Алар кодекс крипто мейкиндигинде мыйзам деп айтышат. Көрсө, код да ак калпак хакерлер үчүн акча.
Крипто инфраструктурасында олуттуу мүчүлүштүктөрдү тапкан хакерлер чечим кабыл алышы керек: Алар катаны (кара шляпа) пайдаланабы же кабарлашабы (ак калпак)? Боз шляпа алардын бутага кандай сезимде болгонуна жараша эки тарапка тең болушу мүмкүн.
Атактуу заманбап кара шляпаларга Lazarus Group сыяктуу мамлекет тарабынан каржыланган хакерлер кирет - алардын көп сандаган жосунсуз жоруктарынын арасында Axie Infinite токен көпүрөсүн, Ронинди 625-жылы 2022 миллион долларга крипто менен басып алуу кирет.
Ак калпактар крипто сыйлоо программалары аркылуу алда канча аз табышат, бирок бул чоң өзгөрүү эмес. Санариптик активдер жана блокчейн менен иштеген 60ка жакын компаниянын HackerOne киберкоопсуздук платформасында коомдук программалары бар.
Ошол убакта, крипто менен байланышкан фирмалар хакерлерге 640,000 XNUMX доллардан ашык каражат жумшашкан, алар өз долбоорлорун пайдалануудан көрө, алардын кемчиликтерин таап, кабарлашкан.
Подробнее: Коопсуздукту текшерүү боюнча сынак 1.2 миллион долларды сунуштайт
Көптөгөн акыркы бир жыл ичинде, анын ичинде туунду алмашуу Bybit кампаниялары, Bored Apes жаратуучусу Yuga Labs жана Tron блокчейнинин DAO башкаруучу өнүгүүсү ишке ашырылды.
NFT базары Magic Eden топту 83,000 түрдүү төлөмгө бөлүнгөн 15 10,000 доллар менен жетектеди. Жарымына жакыны поп үчүн XNUMX XNUMX долларды түздү, бул көрсөткүч эң жогорку деңгээлдеги "критикалык" мүчүлүштүктөр менен байланыштырылды, бирок азырынча эч кимисинин деталдары ачыла элек (Сыйкыр Эден комментарий берүү өтүнүчүнө жооп берген жок).
Серепчиге негизделген, өзүн-өзү сактоочу крипто капчыгы MetaMask 75,750 1 долларды түзгөн төлөмдөр менен жакынкы экинчи орунду ээледи, андан кийин Hedera Hashgraph, 67,200 XNUMX доллар менен Hedera-XNUMX тармагынын артында турган фирма.
Бул сандар жалпыга ачыкталган төлөмдөрдү гана чагылдырат, андыктан мүчүлүштүктөр үчүн сыйлыктардын накталай баасы чындыгында жогору болмок. Мүчүлүштүктөрдүн сыйлыктары жалпыга ачык болбошу керек жана толугу менен купуя иштетилет.
Анын 30 миллиондон ашык колдонуучулары бар деп айткан MetaMask Ethereumга багытталган Consensys продукт топтомунун негизинин бири болуп саналат (Consensys Ethereum негиздөөчүсү Джо Любин тарабынан негизделген). MetaMask криптовалюталарды колдонуунун интуитивдик жана коопсуз жолун камсыз кылуу жана блокчейн платформалары менен өз ара аракеттенүүнү максат кылат.
"Биз кылдат текшерүүлөрдү жүргүзөбүз, бирок убакыттын өтүшү менен түбөлүк сергек болуу үчүн мүчүлүштүктөрдү сыйлоо программаларын иштетүү биз үчүн бирдей маанилүү", - деди MetaMaskтин коопсуздук инженериясынын менеджери Николас Эллул Blockworksке.
"Бул ыкма биздин потенциалдуу тобокелдиктерди аңдап билүүбүздү күчөтөт, зыянды азайтуу стратегияларын иштеп чыгууга мүмкүндүк берет жана тармактын эң коопсуз капчыгын өнүктүрүүгө салым кошот."
Анын HackerOne кампаниясы сыяктуу программалар программалык камсыздоону текшерүү процессин децентралдаштырууга жардам берет, деп түшүндүрдү ал. Фирма дүйнө жүзүндөгү хакерлерди өз колдонуучуларын коргоого жардам бергендиги үчүн салым кошууга жана сыйлык алууга чакырат.
Coinbase өзүнүн колдонуучуларын бузуп алган адамга 1 миллион доллар төлөйт
Өткөн жылы крипто менен байланышкан компаниялар жалпысынан аларды пайдаланууда мүчүлүштүктөрдү билдиргендерге 650 сыйлык ыйгарышканын билдиришти. Ал эми алардын 499у ар бир хакер канча киреше тапканы тууралуу маалымат менен коштолгон.
Америкалык ири криптовалюта алмашуу Coinbase башка компанияларга караганда 120 жеке мүчүлүштүктөрдү төлөп берди. Ачык акчалай сыйлыктар менен сыйлыктардын бардыгы төмөн же орточо деңгээлде төлөндү.
Coinbase 2018-жылдын мартынан бери HackerOne кампаниялары аркылуу табылган кемчиликтердин чоо-жайын ачыктаган жок, ал изилдөөчүгө 20,000 XNUMX доллар ыйгарган, ал өзүнө эфирди (ETH) кантип кредиттөө керектигин түшүнгөн, бирок аларда жок болгон. анын блогу аркылуу кээде маалымат.
Делавэрде катталган фирма ошондон бери мүчүлүштүктөр үчүн сыйлык программасын жаңыртты. Coinbase азыр платформада "бизнес олуттуу үзгүлтүккө учуратуу" мүмкүн болгон ар бир адамга 1 миллион долларга чейин сунуштайт, анын ичинде "Coinbase таандык ысык/муздак капчыкты активдерге, каражаттарга жана/же капчыктын жеке ачкычтарына уруксатсыз кирүү".
Бул "өтө" катаалдык деп эсептелет, ал "критикалык" дегенден да жаман. Бул күндөрдө катаалдуулуктун аздыгы кайсы жерден болбосун "Coinbaseке таандык ар кандай система үчүн 100,000 10 доллардан аз каржылык жоготууга" алып баруучу каталарды билдирет (өткөн жылы берилген бардык сыйлыктардын XNUMX% жакыны же жогорку деңгээлде төлөнгөн. же критикалык баа пункттары).
"Coinbase өзүнүн өнүмдөрүнүн, кызматтарынын жана кардарларынын коопсуздугуна абдан олуттуу мамиле кылат" деди басма сөз катчысы Blockworks. "Каталардын сыйлыктары жана программалык камсыздоону текшерүү үчүн сарпталган акчалар бири-бирин толуктоочу катары каралышы керек."
Алар кошумчалагандай: "Каталардын сыйлоо платформалары аркылуу таланттарды краудсорсингге Coinbase дүйнө жүзүндөгү таланттарды колдонууга мүмкүнчүлүк берет, алар ар кандай деңгээлдеги тажрыйбага жана тажрыйбага ээ.
Coinbase айрыкча кеңири тармактын пайдасына коопсуздук коомчулугу үйрөнө турган жаңы мүчүлүштүктөрдү ачууну карайт.
Brave Software, Сан-Францискодогу крипто-борбордук Brave веб-браузеринин артында турган стартап, ошол эле учурда хакерлер тапкан мүчүлүштүктөрдүн кеңири деталдарын үзгүлтүксүз жарыялап турат.
Сегиз ай мурун, Brave's QR код сканериндеги бир өтө катаалдыгы "чабуулчуларга колдонуучуларды алардын макулдугусуз же билбестен зыяндуу сайттарга багыттоого мүмкүндүк берген".
"Бул аялуу Brave колдонуучуларынын коопсуздугун тобокелге салып, фишингге жана кесепеттүү программалык чабуулдарга дуушар болушуна мүмкүндүк берди." Сыйлыкка тиркелген доллардын саны ачыкталган жок.
"Биз ачык-айкындуулукка ишенебиз жана ката оңдолуп, оңдоп-түзөө кеңири жеткиликтүү болгондон кийин, майда-чүйдөсүнө чейин ачыкка чыгаруунун анча деле терс жактары жок деп эсептейбиз, анткени бул Braveге көбүрөөк ишеним жаратат жана башка коопсуздук изилдөөчүлөрүнө алардын ишинде жардам берет", - Ян Жу, маалыматтык коопсуздук боюнча башкы офицер Brave'де, Blockworks билдирди.
Активдүү программалары бар компаниялардын бүтүндөй топтому боюнча өткөн жылы төлөнгөн сыйлыктардын жалпы орточо баасы 1,300 доллардан төмөн.
Подробнее: LayerZero, Immunefi $15M максимум төлөмү менен мүчүлүштүктөр үчүн сыйлык сунуштайт
Акыркы бир жыл ичинде Brave өзүнүн HackerOne программасы аркылуу кеминде 18,000 1,000 доллар төлөдү, бул сыйлык үчүн орточо эсеп менен XNUMX XNUMX доллардан азыраак (эгерде эки маанилүү мүчүлүштүктөрдү жана сегиз катачылыкты камтыган ачыкталгандарды гана эсептегенде).
Чжунун айтымында, Brave үчүнчү тараптын аудиттерине салыштырмалуу HackerOne боюнча жарактуу мүчүлүштүктөрдү азыраак коротот. "Бул биздин өнүмдөрүбүздүн коопсуздугуна ишенүүгө чоң жардам берди."
Хакерлерге акча сунуштаңыз, алар келишет
Hedera Hashgraph тогуз ачыкка чыгуу боюнча программасы аркылуу 67,200 доллар сарптады, үчөө жогорку жана бир сындуу. Чоо-жайы ачыкталган жок.
Подробнее: Хакерлерге пара берүү жакшы окшойт: 3 айдын ичинде 3 хакер кайтарылды
Hedera - бул акылдуу контракт тармагы, анын өзүнүн стабилкоиндери, NFT платформалары, борбордон ажыратылган биржалары жана кредиттөө протоколдору бар, бирок анын жалпы наркы 78 миллион доллар кулпуланган, аны тизмеден ылдыйкы орунга коёт.
Ошентсе да, анын эне энбелгиси HBAR рыноктук капиталдаштыруу Ethereum катмар-2.56 Arbitrum алдыда, $ 2 млрд.
Hedera сыйлык сунушунун көлөмү Hedera консенсус түйүндөрү тарабынан башкарылган кодду жана программалык камсыздоону иштеп чыгуу комплекттерин камтыйт - блокчейндин чийки ичеги.
Бардык блокчейндер сыяктуу эле, Hederanın негизги программалык камсыздоосундагы ар кандай олуттуу кемчиликтер, консенсустун бузулушу аркылуу транзакцияларды эки эсе сарптоо же жабуу жолдору, тармактагы бардык криптовалютанын, анын ичинде HBARдын баасына коркунуч келтириши мүмкүн.
Джо Бланчард, Hedera өнүктүрүү студиясынын Swirlds Labs маалымат коопсуздугу боюнча башкы кызматкери, салттуу аудиттер белгилүү бир убакта белгиленген баада жасалган структураланган баалоо экендигин түшүндүрдү. Каталардын сыйлыктары - бул таптакыр башка жырткыч.
"Биз бул экөөнү бири-бирин толуктап турган мүчүлүштүктөрдү сыйлыктары менен жалпысынан тактикалык деп эсептейбиз, ал эми салттуу аудиттер кыйла стратегиялык болуп саналат жана пландаштырылган темпте же маал-маалы менен активдүү долбоорлорго жана алардын өнүгүү темпине түздөн-түз байланыштуу зарылчылыкка жараша жүргүзүлөт. ," ал айтты.
«Экинчи жагынан мүчүлүштүктөр үчүн сыйлык берүү программалары эч кандай мөөнөтсүз уланууда жана далилденген натыйжалар боюнча гана төлөнөт. Маалыматтык табылгалар аны кыскарта албайт." (MetaMask's Ellul сыйлык программалары дагы эле өздөрүнүн коопсуздук командасынан үзгүлтүксүз тейлөөнү жана тейлөөнү талап кылаарын белгиледи.)
Бланчард команда иштеп чыгуучулар коомчулугу менен мамилелерди өнүктүрүүгө басым жасаганын, натыйжада Хедера кодексине көңүл бурулгандыгын айтты.
Бул "биздин коддук базаларыбыздагы жана архитектурадагы кээ бир көйгөйлөрдү ачыкка чыгарды [жана андан ары түшүнүк берди] тармакты белгилүү бир кемчилик үчүн гана эмес, келечекте ушул сыяктуу маселелерди активдүү чечүү үчүн" деди ал.
"Катышуучу ак калпакчандардын көбү алар аныктап жаткан потенциалдуу алсыздыктардын түрлөрү жана жоюунун ар кандай жолдору боюнча кызыктуу көз карашты камсыз кылышты... Мүчүлүштүктөр табияты боюнча кемчиликтерди ачыкка чыгарышат, алар биздин тармакка коркунучтарды жана таасирин тийгизет."
Чечилген алсыздыктын чоо-жайын ачыкка чыгаруу ачыктыкты күчөтсө дагы, Бланчард Хедера "чабуулчуларга биздин же башка адамдардын программалык камсыздоосун аялуу кылып коюшу мүмкүн болгон векторлор үчүн идеяларды берүүдөн" баалуулук көрбөйт деди.
MetaMask жана Consensys да мүчүлүштүктөрдүн чоо-жайын бул жерде жана ошол жерде ачып берүүнү тандашат. 2022-жылдын ноябрындагы орточо оордуктагы бир отчет, бирок кийинки июлда ачыкталган, чабуулчулар браузердеги колдонмого терең байланышып, максаттуу машинаны файлды жүктөп алууга мажбурлай алышканын көрсөттү - бул зыяндуу болушу мүмкүн.
Бул сыйлык үчүн доллардын көрсөткүчү ачыкталган жок, бирок анын саясаты орточо катаал каталар 2,500 доллар акчалай сыйлык алып келерин белгилейт.
"Ачыктык - Consensys жана MetaMaskтин негизги баалуулугу" деди Эллул. "Аялуу жер табылганда жана биз көбүрөөк адамдарды ушул сыяктуу аялуу жерлерди табууга үндөгүбүз келсе, биз ар дайым ачыкка чыгарууну тандайбыз."
Өзгөчөлүктөр башка капчыктарга мүнөздүү болушу мүмкүн болгон кемчиликтерди камтыйт, бул учурда алар чоо-жайын ачыкка чыгарууну кечеңдетип, колдонуучулар коркунучка кабылышы мүмкүн болгон учурларды камтыйт. "Биздин негизги максатыбыз - Web3 колдонуучуларынын коопсуздугу."
Кийинки чоң окуяны өткөрүп жибербеңиз – биздин акысыз күнүмдүк маалымат бюллетенибизге кошулуңуз.
Булак: https://blockworks.co/news/crypto-hackers-bug-bounties