Тихий скандал с безопасностью или умирающая профессия

Криптосообщество борется с проблемами, связанными с программами вознаграждения за ошибки, важнейшим механизмом обнаружения и устранения уязвимостей системы.

Усманн Хан, аудитор безопасности web3, опубликовал 17 августа «Помните, что проекты могут просто не платить, белая шляпа» со скриншотом сообщения от Immunefi, указывающего на то, что проект был удален из своей проблемы вознаграждения за ошибки за невыплату минимум 500 000 долларов в виде вознаграждений.

В ответ исследователь безопасности Марк Вайс поделился «Стеной стыда за ошибки за ошибку» (BBWoS), списком, документирующим невыплаченные вознаграждения, предположительно причитающиеся белым хакерам в web3. Данные BBWoS, по-видимому, сигнализируют о значительном отсутствии подотчетности и доверия в криптоэкосистеме, которые нельзя игнорировать.

BBWoS указывает, что вознаграждение за ошибку за эксплойт Arbitrum в сентябре 2022 года принесло вознаграждение в размере 2 миллионов долларов. Тем не менее, белая ненависть получила всего 780 000 долларов за выявление эксплойта, который раскрыл более 680 миллионов долларов.

Кроме того, BBWoS заявляет, что эксплойт заимствования/кредитования CRV на Aave с ноября 2022 года привел к потере 1,5 миллиона долларов, при этом 40 миллионов долларов оказались под угрозой, и вознаграждение не было выплачено белой шляпе, которая определила путь атаки «за несколько дней до этого».

Наконец, в апреле этого года всего 500 долларов были выплачены белой шляпе, которая, как сообщается, определила способ для менеджеров украсть «токены у пользователей, использующих вредоносные пути обмена» на сумму до 14 миллионов долларов после того, как dHEDGE сообщил, что проблема «хорошо известна».

Список был создан белыми хакерами, «уставшими проводить бессонные ночи в поисках ошибок в протоколах только для того, чтобы получить выплату в размере 500 долларов, когда экономический ущерб исчисляется миллионами», при этом создатель заявил:

«Я создал эту таблицу лидеров, чтобы помочь информировать сообщество безопасности о проектах, которые не воспринимают безопасность всерьез, чтобы мы могли избежать их и потратить время на проекты, которые это делают».

В своем выступлении на саммите по безопасности DeFi в июле Вайс подчеркнул решающую роль аудиторов на разных этапах разработки протокола. Интегрировав аудиторов и исследователей внутри компании, он подчеркнул их потенциал для принятия проницательных архитектурных решений, разработки эффективных кодовых баз и принятия ориентированного на безопасность подхода к разработке протоколов.

Следовательно, вызывает беспокойство, когда платформы не признают и адекватно вознаграждают усилия этих специалистов по безопасности при работе на контрактной основе.

Аудиторы Gogo и MiloTruck подчеркнули, что неоплата за выявленные уязвимости является широко распространенной проблемой. Их сообщения подчеркивают настоятельную необходимость того, чтобы эти платформы повысили свою подотчетность и надежность и обеспечили должное признание белых хакеров.

Требуется большая прозрачность при работе с уязвимостями. Громкие дела, перечисленные на BBWoS, такие как скомпрометированный депозитный контракт Arbitrum, экономический эксплойт Aave и злонамеренные пути свопов в dHEDGE, усиливают эту потребность.

В ответ на вопросы Вайса о доверии Дэнни Ки из Super Protocol подчеркнул потенциал «децентрализованных конфиденциальных вычислений» для укрепления доверия к проектам Web3 и смягчения уязвимостей. Ки ссылается на возможность запуска DeFi в доверенных средах выполнения (TEE), что присуще суперпротоколу.

TEE — это защищенная область процессора, которая гарантирует, что код и данные, загруженные внутри, будут защищены для обеспечения конфиденциальности и целостности. Однако одним из недостатков использования TEE в децентрализованных приложениях DeFi является использование проприетарной архитектуры централизованных компаний, таких как Intel, AMD и ARM. В сообществе разработчиков ПО с открытым исходным кодом предпринимаются усилия по разработке открытых стандартов и реализаций для TEE, таких как проекты Open-TEE и OP-TEE.

Ки утверждает, что если «проекты Web3 будут работать в конфиденциальных анклавах, возможно, не будет необходимости платить за уязвимости, поскольку безопасность будет по своей сути усилена».

В то время как слияние блокчейна и конфиденциальных вычислений может обеспечить грозный уровень безопасности для будущих проектов, переход к замене наград за ошибки и аудиторов безопасности TEE кажется сложным, если не сказать больше.

Тем не менее, у белых хакеров есть дополнительные проблемы, такие как неправильное раскрытие информации об ошибках от охранных фирм в социальных сетях. В сообщении Peckshield, в котором была выявлена ошибка в июле, просто говорилось: «Привет, @JPEGd_69, возможно, вы захотите взглянуть» со ссылкой на транзакцию Ethereum.

Гого раскритиковал пост, заявив: «Если бы эта уязвимость была ответственно раскрыта, а не эксплуатировалась, пользователи PEGd не потеряли бы 11 миллионов долларов, не был бы нанесен репутационный ущерб, парень получил бы солидную награду за ошибку вместо того, чтобы управляться ботом MEV».

Gogo поделился своим опытом вознаграждения за ошибки с Immunefi, компанией, которую они описали как «за гранью фантастики», где выплата требовала процесса посредничества, что в конечном итоге привело к удовлетворительной выплате 5 тысяч долларов за критическую ошибку.

Эти идеи сообщества безопасности web3 подчеркивают решающую роль аудиторов и важность эффективных программ вознаграждения за ошибки для безопасности, доверия и роста криптоэкосистемы.