مذاکرات هک: چرا پلتفرم‌های دارای برنامه‌های پاداش ناکارآمد قیمت بیشتری می‌پردازند؟

هک در فضای کریپتو رایج است، با بیش از 320 میلیون دلار دارایی دیجیتال از دست رفته در سه ماهه اول سال 2023. با این حال، هک‌های اخیر ثابت کردند که برخی از بهره‌برداران مایل به بازگرداندن دارایی‌ها در ازای دریافت جایزه هستند، فرآیندی که برخی آن را به عنوان یک برنامه پاداش باگ با پیچش جنایی توصیف می‌کنند.

تنها در ماه آوریل، حداقل سه مورد از هکرها برای بازگرداندن وجوه سوء استفاده شده در فضای مالی غیرمتمرکز (DeFi). در 4 آوریل، تیم مالی اویلر توانست 176.4 میلیون دلار را بازیابی کند. پس از ارائه 10 درصد از وجوه دزدیده شده به هکر.

به طور مشابه، پروتکل وام دهی Sentiment نیز توانست تقریباً بازیابی کند یک میلیون دلار در وجوه دزدیده شده پس از مذاکره با هکر. اخیراً، مهاجمی که توانست 8.9 میلیون دلار از پروتکل DeFi SafeMoon بگیرد با بازگرداندن 80 درصد وجوه موافقت کرد.

در حالی که می‌توان از هک‌های اخیر از طریق برنامه‌های پاداش باگ ایمن و سودآور جلوگیری کرد، ممکن است نتیجه این باشد که پیشنهادهای جایزه از دیدگاه کلاه سفید ارزش آن را ندارند. یا هکر اخلاقی.

Steven Walbroehl، یکی از بنیانگذاران شرکت امنیتی Halborn، گفت که بسیار رایج است که شرکت‌ها از پرداخت پاداش‌های باگ خودداری می‌کنند و آسیب‌پذیری‌های گزارش‌شده را خیلی جدی نمی‌گیرند. به عنوان یک شکارچی جایزه سابق، والبروئل گفت که برخی از برنامه‌های جوایز گاهی اوقات او را «احساس فریبکاری» کرده است. او توضیح داد که:

«خود را به جای یک محقق قرار دهید، اگر سوء استفاده‌ای را پیدا کنید که می‌تواند میلیون‌ها دلار پول دزدیده شده ایجاد کند، اما توسعه‌دهنده فقط یک جایزه 5000 دلاری ارائه می‌کند، می‌تواند ایجاد کند. مقدار نامتناسبی از انگیزه برای نپذیرفتن جایزه.”

والبروئل همچنین گفت که شرکت ها اغلب اکتشافات را کم اهمیت می دانند و می گویند که اشکالات مهم نیستند. گزارش باگ‌ها همچنین گاهی اوقات منجر به عدم پرداخت هزینه شرکت‌ها می‌شود، و ادعا می‌کنند که تیم آنها قبلاً توسط Walbroehl اشکال را پیدا کرده است.

موارد مرتبط: هکر پس از بهره برداری از قرارداد قدیمی Yearn.finance، 1 کوادریلیون yUSDT استخراج می کند

Simon Zhu مدیر ارشد محصول در شرکت امنیت بلاک چین CertiK، گفت که پلتفرم‌ها واقعاً نیاز به ایجاد برنامه‌هایی دارند که برای توسعه‌دهندگان ایمن و سودآور باشد. در حالی که بازگشت وجوه یک برد است، زو به کوین تلگراف گفت که این روند خوشایند نخواهد بود زیرا در این سناریو، مهاجمان اساسا وجوه را گروگان نگه می‌دارند. ژو توضیح داد که:

«برنامه‌های پاداش اشکال کلاه سفید به وضوح در اینجا ترجیح داده می‌شوند. پلت‌فرم‌هایی که برنامه پاداش باگ ارائه نمی‌دهند و امکان افشای امن و سودآور آسیب‌پذیری‌ها را فراهم نمی‌کنند، ممکن است بهای بسیار بالاتری را بپردازند.” به آسیب پذیری ها می رسد. به گفته مدیر امنیت سایبری، برخی از تیم‌های توسعه‌دهنده تمایل دارند زمانی که هزینه‌های رفع اشکال بالا است یا زمانی که قرارداد هوشمند پس از رفع اشکال، اصلاح آن پیچیده‌تر می‌شود، اشکالات جزئی را نادیده بگیرند.

با این حال، مدیر CertiK تاکید کرد که در Web3، یک آسیب پذیری جزئی می تواند یک شبه به آسیب پذیری بزرگ تبدیل شود. ژو افزود: «بازی مرغ با سپرده های کاربران یک رویکرد بلندمدت مسئولانه برای امنیت نیست.

مجله: سازمان های اجرایی ایالات متحده در حال افزایش جرایم مرتبط با رمزنگاری هستند