ضرورت بهبود برنامههای باگ باونتی پس از ۱.۵ میلیارد دلار خسارت هک در کریپتو
با افزایش خسارات ناشی از نقضهای امنیتی در حوزه کریپتو به بیش از ۱.۵ میلیارد دلار، کارشناسان امنیت سایبری از صرافیها میخواهند تا برنامههای باگ باونتی خود را بهبود بخشند تا هکرهای اخلاقی برتر را جذب کرده و امنیت پلتفرم را تقویت کنند.
در ۳ مارس، شرکت امنیت بلاکچین CertiK اعلام کرد که میزان کریپتوی از دست رفته در هکهای فوریه به ۱.۵۳ میلیارد دلار رسیده است که هک Bybit بیش از ۱.۴ میلیارد دلار از این خسارات را به خود اختصاص داده است. بدون در نظر گرفتن این حادثه، CertiK گزارش داد که سایر سوءاستفادهها منجر به ۱۲۶ میلیون دلار خسارت شدهاند، از جمله هک ۴۹ میلیون دلاری Infini.
نیاز به برنامههای بهتر باگ باونتی
مروان هاشم، هکر اخلاقی، به Cointelegraph گفت که افزایش خسارات ناشی از هکهای کریپتو نشاندهنده نیاز فزاینده به برنامههای بهتر باگ باونتی است. هاشم گفت که برای جلوگیری از چنین سوءاستفادههایی، صرافیها باید پاداشهای باگ باونتی بالاتر و جذابتری را به هکرهای کلاه سفید ارائه دهند.
هاشم، مدیر عملیات شرکت امنیت سایبری FearsOff، گفت که صرافیهای کریپتو باید پاداشهای بالاتری را به هکرهای اخلاقی ارائه دهند تا از سوءاستفادههای مشابه جلوگیری کنند. به گفته این متخصص امنیت، برنامه باگ باونتی Safe، ارائهدهنده کیف پول چندامضایی Bybit، باگهای مربوط به فرانتاند و بکاند را خارج از محدوده در نظر گرفته بود، به این معنی که کسانی که این مشکلات امنیتی را شناسایی میکردند، واجد شرایط دریافت پاداش نبودند.
مشکلات برنامه باگ باونتی Bybit
این متخصص امنیت گفت که هک Bybit به دلیل یک باگ خارج از محدوده برنامه باگ باونتی اتفاق افتاد. هاشم به Cointelegraph گفت: «آنچه آنها خارج از محدوده در نظر گرفتند، منجر به بزرگترین هک کریپتو در تاریخ شد.» او افزود: «ما اغلب از طریق باگهای موجود در داراییهای خارج از محدوده به پلتفرمها نفوذ میکنیم. هکرهای اخلاقی برای چنین یافتههایی پاداشی دریافت نمیکنند، اما مجرمان از آنها سوءاستفاده کردند و ۱.۵ میلیارد دلار از Bybit سرقت کردند.»
پاداش رسمی باگ باونتی Bybit حداکثر ۴۰۰۰ دلار در وبسایت خود و تا ۱۰۰۰۰ دلار در HackerOne است که در مقایسه با پاداشهای بالقوه برای هکرهای مخرب بسیار ناچیز است. هاشم گفت که بهتر است بهطور پیشگیرانه پاداشهای بیشتری به هکرهای کلاه سفید داده شود، بهجای اینکه منتظر یک هک بزرگ بمانند و ۱۰٪ از وجوه سرقت شده را به عنوان پاداش کلاه سفید ارائه دهند. او گفت که این کار فقط «مجرمان را جسورتر میکند.»
اهمیت پاداشهای بالاتر برای هکرهای اخلاقی
هاشم به Cointelegraph گفت: «انگیزه دادن به هکرهای اخلاقی برتر برای اختصاص زمان و توجه خود به آزمایش یک صرافی با ارائه پاداشهای بالاتر، امنیت آن را بهطور قابلتوجهی بهبود میبخشد، هزینه کمتری خواهد داشت و از شهرت آن محافظت میکند.»
اقدامات امنیتی اضافی برای جلوگیری از هکهای آینده
علاوه بر برنامههای بهتر باگ باونتی، سخنگوی CertiK به Cointelegraph گفت که برای جلوگیری از سوءاستفادههای آینده مانند هک Bybit، باید اقدامات امنیتی سختگیرانهتری اتخاذ شود. سخنگوی CertiK گفت که دستگاههای امضای ایزوله، محیطهای سیستمعامل غیرمداوم برای تأیید تراکنشها و لایههای احراز هویت پیشرفته برای تراکنشهای با ارزش بالا باید به استانداردهای صنعت تبدیل شوند.
او افزود: «تمرینات منظم تیم قرمز و شبیهسازیهای فیشینگ نیز میتوانند به کاهش خطرات مهندسی اجتماعی کمک کنند.»
علل و پیامدهای هک Bybit و Infini
گزارش CertiK نشان داد که سوءاستفاده از Bybit ناشی از یک حمله فیشینگ بود که امضاکنندگان چندامضایی را فریب داد تا یک ارتقاء قرارداد مخرب را تأیید کنند. در همین حال، هک Infini ناشی از نشت کلید خصوصی مدیر بود که به برداشتهای غیرمجاز اجازه داد.
CertiK گفت که هر دو حادثه خطرات امضای کور و تأیید ناکافی تراکنش را برجسته میکنند. CertiK افزود: «این موارد بر نیاز به احراز هویت قویتر، نظارت بلادرنگ بر تراکنشها و امنیت رابط کاربری مقاومتر برای جلوگیری از دستکاری تأکید میکنند.»