استیون والبروئل، یک شکارچی فضل سابق، گفت که شرکت‌ها گاهی اوقات اکتشافات حشرات را دست کم می‌گیرند و جوایزی را پرداخت نمی‌کنند و ادعا می‌کنند که این حشرات حیاتی نیستند.

هک همچنان در فضای کریپتو شایع است و بیش از 320 میلیون دلار دارایی دیجیتال در سه ماهه اول سال 2023 از بین رفته است. اما حملات اخیر ثابت کرده است که برخی از سوء استفاده کنندگان مایل به بازگرداندن دارایی ها در ازای دریافت پاداش هستند. این فرآیند توسط برخی به عنوان یک خطا توصیف می شود. برنامه پاداش با پیچ و تاب جنایی.

تنها در ماه آوریل، حداقل سه مورد از هکرها برای بازگرداندن وجوه سوء استفاده شده در فضای غیرمتمرکز مالی (DeFi) رخ داد. در 4 آوریل، تیم Euler Finance موفق شد 176.4 میلیون دلار را پس از ارائه 10٪ از وجوه دزدیده شده به هکر پس بگیرد.

به طور مشابه، پروتکل وام دهی Sentiment توانست پس از ملاقات با هکر، نزدیک به یک میلیون دلار پول دزدیده شده را بازیابی کند. اخیراً، مهاجم که توانسته بود 8.9 میلیون دلار از پروتکل DeFi SafeMoon به سرقت ببرد، با بازگرداندن 80 درصد از وجوه موافقت کرد.

در حالی که می توان از حملات اخیر از طریق برنامه های پاداش باگ ایمن و سودآور جلوگیری کرد، این ممکن است به این دلیل باشد که پیشنهادات جایزه از نظر یک کلاه سفید یا هکر اخلاقی ارزش آن را ندارد.

استیون والبروئل، یکی از بنیانگذاران شرکت امنیتی Halborn، می‌گوید این امر بسیار رایج است که شرکت‌ها از پرداخت پاداش‌های باگ امتناع کنند و آسیب‌پذیری‌های گزارش‌شده را خیلی جدی نگیرند. Walbroehl، یک شکارچی جایزه سابق، می گوید که برخی از فضل ها گاهی اوقات باعث می شود که او در خارج از زمان خود احساس “فریب خوردگی” کند. او توضیح داد:

“اگر خود را به جای یک محقق قرار دهید و سوء استفاده‌ای را پیدا کنید که می‌تواند میلیون‌ها دلار پول دزدیده شده ایجاد کند، اما توسعه‌دهنده فقط یک جایزه 5000 دلاری ارائه می‌دهد، این می‌تواند انگیزه نامتناسبی برای عدم دریافت پاداش ایجاد کند.”

والبروئل همچنین گفت که شرکت‌ها اغلب اکتشافات را کم اهمیت می‌دانند و می‌گویند که خطاها مهم نیستند. به گفته Walbroehl، گاهی اوقات گزارش اشکالات منجر به عدم پرداخت شرکت ها می شود و ادعا می کنند که تیم های آنها قبلاً این اشکال را پیدا کرده اند.

مرتبط با: هکر پس از سوء استفاده از قرارداد قدیمی Yearn.finance، 1 کوادریلیون yUSDT ضرب کرد.

سیمون ژو، مدیر ارشد محصول در شرکت امنیت بلاک چین CertiK، گفت که پلتفرم‌ها واقعاً نیاز به ایجاد برنامه‌های ایمن و سودآور برای توسعه دهندگان دارند. در حالی که بازگرداندن وجوه به کوین تلگراف یک برد است، ژو گفت که در این سناریو یک روند خوشایند نخواهد بود زیرا مهاجمان اساسا وجوه را گروگان نگه می دارند. زو توضیح می دهد:

“جوایز اشکال کلاه سفید به وضوح در اینجا ترجیح داده می شود. پلتفرم هایی که برنامه پاداش اشکال را ارائه نمی دهند که امکان افشای ایمن و سودآور آسیب پذیری ها را فراهم کند ممکن است قیمت بسیار بالاتری بپردازند.”

همچنین، ژو از پروژه‌ها خواست تا در مورد آسیب‌پذیری‌های امنیتی، طرز تفکر خود را تغییر دهند. به گفته مدیر امنیت سایبری، برخی از تیم‌های توسعه‌دهنده زمانی که هزینه رفع اشکال بالا است یا زمانی که تعویض قرارداد هوشمند پس از رفع اشکال پیچیده‌تر می‌شود، تمایل دارند باگ‌های جزئی را نادیده بگیرند.

با این حال، مدیر CertiK تأکید کرد که یک آسیب پذیری کوچک در Web3 می تواند یک شبه به یک آسیب پذیری بزرگ تبدیل شود. ژو افزود: «بازی مرغ با سپرده های کاربران یک رویکرد بلندمدت مسئولانه برای امنیت نیست.

مجله: سازمان های اجرایی ایالات متحده جرایم مربوط به رمزنگاری را تشدید می کنند

نویسنده: Ezra Reguerra