Pasukan Peretas Dapat Membuat Crypto Lebih Aman, Tetapi Apakah Sudah Cukup?
General

Pasukan Peretas Dapat Membuat Crypto Lebih Aman, Tetapi Apakah Sudah Cukup?

Dalam dekade terakhir, peretasan secara bertahap menjadi karier yang terhormat dan berpotensi bermanfaat berkat pengenalan karunia bug.

Sementara beberapa organisasi seperti Mozilla meluncurkan hadiah bug pada tahun 2004, dorongan besar untuk industri datang ketika Google dan Fb meluncurkan program serupa pada tahun 2010 dan 2011. Segera setelah itu, pada tahun 2011 dan 2012, platform seperti Bugcrowd dan HackerOne mengkomersialkan karunia bug untuk memudahkan perusahaan lain untuk mengaturnya.

Hadiah bug membayar peneliti independen yang menemukan dan melaporkan kerentanan yang dapat memiliki dampak keamanan pada sistem atau penggunanya. Salah satu kerentanan yang paling umum adalah serangan yang disebut Cross-Website Scripting (XSS), yang menyuntikkan kode JavaScript berbahaya ke dalam browser pengguna.

Karena cara JavaScript menembus internet saat ini, serangan ini dapat digunakan untuk membajak akun korban, dan Google akan membayar hingga $ 7.500 untuk kategori ini bug.

Mengapa karunia bug berguna?

Audit keamanan dan ulasan kode terbatas baik dalam waktu maupun jumlah pengawasan yang ketat. Meskipun mereka berguna untuk memilih buah yang paling rendah sebelum merilis perangkat lunak kepada publik, beberapa bug paling serius dapat dihasilkan dari komposisi banyak kegagalan desain yang halus.

Sebagai contoh baru-baru ini, seorang peneliti independen menemukan bug utama di ProgPoW algoritma meskipun beberapa audit sebelumnya.

Retasan terbaru dalam keuangan yang didesentralisasi, atau DeFi, menunjukkan kompleksitas sistem ini. Dalam hack bZX pertama, inti dari eksploitasi adalah kegagalan halus untuk memeriksa jaminan yang tepat dalam kontrak pintar bZX – tetapi pinjaman kilat dan platform lainnya menyediakan alat yang diperlukan untuk mengekstraksi uang melalui bug ini.

Program Google dengan mudah menunjukkan bahwa melepaskan kode aman dari perjalanan hampir mustahil. Program hadiah kerentanannya diposting rekor pembayaran $ 6 juta yang belum pernah terjadi sebelumnya pada tahun 2019 – sembilan tahun setelah diluncurkan. Selama periode itu, perusahaan memiliki semua alat untuk menyempurnakan praktik keamanan internalnya, tetapi kompleksitas sistemnya tampaknya telah membuat semuanya menjadi mustahil.

Hadiah bug di crypto

Banyak perusahaan dan proyek di crypto akan menawarkan hadiah besar untuk bug-bug penting. Pembuat proyek DeFi, Compound dan Aave masing-masing memiliki maksimum masing-masing $ 100.000, $ 150.000 dan $ 250.000.

Pertukaran besar seperti Kraken, Coinbase dan Binance juga menyediakan program hadiah bug. Kraken tidak memiliki maksimum eksplisit, sementara Coinbase dan Binance masing-masing mencapai $ 50.000 dan $ 10.000. Tidak semua pertukaran utama meluncurkan program seperti itu – terutama Huobi dan Bitstamp.

Perlu dicatat bahwa pembayaran maksimum yang diiklankan tidak selalu membuat program lebih menarik, karena jumlah yang dibayarkan hampir selalu sesuai dengan kebijakan perusahaan.

Dari 458 laporan dikirimkan untuk Coinbase, pembayaran maksimum hanya $ 20.000, sedangkan rata-rata hanya $ 200. Ini mungkin karena tingkat keparahan bug yang rendah, tetapi statistik ini adalah sinyal penting bagi para peneliti yang harus memutuskan platform untuk fokus. Beberapa pembayaran rata-rata tertinggi pada Hacker One dapat diperoleh dari Monolith, Tron (TRX) dan Matic, meskipun yang terakhir baru saja meluncurkan program bug bounty-nya.

Bisakah karunia bug menyelamatkan proyek?

Infrastruktur Crypto menimbulkan sebuah goal best untuk peretas karena sifatnya seperti uang tunai, seperti mencuri uang digital dari financial institution adalah banyak lebih sulit.

Meretas kisah "sukses" seperti Coincheck, tempat para pelaku hack $ 500 juta adalah tidak tertangkap setelah lebih dari dua tahun, dapat menarik "topi hitam", atau peretas yang sepenuhnya jahat, lebih dari industri lainnya.

Menurut peringkat keamanan pertukaran diterbitkan oleh Hacken pada tahun 2019, 82% dari semua bursa tidak memiliki program karunia bug sama sekali. Dari mereka yang melakukannya, dan yang berperingkat tinggi dalam daftar, hanya Binance yang mengalami serangan besar pada tahun 2019.

Anehnya, bZX dan dForce memiliki program karunia bug sebelum insiden mereka – tetapi mereka memiliki peringatan penting.

bZX program hanya memiliki pembayaran maksimum $ 5.000, dan yang sangat penting para peneliti untuk menyerahkan bukti identitas sebelum mengumpulkan hadiah. Tampaknya juga hanya diterbitkan pada posting Medium. Menyusul insiden itu, proyek diperbaiki semua masalah yang disebutkan di atas.

DForce program juga diperlukan mengirimkan dokumen, dan sementara pembayaran maksimumnya signifikan pada $ 50.000, itu hanya mencakup sistem USDx stablecoin – bukan platform Lendf.me yang akhirnya diretas.

Sementara perusahaan diwajibkan untuk menahan pembayaran kepada para peneliti yang tinggal di daerah yang terkena sanksi, sangat sedikit program yang berhasil memerlukan pemeriksaan identitas lengkap untuk menerima uang. Dari perspektif pemburu bug, mengirimkan dokumen identitas dapat menjadi Pedang Damocles karena sering pembalasan hukum terhadap peretas yang sepenuhnya sah – sehingga mencegah mereka untuk mendaftar.

Mengingat semua hal di atas, tampaknya ada korelasi yang signifikan antara keberadaan program hadiah bug adil dan kejadian peretasan katastropik.

Namun demikian, dalam percakapan dengan Cointelegraph, Egor Homakov, seorang peneliti keamanan yang dihormati, memperingatkan terhadap proyek-proyek "mempermalukan":

“Hadiah tidak boleh dipaksakan pada proyek apa pun, dan bunga harus datang dari dalam. Setiap proyek sudah dilengkapi dengan program bounty secara default, hanya bounty yang sama dengan $ 0. Saya tidak berpikir orang harus mempermalukan program untuk jumlah yang lebih tinggi. Pasar ini mengatur diri sendiri dengan sempurna, dan tidak membutuhkan kemarahan / tuntutan penelitian lagi. ”

Dilihat dari respons insiden oleh beberapa perusahaan yang diretas, seleksi alam menuju karunia bug yang lebih baik mungkin sudah terjadi.