مذاکرات هک: چرا پلتفرمهای دارای برنامههای پاداش ناکارآمد قیمت بیشتری میپردازند

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،
استیون والبروئل، شکارچی جایزه سابق، میگوید که شرکتها گاهی اوقات یافتن باگها را کم اهمیت میدانند و جوایزی را پرداخت نمیکنند و ادعا میکنند که اشکالات مهم نیستند.
با از دست رفتن بیش از ۳۲۰ میلیون دلار دارایی دیجیتال در سه ماهه اول سال ۲۰۲۳، هک همچنان در فضای کریپتو رایج است. با این حال، هکهای اخیر ثابت کردهاند که برخی از سوءاستفادهکنندگان مایلند در ازای دریافت جایزه، داراییها را پس دهند. یک برنامه جایزه با پیچ و تاب جنایی.
تنها در ماه آوریل، فضای غیرمتمرکز مالی (DeFi) شاهد حداقل سه حادثه هکرها بود که وجوه دزدیده شده را بازگرداندند. در ۴ آوریل، پس از دادن ۱۰ درصد از وجوه دزدیده شده به هکرها، تیم اویلر فاینانس توانست ۱۷۶.۴ میلیون دلار را بازیابی کند.
به طور مشابه، Lending Protocol Sentiment پس از مذاکره با هکرها توانست حدود ۱ میلیون دلار از وجوه دزدیده شده را بازیابی کند. اخیراً مهاجمانی که ۸.۹ میلیون دلار از پروتکل دیفای SafeMoon سرقت کرده بودند، موافقت کردند که ۸۰ درصد از وجوه را برگردانند.

هکهای اخیر را میتوان با برنامههای پاداش باگ ایمن و سودآور اجتناب کرد، اما از دیدگاه کلاههای سفید یا هکرهای اخلاقی، نتیجه ممکن است این باشد که پیشنهادهای انعام ارزشی ندارند. یک ماهیت وجود دارد.
استیون والبروئل، یکی از بنیانگذاران شرکت امنیتی Halborn، میگوید که بسیار رایج است که شرکتها از پرداخت پاداشهای باگ خودداری میکنند و آسیبپذیریهای گزارششده را جدی نمیگیرند. والبروئل، شکارچی جایزه سابق، میگوید برخی از برنامههای جایزه میتواند باعث شود که او در زمان خود «احساس فریبخوردگی» کند. او توضیح داد:
به عنوان یک محقق به آن فکر کنید: اگر سوءاستفادهای را پیدا کنید که میتواند میلیونها دلار در وجوه سرقت شده ایجاد کند، اما توسعهدهنده فقط ۵۰۰۰ دلار جایزه ارائه میدهد، چه پاداشی دارد؟ ممکن است انگیزهای نامتناسب برای نپذیرفتن پول وجود داشته باشد. ”
Walbroehl همچنین گفت که شرکت ها اغلب یافته های خود را کم اهمیت می دانند و می گویند که اشکالات مهم نیستند. به گفته Walbroehl، گاهی اوقات گزارش باگها میتواند منجر به عدم پرداخت هزینه شرکتها شود و تیمها ادعا میکنند که خودشان باگ را پیدا کردهاند.
مربوط: هکرها پس از بهره برداری از قراردادهای قدیمی Yearn.finance، ۱۰۰۰ تریلیون yUSDT ایجاد کردند.
سیمون ژو، مدیر ارشد محصول در شرکت امنیتی بلاک چین CertiK، گفت که این پلتفرم باید برنامههای امن و سودآوری را برای توسعهدهندگان ایجاد کند. در حالی که بازگرداندن وجوه یک برد است، چو به کوین تلگراف گفت که این روند خوشایند نخواهد بود زیرا مهاجمان در این سناریو اساسا وجوه را گروگان نگه می دارند. زو توضیح داد:
“برنامه پاداش اشکال کلاه سفید به وضوح در اینجا مطلوب است. نه.”
علاوه بر این، ژو از پروژه خواست تا طرز فکر خود را در مورد آسیبپذیریها تغییر دهد. به گفته مدیران امنیت سایبری، برخی از تیمهای توسعهدهنده تمایل دارند وقتی باگهای کوچک را هزینه میکنند یا زمانی که تغییرات قرارداد هوشمند پس از رفع آنها پیچیدهتر میشوند، باگهای کوچک را نادیده بگیرند.
با این حال، مدیران CertiK تاکید کردند که یک آسیب پذیری کوچک می تواند یک شبه در Web3 به یک آسیب پذیری بزرگ تبدیل شود. ژو افزود: “مرغ با سپرده های کاربر یک رویکرد بلندمدت مسئولانه برای امنیت نیست.”
مجله: سازمان های اجرایی ایالات متحده در مورد جرایم مربوط به رمزارزها داغ می کنند
نویسنده: Ezra Reguerra