Il tuo progetto Cripto ha bisogno di uno sceriffo, non di un cacciatore di taglie

Il 18 aprile, Avi Eisenberg è stato condannato per frode per il suo exploit dell'ottobre 2022 su Mango Mercati. Il caso ha attirato particolare attenzione perché Eisenberg ha rapidamente riconosciuto di aver eseguito l’attacco da 110 milioni di dollari e ha definito la sua tattica non come un crimine, ma come una “strategia commerciale altamente redditizia”, basandosi sulla sua interpretazione del detto secondo cui “il codice è legge”.

Steven Walbroehl è il co-fondatore e chief Tecnologie officer di Halborn, una società di sicurezza informatica specializzata in società blockchain.

Eisenberg cercò anche di giustificare le sue attività in un secondo modo: inquadrando i proventi come un “bug bounty” o una ricompensa per aver identificato una vulnerabilità. Così le parti hanno definito un accordo in cui Eisenberg ha restituito a Mango circa 67 milioni di dollari, trattenendo però i restanti 47 milioni, in cambio della promessa di non sporgere denuncia. Ciò l'avrebbe resa la più grande taglia di insetti della storia .

Sono un professionista della sicurezza informatica da 15 anni e anch'io ho fatto qualche ricerca di bug. Quindi credimi quando dico: non è così che funzionano i bug bounties.

La leadership di Mango ha successivamente sconfessato l’accordo con Eisenberg, sostenendo comprensibilmente che l’accordo era stato concluso sotto costrizione . Nemmeno i tribunali T preso sul serio l'inquadramento della “taglia” . Questo è positivo, perché l'idea che un ladro possa semplicemente restituire parte del suo bottino e diventare improvvisamente un eroe crea incentivi pericolosi.

Ma l’incidente illustra anche perché anche i veri e propri bug bounty sono controversi tra gli esperti di sicurezza informatica. Sebbene abbiano il loro posto in un approccio globale alla sicurezza, possono semplicemente creare un’illusione di sicurezza se usati isolatamente. Peggio ancora, possono creare motivazioni perverse e cattivo sangue che aumentano il rischio invece di mitigarlo – soprattutto per progetti Cripto e blockchain.

Molti altri aggressori Cripto hanno restituito fondi dopo averli prelevati, ad esempio negli attacchi POLY Network e Euler Finanza . È un fenomeno Cripto unico che alcuni hanno chiamato "bug bounties retroattivi". In un vago principio, l'idea è che gli aggressori abbiano trovato una vulnerabilità in un sistema e che il denaro che prendono sia in qualche modo la giusta ricompensa per la loro Da scoprire. In pratica, però, questi incidenti sono più simili a trattative con ostaggi, con le vittime che sperano di blandire o fare pressioni sull’aggressore affinché restituisca i soldi.

T approvo che gli hacker prendano ostaggi finanziari, ma essendo io stesso un ex cacciatore di taglie, T posso negare una certa giustizia poetica a questo. Più di una volta ho allertato le aziende con programmi di ricompensa di vulnerabilità gravi o critiche, solo per farle ignorare o ignorare i rischi per mesi o addirittura anni. Posso comprendere appieno la frustrazione che potrebbe portare un ricercatore di sicurezza giovane o ingenuo in quella situazione ad arricchirsi semplicemente con la propria conoscenza - a fare un Breaking Bad e passare da sceriffo dal "cappello bianco" a rapinatore di banche "dal cappello nero".

Vedi anche: La DeFi ha bisogno che gli hacker diventino inattaccabili | Opinioni (2021)

Un problema CORE è che i progetti che offrono premi hanno molti incentivi a pagarli il più raramente e nel modo più economico possibile. Ovviamente ci sono dei costi finanziari, ma rimarrai sorpreso dalla frequenza con cui un team negherà la gravità di un bug segnalato semplicemente per proteggere la propria reputazione, lasciando gli utenti a rischio continuo. Tale rifiuto può assumere numerose forme, come dichiarare i bug “fuori ambito” per una taglia pubblicata. A volte gli sviluppatori dalla pelle sottile minacciano persino azioni legali contro i ricercatori che li hanno adeguatamente contattati con bug gravi.

Può essere incredibilmente frustrante per un ricercatore dedicare infinite ore alla ricerca di un "bug generosità", solo per vedere le sue scoperte respinte o addirittura rivolte contro di lui. Fare qualcosa di distruttivo, come rubare un sacco di soldi, potrebbe anche sembrare un modo ragionevole per ottenere risultati quando sei stato ignorato. Questa è la logica contorta dietro cui Avi Eisenberg cerca di posizionare il suo furto come una “taglia bug”: perdere 47 milioni di dollari è una spinta piuttosto grande per correggere una vulnerabilità.

La frustrazione di alcuni cacciatori di taglie è inestricabile da un'altra mancanza dei bug bounty: generalmente invitano a inviare molte proposte che T sono utili. Per ogni bug autentico segnalato, un progetto potrebbe ricevere dozzine o addirittura centinaia di segnalazioni che non portano da nessuna parte. Una squadra potrebbe onestamente trascurare proposte di alta qualità mentre vaglia tutta quella spazzatura. Più in generale, la ricerca di un ago nel pagliaio delle taglie può assorbire così tanto tempo ed energie da parte del personale da compensare il risparmio sui costi che un programma di taglie potrebbe sembrare offrire.

I bug bounties sono anche particolarmente rischiosi per i progetti blockchain in alcuni modi. A differenza, ad esempio, di un'app per iPhone, è difficile testare completamente uno strumento basato su blockchain prima che venga effettivamente implementato. I progetti software tradizionali spesso consentono ai cacciatori di bug di tentare di violare le versioni di pre-produzione del software, ma nelle Cripto le vulnerabilità possono emergere dalle interazioni di un sistema con altri prodotti on-chain.

L'hacking Mango di Eisenberg, ad esempio, si basava sugli oracoli dei prezzi e sarebbe stato difficile o impossibile simularlo in un ambiente di test. Ciò può portare i cacciatori di taglie a provare attacchi sugli stessi sistemi in cui gli utenti reali hanno in gioco denaro, mettendo a rischio quel denaro reale.

Mi preoccupa anche il fatto che così tanti programmi di ricompensa blockchain consentano invii anonimi, che sono molto più rari nella sicurezza informatica tradizionale. Alcuni addirittura distribuiscono ricompense senza controlli di identità; cioè, non hanno idea a chi stanno pagando la taglia.

Vedi anche: Chiamare un hack un exploit riduce al minimo l'errore Human | Opinioni (2022)

Ciò presenta una tentazione davvero inquietante: i programmatori di un progetto potrebbero lasciare dei bug sul posto, o addirittura introdurre bug critici, quindi lasciare che un amico anonimo “trovi” e “segnali” i bug. L’insider e il cacciatore di bug potrebbero quindi dividere la ricompensa, costando al progetto un sacco di soldi senza rendere nessuno più sicuro.

Nonostante tutto ciò, i bug bounty hanno ancora un ruolo da svolgere nella sicurezza della blockchain. L’idea di base di offrire una ricompensa per attrarre un’enorme varietà di talenti per cercare di rompere il sistema è ancora solida. Ma troppo spesso vedo progetti blockchain fare affidamento in gran parte o addirittura esclusivamente su un mix di programmi di ricompensa e supervisione interna per la sicurezza. E questa è una ricetta per il disastro.

C'è una ragione, dopo tutto, per cui i cacciatori di taglie nei film sono spesso "cappelli grigi" moralmente ambigui: pensa a BOBA Fett, "L'uomo senza nome" di Clint Eastwood o al Dr. King Schulz di "Django Unchained". Sono mercenari, lì per un pagamento una tantum e notoriamente indifferenti al quadro più ampio del problema che stanno risolvendo. All'estremità estrema dello spettro, puoi trovare un Avi Eisenberg, desideroso di adottare la copertina di un "bug bounty" quando loro stessi sono i veri cattivi.

Ecco perché i vecchi cacciatori di taglie alla fine si sono rivolti a uno sceriffo, che ha un dovere a lungo termine nei confronti delle persone che sta proteggendo e si assicura che tutti rispettino le regole. In termini di sicurezza informatica, il ruolo dello sceriffo è svolto da revisori professionisti del codice: persone con una reputazione pubblica da proteggere, che vengono pagate indipendentemente da ciò che scoprono. Una revisione da parte di un'azienda esterna mitiga anche l'impulso difensivo fuorviante degli sviluppatori interni che potrebbero rifiutare bug reali per proteggere la propria reputazione. E gli specialisti della sicurezza blockchain spesso riescono a prevedere il tipo di interazioni finanziarie che hanno distrutto Mango Mercati, prima che ci siano soldi veri in gioco.

La stragrande maggioranza dei cacciatori di taglie, per essere chiari, sta davvero cercando di fare la cosa giusta. Ma hanno così poco potere all’interno delle regole di quel sistema che non sorprende che alcuni di loro finiscano per abusare delle loro scoperte. T possiamo normalizzare questo comportamento dando a sfruttatori come Avi Eisenberg il timbro di approvazione implicito in un premio “bounty” – e i progetti che tengono davvero alla sicurezza dei loro utenti T dovrebbero lasciarla nelle mani della folla.

Vedi anche:Ogle cattura i truffatori Cripto