Dự án tiền điện tử của bạn cần một cảnh sát trưởng, không phải thợ săn tiền thưởng

Vào ngày 18 tháng 4, Avi Eisenberg bị kết tội lừa đảo vì hành vi khai thác Mango Markets vào tháng 10 năm 2022. Vụ việc đã thu hút sự chú ý đặc biệt vì Eisenberg nhanh chóng thừa nhận đã thực hiện vụ tấn công trị giá 110 triệu đô la và mô tả chiến thuật của anh ta không phải là một tội ác mà là một “chiến lược giao dịch có lợi nhuận cao”, dựa trên cách giải thích của anh ta về câu châm ngôn rằng “mật mã là luật”.

Steven Walbroehl là người đồng sáng lập và giám đốc công nghệ của Halborn, một công ty an ninh mạng chuyên về các công ty blockchain.

Eisenberg cũng cố gắng biện minh cho hoạt động của mình theo cách thứ hai: bằng cách coi số tiền thu được là “tiền thưởng phát hiện lỗi” hoặc phần thưởng cho việc xác định được lỗ hổng. Đó là cách các bên mô tả một thỏa thuận trong đó Eisenberg trả lại khoảng 67 triệu đô la cho Mango, nhưng giữ lại 47 triệu đô la còn lại, để đổi lấy lời hứa không buộc tội. Điều đó có thể khiến nó trở thành khoản tiền thưởng phát hiện lỗi lớn nhất trong lịch sử .

Tôi đã là chuyên gia an ninh mạng được 15 năm và tôi đã tự mình thực hiện một số hoạt động săn lỗi để kiếm tiền thưởng. Vì vậy hãy tin tôi khi tôi nói: đó không phải là cách hoạt động của tiền thưởng tìm lỗi.

Ban lãnh đạo Mango sau đó đã từ chối thỏa thuận với Eisenberg, có thể hiểu rằng thỏa thuận được thực hiện dưới sự ép buộc . Các tòa án cũng không coi trọng việc đóng khung “tiền thưởng” . Điều đó tốt, bởi vì ý tưởng rằng một tên trộm có thể trả lại một số chiến lợi phẩm của mình và đột nhiên trở thành anh hùng sẽ tạo ra những động cơ nguy hiểm.

Nhưng vụ việc cũng minh họa tại sao ngay cả tiền thưởng tìm lỗi thích hợp cũng gây tranh cãi giữa các chuyên gia an ninh mạng. Mặc dù chúng có vai trò trong phương pháp bảo mật toàn diện nhưng chúng chỉ có thể tạo ra ảo tưởng về sự an toàn nếu được sử dụng một cách riêng biệt. Tệ hơn nữa, họ có thể tạo ra những động cơ đồi trụy và máu xấu làm tăng rủi ro thay vì giảm thiểu nó. – đặc biệt là đối với các dự án tiền điện tử và blockchain.

Nhiều kẻ tấn công tiền điện tử khác đã trả lại tiền sau khi lấy chúng, chẳng hạn như trong các cuộc tấn công của Poly Network và Euler Finance . Đó là một hiện tượng tiền điện tử độc đáo mà một số người gọi là “tiền thưởng lỗi có hiệu lực hồi tố”. Theo nguyên tắc mơ hồ, ý tưởng là những kẻ tấn công đã tìm thấy lỗ hổng trong hệ thống và số tiền chúng lấy được bằng cách nào đó là phần thưởng chính đáng cho phát hiện của chúng. Tuy nhiên, trên thực tế, những sự cố này giống như các cuộc đàm phán về con tin hơn, với việc nạn nhân hy vọng sẽ dỗ dành hoặc gây áp lực buộc kẻ tấn công phải trả lại tiền.

Tôi không tán thành việc tin tặc bắt làm con tin tài chính, nhưng với tư cách là một cựu thợ săn tiền thưởng lỗi, tôi không thể phủ nhận một sự công bằng thi vị nhất định đối với việc đó. Đã hơn một lần, tôi đã cảnh báo các công ty có chương trình thưởng về các lỗ hổng nghiêm trọng hoặc nghiêm trọng, nhưng họ lại loại bỏ hoặc bỏ qua các rủi ro trong nhiều tháng, thậm chí nhiều năm. Tôi hoàn toàn có thể hiểu được sự thất vọng có thể khiến một nhà nghiên cứu bảo mật trẻ tuổi hoặc ngây thơ trong tình huống đó chỉ đơn giản làm giàu cho bản thân bằng kiến thức của mình – kéo Breaking Bad và đi từ cảnh sát trưởng “mũ trắng” thành tên cướp ngân hàng “mũ đen”.

Xem thêm: DeFi cần hacker để không thể hack | Ý Kiến (2021)

Vấn đề cốt lõi là các dự án cung cấp tiền thưởng có nhiều động cơ để trả tiền thưởng một cách không thường xuyên và càng rẻ càng tốt. Rõ ràng là có những chi phí tài chính, nhưng bạn sẽ ngạc nhiên về mức độ thường xuyên mà một nhóm sẽ phủ nhận mức độ nghiêm trọng của lỗi được báo cáo chỉ để bảo vệ danh tiếng của chính họ, đồng thời khiến người dùng tiếp tục gặp rủi ro. Việc từ chối đó có thể có nhiều hình thức, chẳng hạn như tuyên bố lỗi “ngoài phạm vi” đối với tiền thưởng đã đăng. Đôi khi các nhà phát triển mỏng manh thậm chí sẽ đe dọa hành động pháp lý chống lại các nhà nghiên cứu đã tiếp cận họ một cách hợp lý với các lỗi nghiêm trọng.

Việc một nhà nghiên cứu bỏ ra hàng giờ đồng hồ để theo đuổi “tiền thưởng lỗi” có thể là điều vô cùng khó chịu đối với một nhà nghiên cứu để rồi bị bác bỏ hoặc thậm chí quay lưng lại với những phát hiện của họ. Làm điều gì đó mang tính phá hoại, chẳng hạn như ăn trộm nhiều tiền, thậm chí có vẻ là một cách hợp lý để đạt được kết quả khi bạn bị phớt lờ. Đó là logic méo mó đằng sau việc Avi Eisenberg cố gắng coi hành vi trộm cắp của mình là “tiền thưởng tìm lỗi” – việc mất 47 triệu USD là một động lực khá lớn để khắc phục một lỗ hổng.

Sự thất vọng của một số thợ săn tiền thưởng không thể tách rời khỏi một thiếu sót khác của tiền thưởng lỗi: Họ thường mời rất nhiều người gửi không hữu ích. Đối với mỗi lỗi thực sự được báo cáo, một dự án có thể nhận được hàng chục hoặc thậm chí hàng trăm báo cáo chẳng dẫn đến đâu. Thành thật mà nói, một nhóm có thể bỏ qua các bài nộp chất lượng cao trong khi sàng lọc tất cả những thứ cặn bã đó. Nói chung, việc mò kim đáy bể tìm lỗi có thể tiêu tốn rất nhiều thời gian và sức lực của nhân viên đến mức bù đắp được khoản tiết kiệm chi phí mà một chương trình tiền thưởng dường như có thể mang lại.

Tiền thưởng phát hiện lỗi cũng có rủi ro đặc biệt đối với các dự án blockchain theo một số cách. Không giống như một ứng dụng iPhone, thật khó để kiểm tra đầy đủ một công cụ dựa trên blockchain trước khi nó thực sự được triển khai. Các dự án phần mềm chính thống thường cho phép những người săn lỗi cố gắng phá vỡ các phiên bản phần mềm tiền sản xuất, nhưng trong tiền điện tử, các lỗ hổng có thể xuất hiện từ sự tương tác của hệ thống với các sản phẩm trên chuỗi khác.

Ví dụ: vụ hack Mango của Eisenberg dựa vào các dự đoán về giá và sẽ khó hoặc không thể mô phỏng trong môi trường thử nghiệm. Điều này có thể khiến những kẻ săn tiền thưởng thử tấn công vào cùng một hệ thống nơi người dùng thực có tiền bị đe dọa – và khiến số tiền thật đó gặp rủi ro.

Tôi cũng lo lắng về thực tế là có rất nhiều chương trình tiền thưởng blockchain cho phép gửi ẩn danh, điều này hiếm hơn nhiều trong an ninh mạng chính thống. Một số thậm chí còn phân phối phần thưởng mà không cần kiểm tra danh tính; nghĩa là họ không biết họ đang trả tiền thưởng cho ai.

Xem thêm: Gọi Hack là Khai thác Giảm thiểu Lỗi của Con người | Ý Kiến (2022)

Điều này thể hiện một sự cám dỗ thực sự đáng lo ngại: các lập trình viên của dự án có thể để lại lỗi tại chỗ hoặc thậm chí đưa ra các lỗi nghiêm trọng, sau đó để một người bạn ẩn danh “tìm” và “báo cáo” lỗi. Sau đó, người trong cuộc và người săn lỗi có thể chia phần thưởng tiền thưởng, khiến dự án tốn rất nhiều tiền mà không giúp ai an toàn hơn.

Bất chấp tất cả những điều này, tiền thưởng phát hiện lỗi vẫn có vai trò trong bảo mật blockchain. Ý tưởng cơ bản về việc đưa ra phần thưởng nhằm thu hút rất nhiều nhân tài để thử và phá vỡ hệ thống của bạn vẫn còn vững chắc. Nhưng tôi thường xuyên thấy các dự án blockchain phụ thuộc phần lớn hoặc thậm chí hoàn toàn vào sự kết hợp giữa các chương trình tiền thưởng và giám sát nội bộ về an ninh. Và đó là công thức dẫn tới thảm họa.

Suy cho cùng, có lý do khiến những thợ săn tiền thưởng trong phim thường là những “mũ xám” mơ hồ về mặt đạo đức – hãy nghĩ đến Boba Fett, “Man With No Name” của Clint Eastwood hay Tiến sĩ King Schulz trong “Django Unchained”. Họ là những người lính đánh thuê, đến đó để nhận tiền một lần và nổi tiếng là thờ ơ với bức tranh toàn cảnh hơn về vấn đề mà họ đang giải quyết. Ở phía xa nhất của quang phổ, bạn có thể có được một Avi Eisenberg, háo hức nhận vỏ bọc “tiền thưởng lỗi” khi bản thân họ là những nhân vật phản diện thực sự.

Đó là lý do tại sao những thợ săn tiền thưởng thời xưa cuối cùng đã báo cáo với cảnh sát trưởng, người có nhiệm vụ lâu dài với những người mà anh ta đang bảo vệ và đảm bảo mọi người đều tuân thủ luật lệ. Trong thuật ngữ an ninh mạng, vai trò cảnh sát trưởng được thực hiện bởi những người đánh giá mã chuyên nghiệp – những người có danh tiếng công cộng cần bảo vệ, những người được trả tiền bất kể họ phát hiện ra điều gì. Đánh giá của một công ty bên ngoài cũng làm giảm nhẹ động lực phòng thủ sai lầm của các nhà phát triển nội bộ, những người có thể từ chối các lỗi thực sự để bảo vệ danh tiếng của chính họ. Và các chuyên gia bảo mật blockchain thường có thể thấy trước các loại tương tác tài chính đã tàn phá Mango Markets trước khi tiền thật bị đe dọa.

Nói rõ hơn, đại đa số những người săn tiền thưởng lỗi thực sự đang cố gắng làm điều đúng đắn. Nhưng họ có rất ít quyền lực trong khuôn khổ các quy tắc của hệ thống đó nên không có gì đáng ngạc nhiên khi một số người trong số họ cuối cùng đã lạm dụng những phát hiện của mình. Chúng ta không thể bình thường hóa hành vi đó bằng cách trao cho những kẻ khai thác như Avi Eisenberg con dấu phê duyệt ngụ ý bằng giải thưởng “tiền thưởng” – và các dự án thực sự quan tâm đến sự an toàn của người dùng không nên để nó rơi vào tay đám đông.

Xem thêm:Ogle bắt kẻ lừa đảo tiền điện tử