🗯 Вашему криптопроекту нужен шериф, а не охотник за головами

Вашему криптопроекту нужен шериф, а не охотник за головами

18 апреля Ави Айзенберг был признан виновным в мошенничестве, связанном с эксплуатацией Mango Markets в октябре 2022 года. Дело привлекло особое внимание, поскольку Айзенберг быстро признал, что осуществил атаку стоимостью 110 миллионов долларов, и охарактеризовал свою тактику не как преступление, а как «высокодоходную торговую стратегию», опираясь на свою интерпретацию изречения о том, что «код – это закон».

Стивен Уолбрёл — соучредитель и технический директор Halborn, фирмы по кибербезопасности, специализирующейся на блокчейн-компаниях.

Айзенберг также пытался оправдать свою деятельность другим способом: называя доходы «наградой за обнаружение ошибок» или вознаграждением за обнаружение уязвимости. Именно так стороны охарактеризовали сделку, по которой Айзенберг вернул Mango около $67 млн, но оставил себе оставшиеся $47 млн ​​в обмен на обещание не выдвигать обвинения. Это стало бы крупнейшей наградой за обнаружение ошибок в истории.

Я работаю профессионалом в области кибербезопасности уже 15 лет и сам занимался поиском ошибок. Так что поверьте мне, когда я говорю: вознаграждение за обнаружение ошибок работает не так.

Руководство Mango позже дезавуировало соглашение с Айзенбергом, по понятным причинам заявив, что сделка была заключена под давлением. Суды также не восприняли всерьез формулировку «награды». Это хорошо, потому что идея о том, что вор может просто вернуть часть своей добычи и внезапно стать героем, создает опасные стимулы.

Но этот инцидент также иллюстрирует, почему даже надлежащие вознаграждения за обнаружение ошибок вызывают споры среди экспертов по кибербезопасности. Хотя они имеют свое место в комплексном подходе к безопасности, они могут просто создать иллюзию безопасности, если использоваться изолированно. Хуже того, они могут создавать извращенные мотивы и неприязнь, которые увеличивают риск, а не снижают его – особенно для проектов криптовалют и блокчейнов.

«Ретроактивное вознаграждение за обнаружение ошибок» или старый добрый «шантаж»?

Многие другие криптозлоумышленники вернули средства после их получения, например, в атаках Poly Network и Euler Finance. Это уникальный криптофеномен, который некоторые называют «ретроактивным вознаграждением за обнаружение ошибок». В расплывчатом принципе идея заключается в том, что злоумышленники нашли уязвимость в системе и что деньги, которые они получают, каким-то образом являются справедливой наградой за их обнаружение. Однако на практике эти инциденты больше похожи на переговоры о захвате заложников, когда жертвы надеются уговорить или оказать давление на нападавшего, чтобы тот вернул деньги.

Я не одобряю захват хакерами финансовых заложников, но, как бывший охотник за головами, я не могу отказать этому в определенной поэтической справедливости. Я не раз предупреждал компании, проводящие программы вознаграждений, о серьезных или критических уязвимостях только для того, чтобы они игнорировали или игнорировали риски в течение месяцев или даже лет. Я могу полностью понять разочарование, которое может заставить молодого или наивного исследователя безопасности в такой ситуации просто обогатиться своими знаниями – сделать «Во все тяжкие» и превратиться из «белого» шерифа в «черного» грабителя банков.

См. также: DeFi нужны хакеры, чтобы стать неуязвимыми | Мнение (2021)

Основная проблема заключается в том, что проекты, предлагающие вознаграждения, имеют множество стимулов выплачивать их как можно реже и как можно дешевле. Очевидно, что это связано с финансовыми затратами, но вы будете удивлены, как часто команда будет отрицать серьезность обнаруженной ошибки просто для того, чтобы защитить свою репутацию, оставляя при этом пользователей постоянным риском. Это отрицание может принимать различные формы, например, объявление ошибок «выходящими за рамки» объявленного вознаграждения. Иногда тонкокожие разработчики даже угрожают судебным иском исследователям, которые правильно обратились к ним с серьезными ошибками.

Исследователю может быть невероятно неприятно тратить бесконечные часы на поиски «награды за обнаружение ошибок» только для того, чтобы его результаты были отвергнуты или даже обернулись против него самого. Совершение чего-то деструктивного, например, кража больших денег, может даже показаться разумным способом добиться результатов, когда вас игнорируют. Это извращенная логика, лежащая в основе попытки Ави Айзенберга позиционировать свою кражу как «награду за обнаружение ошибок»: потеря 47 миллионов долларов — это довольно большой толчок к устранению уязвимости.

Разочарование некоторых охотников за головами неразрывно связано с еще одним недостатком вознаграждений за обнаружение ошибок: они обычно предлагают много бесполезных материалов. На каждую настоящую ошибку проект может получить десятки или даже сотни отчетов, которые ни к чему не приведут. Команда могла честно игнорировать высококачественные материалы, просеивая весь этот мусор. В более общем плане поиск иголки в стоге сена по поиску ошибок может отнять у сотрудников так много времени и энергии, что это сводит на нет экономию средств, которую может предложить программа вознаграждений.

Вознаграждения за обнаружение ошибок также представляют уникальный риск для блокчейн-проектов по нескольким причинам. В отличие, скажем, от приложения для iPhone, инструмент на основе блокчейна сложно полностью протестировать до его фактического внедрения. Основные проекты программного обеспечения часто позволяют охотникам за ошибками пытаться взломать предварительные версии программного обеспечения, но в криптографии уязвимости могут возникать в результате взаимодействия системы с другими продуктами в цепочке.

Например, взлом Mango Айзенберга основывался на ценовых оракулах, и его было бы трудно или невозможно смоделировать в тестовой среде. Это может привести к тому, что охотники за головами будут пытаться атаковать те же системы, где реальные пользователи имеют деньги на кону, и подвергать эти реальные деньги риску.

Меня также беспокоит тот факт, что многие программы вознаграждений за блокчейн допускают анонимную отправку заявок, что гораздо реже встречается в основной сфере кибербезопасности. Некоторые даже раздают награды без проверки личности; то есть они понятия не имеют, кому платят награду.

См. также: Называние взлома эксплойтом сводит к минимуму человеческую ошибку | Мнение (2022)

Это представляет собой действительно зловещий соблазн: программисты проекта могут оставить ошибки на месте или даже внести критические ошибки, а затем позволить анонимному другу «найти» и «сообщить» об ошибках. Затем инсайдер и охотник за ошибками могли бы разделить вознаграждение, что стоило бы проекту больших денег, не делая никого более безопасным.

Вам нужен шериф, а не охотник за головами

Несмотря на все это, вознаграждения за обнаружение ошибок по-прежнему играют важную роль в безопасности блокчейна. Основная идея предложения вознаграждения для привлечения огромного разнообразия талантов, которые попытаются сломать вашу систему, по-прежнему актуальна. Но слишком часто я вижу, что блокчейн-проекты полагаются в значительной степени или даже исключительно на сочетание программ вознаграждений и внутреннего надзора за безопасностью. И это верный путь к катастрофе.

В конце концов, есть причина, по которой охотники за головами в кино так часто оказываются морально двусмысленными «серыми шляпами» – вспомните Бобу Фетта, «Человека без имени» Клинта Иствуда или доктора Кинга Шульца из «Джанго освобожденного». Они наемники, работающие за разовую выплату и общеизвестно безразличные к более широкой картине проблемы, которую они решают. На самом дальнем конце спектра вы можете найти Ави Айзенберга, стремящегося принять прикрытие «награды за ошибки», хотя они сами являются настоящими злодеями.

Вот почему старые охотники за головами в конечном итоге отчитались перед шерифом, у которого есть долгосрочные обязательства перед людьми, которых он защищает, и который следит за тем, чтобы все играли по правилам. С точки зрения кибербезопасности, роль шерифа играют профессиональные рецензенты кода – люди с общественной репутацией, которую нужно защищать, которым платят независимо от того, что они раскрывают. Проверка, проведенная сторонней фирмой, также смягчает ошибочный оборонительный импульс собственных разработчиков, которые могут отказаться от реальных ошибок, чтобы защитить свою репутацию. А специалисты по безопасности блокчейна часто могут предвидеть виды финансовых взаимодействий, которые опустошили Mango Markets, еще до того, как на кону будут поставлены реальные деньги.

Подавляющее большинство охотников за головами, честно говоря, действительно стараются поступать правильно. Но у них так мало власти в рамках правил этой системы, что неудивительно, что некоторые из них злоупотребляют своими открытиями. Мы не можем нормализовать такое поведение, давая эксплуататорам, таким как Ави Айзенберг, печать одобрения, подразумеваемую наградой «награда» — и проекты, которые действительно заботятся о безопасности своих пользователей, не должны оставлять ее в руках толпы.

См. также: Ogle ловит крипто-мошенников