa negação pode assumir diversas formas, como declarar bugs “fora do escopo” de uma recompensa publicada. Às vezes, desenvolvedores insensíveis até ameaçam com ações legais contra pesquisadores que os abordaram adequadamente com bugs sérios.
Pode ser extremamente frustrante para um pesquisador passar horas intermináveis em busca de uma “recompensa de insetos”, apenas para ver suas descobertas rejeitadas ou até mesmo voltarem contra elas. Fazer algo destrutivo, como roubar muito dinheiro, pode até parecer uma forma razoável de obter resultados quando você é ignorado. Essa é a lógica distorcida por trás de Avi Eisenberg tentando posicionar seu roubo como uma “recompensa por bug” – perder US$ 47 milhões é um grande empurrão para corrigir uma vulnerabilidade.
A frustração de alguns caçadores de recompensas é inextricável de outra deficiência das recompensas por bugs: elas geralmente convidam muitos envios que T são úteis. Para cada bug genuíno relatado, um projeto pode receber dezenas ou até centenas de relatórios que não levam a lugar nenhum. Uma equipe poderia honestamente ignorar envios de alta qualidade enquanto analisava toda aquela escória. De modo mais geral, procurar uma agulha no palheiro de recompensas por insetos pode consumir tanto tempo e energia dos funcionários que compensa a economia de custos que um programa de recompensas pode parecer oferecer.
As recompensas por bugs também são arriscadas de algumas maneiras, exclusivamente para projetos de blockchain. Ao contrário, digamos, de um aplicativo para iPhone, é difícil testar completamente uma ferramenta baseada em blockchain antes que ela seja realmente implantada. Os principais projetos de software geralmente permitem que os caçadores de bugs tentem quebrar versões de pré-produção do software, mas na Cripto, vulnerabilidades podem surgir das interações de um sistema com outros produtos da cadeia.
O hack do Mango de Eisenberg, por exemplo, dependia de oráculos de preços e teria sido difícil ou impossível de simular em um ambiente de teste. Isto pode fazer com que os caçadores de recompensas experimentem ataques aos mesmos sistemas em que utilizadores reais têm dinheiro em jogo – e coloquem esse dinheiro real em risco.
Também me preocupo com o fato de que tantos programas de recompensas blockchain permitem envios anônimos, que são muito mais raros na segurança cibernética convencional. Alguns até distribuem recompensas sem verificação de identidade; isto é, eles não têm ideia para quem estão pagando a recompensa.
Veja também: Chamar um hack de exploração minimiza o erro Human | Opinião (2022)
Isto representa uma tentação realmente sinistra: os programadores de um projeto podem deixar bugs no lugar, ou até mesmo introduzir bugs críticos, e então deixar um amigo anônimo “encontrar” e “relatar” os bugs. O insider e o caçador de insetos poderiam então dividir a recompensa da recompensa, custando muito dinheiro ao projeto, sem deixar ninguém mais seguro.
Você precisa de um xerife, não de um caçador de recompensas
Apesar de tudo isso, as recompensas por bugs ainda têm um papel a desempenhar na segurança do blockchain. A ideia básica de oferecer uma recompensa para atrair uma enorme diversidade de talentos para tentar quebrar o seu sistema ainda é sólida. Mas muitas vezes vejo projetos de blockchain que dependem em grande parte ou mesmo exclusivamente de uma combinação de programas de recompensas e supervisão interna de segurança. E essa é uma receita para o desastre.
Afinal, há uma razão para que os caçadores de recompensas nos filmes sejam tantas vezes "chapéus cinzentos" moralmente ambíguos - pense em BOBA Fett, "Man With No Name" de Clint Eastwood ou no Dr. King Schulz de "Django Unchained". Eles são mercenários, estão ali em busca de um pagamento único e notoriamente indiferentes ao panorama geral do problema que estão resolvendo. No extremo oposto do espectro, você pode encontrar um Avi Eisenberg, ansioso para adotar a capa de uma “recompensa de insetos” quando eles próprios são os verdadeiros vilões.
É por isso que os caçadores de recompensas dos velhos tempos se reportam a um xerife, que tem um dever de longo prazo para com as pessoas que protege e garante que todos cumpram as regras. Em termos de segurança cibernética, o papel do xerife é desempenhado por revisores de código profissionais – pessoas com reputações públicas a proteger, que são pagas independentemente do que descobrem. Uma revisão feita por uma empresa externa também atenua o impulso defensivo equivocado dos desenvolvedores internos, que podem rejeitar bugs reais para proteger sua própria reputação. E os especialistas em segurança de blockchain muitas vezes podem prever os tipos de interações financeiras que destruíram o Mango Mercados, antes que haja dinheiro real em jogo.
A grande maioria dos caçadores de recompensas de insetos, para ser claro, está realmente tentando fazer a coisa certa. Mas eles têm tão pouco poder dentro das regras desse sistema que não é surpresa que alguns deles acabem fazendo uso indevido de suas descobertas. T podemos normalizar esse comportamento dando a exploradores como Avi Eisenberg o selo de aprovação implícito num prémio de “recompensa” – e projectos que realmente se preocupam com a segurança dos seus utilizadores T devem deixá-lo nas mãos da multidão.
Veja também:Ogle pega os criminosos Cripto
