Только в апреле, по крайней мере, три случая, когда хакеры возвращались, эксплуатируемые средства были свидетелями в пространстве децентрализованных финансов (DeFi). 4 апреля команда Finance Euler смогла вернуть 176,4 млн. Долл. США после того, как предложила хакеру 10% украденных средств.
Аналогичным образом, настроения протокола кредитования также смогли восстановить почти миллион долларов украденных средств после переговоров с хакером. Совсем недавно злоумышленник, который смог получить 8,9 млн. Долл. США из протокола DEFI Safemoon, согласился вернуть 80% средств.
Взлом остаются распространенными в криптовалютном пространстве, с цифровыми активами более 320 млн. Долл. США, потерянных в первом квартале 2023 года. Программа щедрости с преступным поворотом.
Хотя недавних хаков можно было бы избежать с помощью безопасных и прибыльных программ Bug Bounty, это может быть результатом того, что Bounty предложения не стоят того с точки зрения белой шляпы или этического хакера.
Стивен Уолбруэль, соучредитель безопасности безопасности Halborn, сказал, что для компаний очень часто отказываются выплачивать награды за ошибки и не воспринимать уязвимости, о которых сообщалось очень серьезно. Будучи бывшим охотником за головами, Уолбруэль сказал, что некоторые программы щедрости иногда оставляли его «чувствуя себя обманутыми». Он объяснил, что:
«Получив себя на место исследователя, если вы найдете эксплойт, который может создать миллионы долларов украденных средств, но разработчик предлагает только вознаграждение в размере 5000 долларов, это может создать непропорциональное количество стимулов, чтобы не принять награду».
Walbroehl также сказал, что компании часто преуменьшают открытия, заявив, что ошибки не являются критическими. Сообщение об ошибках также иногда приводит к тому, что компании не платят, утверждая, что их команда уже сама нашла эту ошибку.
Саймон Чжу, старший директор по продукту в Blockchain Security Firm Certik, сказал, что платформы действительно необходимы для создания программ, которые безопасны и прибыльны для разработчиков. В то время как возвращение средств - это победа, Чжу сказал Cointelegraph, что это не будет желанной тенденцией, как в этом сценарии, злоумышленники, по сути, держат заложники средств. Чжу объяснил, что:
«Программы щедрости белой шляпы здесь явно предпочтительны. Платформы, которые не предлагают программу Bunty Bounty, позволяя обеспечить безопасное и прибыльное раскрытие уязвимостей, могут оказаться гораздо более высокой ценой».
Кроме того, Чжу также призвал проекты изменить свою линию мышления, когда дело доходит до уязвимостей. По словам руководителя кибербезопасности, некоторые команды разработчиков, как правило, игнорируют незначительные ошибки, когда затраты на исправление ошибки высоки или когда смарт -контракт становится более сложным для изменения после исправления ошибки.
Тем не менее, руководитель Certik подчеркнул, что в Web3 незначительная уязвимость может стать главной в одночасье. «Игра в курицу с месторождениями пользователей не является ответственным долгосрочным подходом к безопасности»,-добавил Чжу.
Журнал: правоохранительные органы США повышают тепло на криптуру, связанную с крипто
Источник