Un esercito di hacker può rendere le criptovalute più sicure, ma è stato fatto abbastanza?

Nell’ultimo decennio, l’hacking è diventato gradualmente una carriera rispettabile e potenzialmente gratificante grazie all’introduzione dei bug bounties.

Mentre alcune organizzazioni come Mozilla hanno lanciato i bug bounty nel lontano 2004, un grande impulso al settore è arrivato quando Google e Facebook hanno lanciato programmi simili nel 2010 e nel 2011, rispettivamente. Subito dopo, nel 2011 e nel 2012, piattaforme come Bugcrowd e HackerOne hanno commercializzato i bug boun per rendere più facile per altre società configurarli.

Un bug bounty paga ricercatori indipendenti che trovano e segnalano vulnerabilità che potrebbero avere un impatto sulla sicurezza del sistema o dei suoi utenti. Una delle vulnerabilità più comuni è il cosiddetto attacco Cross-Site Scripting (XSS), che inietta codice JavaScript dannoso nel browser di un utente.

A causa del modo in cui JavaScript permea il Web oggi, questo attacco può essere utilizzato essenzialmente per dirottare l’account di una vittima e Google pagherà fino a $ 7.500 per questa categoria di insetti.

Perché sono utili i bug bounty?

Gli audit di sicurezza e le revisioni del codice sono limitati sia nel tempo che nel numero di occhi che forniscono controllo. Sebbene siano utili per raccogliere i frutti più bassi prima di rilasciare il software al pubblico, alcuni dei bug più gravi possono derivare dalla composizione di molti piccoli errori di progettazione.

Come esempio recente di ciò, un ricercatore indipendente ha trovato un bug importante nell’algoritmo ProgPoW nonostante più audit precedenti.

I recenti hack nella finanza decentralizzata, o DeFi, mostrano la complessità di questi sistemi. Nel primo hack bZX, il nucleo dell’exploit era un sottile fallimento nel controllare la corretta collateralizzazione nei contratti intelligenti bZX, ma i prestiti flash e altre piattaforme fornivano gli strumenti necessari per estrarre denaro attraverso questo bug.

Il programma di Google dimostra facilmente che il rilascio di codice sicuro sin dall’inizio è quasi impossibile. Il suo programma di ricompensa per la vulnerabilità pubblicato un record senza precedenti di $ 6 milioni di pagamenti nel 2023, nove anni dopo il lancio. Durante quel periodo, l’azienda disponeva di tutti gli strumenti per perfezionare le sue pratiche di sicurezza interna, ma la complessità dei suoi sistemi sembra aver reso tutto ciò quasi impossibile.

Bug bounties in criptovaluta

Molte aziende e progetti in crittografia offriranno generose ricompense per bug critici. I progetti DeFi Maker, Compound e Aave hanno rispettivamente un massimo di $ 100.000, $ 150.000 e $ 250.000.

I principali scambi come Kraken, Coinbase e Binance forniscono anche programmi di bug bounty. Kraken non ha un massimo esplicito, mentre Coinbase e Binance raggiungono rispettivamente $ 50.000 e $ 10.000. Non tutti i principali scambi hanno lanciato tali programmi, in particolare Huobi e Bitstamp.

Vale la pena notare che un pagamento massimo pubblicizzato non rende necessariamente il programma più attraente, in quanto le somme pagate sono quasi sempre a discrezione dell’azienda.

Su 458 segnalazioni inviato per Coinbase, la vincita massima era di soli $ 20.000, mentre la media è di soli $ 200. Ciò è probabilmente dovuto alla bassa gravità dei bug, ma queste statistiche sono segnali importanti per i ricercatori che devono decidere la piattaforma su cui concentrarsi. Alcuni dei pagamenti medi più alti su Hacker One possono essere ottenuti da Monolith, Tron (TRX) e Matic, sebbene quest’ultimo abbia appena lanciato il suo programma di bug bounty.

Le taglie di bug possono salvare i progetti?

L’infrastruttura crittografica rappresenta un obiettivo ideale per gli hacker grazie alle sue proprietà simili ai contanti, poiché rubare denaro digitale da una banca è molto Più forte.

Le storie di “successo” di hacking come Coincheck, in cui gli autori di un attacco da 500 milioni di dollari non sono stati scoperti dopo più di due anni, possono attrarre hacker “black hat” o completamente dannosi più di altri settori.

Secondo una classifica di scambio di sicurezza pubblicato di Hacken nel 2023, l’82% di tutti gli scambi non ha alcun programma di bug bounty. Di quelli che lo fanno, e che sono in cima alla lista, solo Binance ha subito un grave attacco nel 2023.

Curiosamente, sia bZX che dForce avevano programmi di bug bounty in atto prima dei loro incidenti, ma avevano notevoli avvertimenti.

bZX’s programma aveva solo un pagamento massimo di $ 5.000 e richiedeva in modo cruciale ai ricercatori di presentare una prova di identità prima di ritirare la ricompensa. Sembra anche che sia stato pubblicato solo su un post medio. Dopo l’incidente, il progetto rettificato tutti i problemi di cui sopra.

DForce’s programma allo stesso modo richiedeva l’invio di documenti e, sebbene il suo pagamento massimo fosse significativo a $ 50.000, copriva solo il sistema stablecoin USDx, non la piattaforma Lendf.me che finì per essere hackerata.

Sebbene le aziende siano obbligate a trattenere il pagamento ai ricercatori che vivono in regioni sanzionate, pochissimi programmi di successo richiedono un controllo completo dell’identità per ricevere denaro. Dal punto di vista di un cacciatore di insetti, l’invio di documenti di identità può diventare una spada di Damocle a causa delle frequenti rappresaglie legali contro hacker pienamente legittimi, scoraggiandoli così dall’applicazione.

Considerato quanto sopra, sembra esserci una correlazione significativa tra la presenza di un programma di bug bounty equo e l’incidenza di hack catastrofici.

Tuttavia, in una conversazione con Cointelegraph, Egor Homakov, un rispettato ricercatore di sicurezza, ha messo in guardia contro i progetti di “vergogna”:

“Le taglie non dovrebbero essere imposte a nessun progetto e l’interesse dovrebbe venire dall’interno. Ogni progetto viene già fornito con un programma di taglie per impostazione predefinita, è solo che le taglie sono pari a [a] $ 0. Non credo che le persone dovrebbero svergognare i programmi per importi maggiori. Questo mercato si autoregola perfettamente e non ha bisogno di ulteriori richieste / richieste di ricerca. ”

A giudicare dalle risposte agli incidenti di alcune delle società che sono state violate, la selezione naturale verso migliori ricompense di bug potrebbe essere già in atto.