Các công ty tiền điện tử thường tìm ra các biện pháp tốt hơn để các hacker khó có thể biết được hệ thống bảo mật của họ. Vì các vụ hack trong thế giới tiền điện tử có thể và thường dẫn đến việc các token trị giá hàng trăm triệu đô la bị đánh cắp, số phận của một công ty trong tương lai, thường có thể sử dụng các biện pháp bảo mật. Trong một nỗ lực để chiến đấu với các cảnh tối tăm này, các công ty đưa ra chương trình tiền thưởng lỗi (Bug Bounties).
Các tiền thưởng này về cơ bản là các cuộc thi trong đó hacker được khuyến khích cố gắng thỏa hiệp phần mềm. Các haker sau đó gửi các báo cáo lỗ hổng cho các công ty tương ứng để họ có thể vá các lỗi trước khi chúng bị khai thác. Như một phần thưởng, hacker thành công được trả tiền thưởng.
Hầu hết các công ty cung cấp tiền thưởng trên quy mô xen kẽ nhau, giá thưởng tương ứng với mức độ nghiêm trọng của lỗi. Tiền thưởng bắt đầu từ khoảng 50 đô la đến 100 đô la cho các bản sửa lỗi cấp thấp và thường được giới hạn ở mức khoảng 10.000 đô la cho các lỗi nghiêm trọng. Trong một vài trường hợp hiếm hoi, hacker đã được trả nhiều hơn.
Katie Moussouris, người sáng lập và Giám đốc điều hành của Luta Security, người đã đưa ra cả tiền thưởng lỗi đầu tiên của Microsoft và Pentagon, đã giải thích cho Cointelegraph cách sử dụng các chương trình thưởng lỗi:
“Tiền thưởng lỗi hữu ích và hiệu quả nhất như là một bổ sung cho các hoạt động bảo mật chủ động tập trung vào việc ngăn chặn và phát hiện các lỗ hổng trong các tổ chức trước tiên. Khi các tổ chức đã thiết lập các thực tiễn bảo mật tốt, tiền thưởng lỗi có thể giúp xác định các lỗi bảo mật mà các tổ chức đã bỏ lỡ. Tiền thưởng lỗi của riêng họ thì không đủ”.
Hầu hết các công ty phát triển phần mềm đều có tiền thưởng lỗi. Trong thế giới tiền điện tử, nhu cầu về các chương trình như vậy cũng quan trọng không kém, bất kể quy mô công ty. Theo một báo cáo được thực hiện bởi HackerOne, các công ty đã trả 878.000 đô la tiền thưởng lỗi trong năm 2018. Guido Vranken, một nhà nghiên cứu người Hà Lan đã nhận được khoản thanh toán 120.000 đô la từ EOS sau khi phát hiện ra 12 lỗi trong vòng bảy ngày, nói với Cointelegraph rằng tiền đặt cọc cao đối với các công ty tiền điện tử:
“Đối với một loại tiền kỹ thuật số toàn cầu, có thể nói rằng, nó bị đe dọa rất nhiều so với nhiều dự án hoặc trang web khác. Trộm cắp tài sản là ví dụ hữu hình nhất, nhưng do sự phối hợp giữa công khai và tỷ giá hối đoái, tổn thất ròng cũng có thể là do lỗ hổng được công bố rộng rãi”.
Một trong những tiền thưởng lỗi gần đây nhất đến từ ứng dụng nhắn tin toàn cầu Telegram. Được công bố trên kênh Cuộc thi Telegram vào ngày 24 tháng 9, công ty đang kêu gọi các nhà phát triển khai thác blockchain TON và gửi báo cáo lỗ hổng.
Nếu tin tặc có thể khai thác một lỗi trong blockchain TON đến mức chúng có thể lấy cắp tiền từ ví của người dùng khác, Telegram sẽ trả tới 200.000 đô la, một khoản tiền phù hợp với vấn đề quan trọng của Augur là một trong những phần thưởng lớn nhất trong lịch sử tiền điện tử. Cuộc thi đang diễn ra trong bối cảnh ra mắt được dự đoán kịch liệt của token kỹ thuật số bản địa Telegram, Gram, vào cuối tháng 10.
EOS chiếm vị trí hàng đầu
Mặc dù thật hấp dẫn khi nghĩ rằng các công ty nhỏ hơn, mới hơn có thể tích cực nhất trong việc cung cấp tiền thưởng lỗi, Block.one, công ty đứng sau EOS, đã giành vị trí hàng đầu trong năm 2018 với phần thưởng trị giá 534.500 đô la, trả 60% tổng số tiền thưởng trong năm đó.
Theo hồ sơ của EOS trên HackerOne, công ty sẽ trả tối đa 1.000 đô la cho một báo cáo rủi ro thấp và tối đa 10.000 đô la cho một báo cáo quan trọng. Hồ sơ cũng lưu ý rằng số tiền cuối cùng luôn được quyết định theo quyết định của hội đồng khen thưởng, với phần thưởng cao hơn được trao cho các lỗ hổng đặc biệt.
Sau khi ra mắt chương trình tiền thưởng của EOS vào tháng 5 năm 2018, Vranken đã giải thích cách công ty thắt chặt tiếp cận bảo mật sau những khám phá của mình:
“Các lỗi được báo cáo đã được phân tích và sửa chữa nhanh chóng trong kho lưu trữ công cộng của họ. Lúc đầu, quá trình này rất đặc biệt bởi vì [EOS CTO] Daniel Larimer và tôi đã gửi các tệp qua lại trên Telegram, nhưng họ đã bắt đầu chạy một chương trình tiền thưởng lỗi trên HackerOne mà tôi nghĩ là được quan tâm nhất cả công cụ tìm lỗi và nhóm EOS”.
EOS đã tiếp tục trả phần thưởng cho hacker vào năm 2019, trao tiền thưởng lỗi cho năm lỗ hổng nghiêm trọng cho đến nay. Vào ngày 10 tháng 1, EOS đã trao tổng cộng 40.750 đô la cho năm hacker mũ trắng thông qua HackerOne, với một nhà nghiên cứu khác nhận thêm 10.000 đô la tiền thưởng.
Coinbase là nhà chi tiêu lớn thứ hai
Một trong những sàn giao dịch tiền điện tử lớn nhất thế giới, Coinbase, là nhà chi tiêu lớn thứ hai về tiền thưởng, phân bổ tổng cộng 290.381 đô la vào năm 2018. Công ty đã trải qua một số vấn đề trứ danh kể từ khi trải qua sự gia tăng đáng kể của người dùng vào giữa năm 2017, dẫn đến việc trì hoãn hoặc thiếu tiền cũng như mất dịch vụ.
Công ty đã trao thêm 30.000 đô la tiền thưởng vào tháng 2 năm 2019 vì đã báo cáo một lỗi nghiêm trọng, theo chương trình tiết lộ lỗ hổng của Coinbase. Vào thời điểm đó, lỗi đã kiếm được phần thưởng lớn nhất từ trước đến nay trên nền tảng, mặc dù các chi tiết về lỗi này không được công khai. Coinbase vận hành chương trình tiền thưởng bốn cấp, trong đó họ sẽ trả 200 đô la cho trường hợp rủi ro thấp, 2.000 đô la cho vấn đề trung bình và lên tới 50.000 đô la cho các lỗi nghiêm trọng.
Theo hồ sơ HackerOne của Coinbase, việc khai thác tác động nghiêm trọng bao gồm tình huống kẻ tấn công có thể “đọc hoặc sửa đổi dữ liệu nhạy cảm trong hệ thống, thực thi mã tùy ý trên hệ thống hoặc lọc tiền tệ kỹ thuật số hay fiat theo cách nào đó”.
Công ty cũng đưa ra các hướng dẫn để đánh giá các vấn đề có tác động thấp: “Kẻ tấn công có thể thu được một lượng nhỏ thông tin trái phép, độ nhạy thấp ảnh hưởng đến một tập hợp người dùng hoặc tác động nhẹ đến độ chính xác và hiệu suất của hệ thống”.
Liên quan đến việc sửa chữa các vấn đề được báo cáo, công ty có lịch sử chậm phát triển. Sau khi một công ty Hà Lan phát hiện ra một trục trặc trong hợp đồng thông minh cho phép người dùng ăn cắp “số lượng nhiều như họ muốn” có trong Ethereum (ETH), Coinbase đã báo cáo mất một tháng để sửa nó. Coinbase đã trả phần thưởng 10.000 đô la cho công ty đằng sau khám phá này.
Tron đứng vị trí thứ ba
Quỹ Tron, đứng sau đồng tiền TRX, là nhà chi tiêu lớn thứ ba về tiền thưởng lỗi, tổng cộng là 78,800 đô la cho 15 báo cáo. Tính đến thời điểm hiện tại, công ty đã trả tổng cộng 85.400 đô la tiền thưởng với mức cao nhất 10.000 đô la, sẽ chuyển đến người dùng HackerOne nu11pe cho một báo cáo không được tiết lộ.
Chương trình bounty của công ty sẽ trả 100 đô la cho một lỗ hổng rủi ro thấp, 3.000 đô la cho rủi ro trung bình, 6.000 đô la cho rủi ro cao và lên tới 10.000 đô la cho các vấn đề quan trọng. Cấu hình Tron LackerOne mô tả các lỗi nghiêm trọng như các “lỗi có thể kiểm soát các nút java-tron bằng cách thực thi từ xa bất kỳ mã nào”, cũng như các lỗi có thể gây rò rỉ khóa riêng.
Vào tháng 5, công ty đã tiết lộ một lỗ hổng nghiêm trọng có thể làm giảm blockchain của nó. Thông báo trên HackerOne nói rằng kẻ tấn công có thể đã nhấn chìm tất cả bộ nhớ khả dụng mặc dù sự từ chối phân tán của dịch vụ hoặc DDoS, tấn công vào mạng TRX bằng cách thực hiện mã độc trong hợp đồng thông minh.
Công ty nói thêm rằng một cá nhân có thể thực hiện cuộc tấn công DDoS bằng cách sử dụng một máy duy nhất để tấn công tất cả hoặc 51% nút cao cấp, do đó khiến mạng không thể sử dụng được. Mặc dù lỗi đã được báo cáo vào ngày 14 tháng 1, nhưng nó chỉ được thông báo công khai sau khi nó đã được sửa. Nhà nghiên cứu đằng sau lỗ hổng được trao 1.500 đô la.
Bug Bounties không phải là một hệ thống hoàn hảo
Trong khi các chương trình tiền thưởng lỗi rõ ràng tạo ra một môi trường lành mạnh, trong đó các công ty thưởng cho các vụ hack đúng quy cách trên hệ thống của họ, khái niệm này không phải là không có các nhà phê bình. Gần đây nhất, nhân vật tiền điện tử nổi tiếng Dovey Wan đã chỉ trích quyết định của Telegram, mở ra sự phát triển trên hợp đồng thông minh của mình. Wan dường như chỉ trích sự kiện này là một ví dụ về việc công ty không tái đầu tư vào các quy trình phát triển phần mềm của mình, nói rằng:
“Xin lỗi nhưng một dự án đã huy động được hơn một tỷ đồng, với hơn 500mm người dùng thậm chí không thể làm cho một nhà thám hiểm block có lý? Tôi phải nghi ngờ về mức độ ưu tiên của mạng TON này trong nhóm Telegram, và cách họ sẽ sử dụng kho báu khổng lồ của họ vào những thứ liên quan đến tiền điện tử”.
Giám đốc điều hành của Luta Security Katie Moussouris nói với Cointelegraph rằng mặc dù tiền thưởng lỗi có hiệu quả trong việc chỉ ra các lỗ hổng quan trọng trong các cấu trúc bảo mật hiện có, nhưng chúng không thay thế cho việc có một quy trình bảo mật chuyên dụng:
“Các công ty có thể sử dụng các loại tiền thưởng lỗi như một sự thay thế giá rẻ cho sự chuyên cần trong bảo mật. Đơn giản chỉ cần yêu cầu người lạ chỉ ra sai sót mà không có khả năng sửa chúng là một cách lạm dụng tiền thưởng lỗi có thể nhanh chóng áp đảo các tổ chức”.
Vranken đã đưa ra quan điểm của mình với Cointelegraph rằng, dựa trên kinh nghiệm của ông là một nhà nghiên cứu, một công ty tiền điện tử với chương trình tiền thưởng lỗi cho thấy rằng công ty có thể được tin cậy:
“Ngay lập tức, tôi tin tưởng vào một dự án tiền điện tử có chương trình tiền thưởng hoạt động đúng đắn hơn là một chương trình không có. Lập trường này được hình thành bởi kinh nghiệm của tôi với tư cách là một nhà nghiên cứu và nhận thức của tôi về thực tế rằng ngay cả phần mềm được sử dụng rộng rãi cũng không nhất thiết phải được xem xét kỹ lưỡng bởi mã của nó mà không có sự khuyến khích thích hợp”.
Vranken tiếp tục cho biết thêm rằng việc xây dựng phần mềm không có lỗi là vô cùng khó khăn, bất kể mức độ tài năng hay số tiền đưa ra:
“Nếu không có gì khác, một chương trình tiền thưởng lỗi thiết lập một kênh chính thức để báo cáo lỗi và báo hiệu sự không thù địch với các nhà nghiên cứu bằng cách thề sẽ đánh giá cao công việc của họ (thông qua bồi thường tài chính)”.
Hệ thống tiền thưởng lỗi hiện tại phụ thuộc vào các hacker hành động có trách nhiệm, ngoài khuynh hướng đạo đức hoặc bởi các phần thưởng được cung cấp. Mặc dù có vẻ khả thi khi hacker có thể kiếm được nhiều tiền hơn so với quảng cáo trong chương trình hoặc bán chi tiết lỗ hổng cho các đối thủ cạnh tranh, Moussouris nói rằng nhu cầu về thông tin đó không cao như nhiều người nhận thấy:
“Không có người mua lỗi vô hạn đang chờ đợi để mua hết mọi lỗi – đó là một huyền thoại phổ biến. Tuy nhiên, trong tiền điện tử, có nhiều người mua lỗi hơn ở các khu vực khác. Điều đó đang được nói, nếu những người săn lỗi ưu tiên lợi nhuận, họ rất có thể chọn khai thác thay vì bán các lỗi họ tìm thấy trong tiền điện tử, để có thêm lợi nhuận trực tiếp”.
Mặc dù phần thưởng được quảng cáo bởi cả các công ty tiền điện tử và phần mềm trên toàn thế giới có thể mang lại ấn tượng rằng việc săn tiền thưởng có thể mang lại một sự nghiệp béo bở, nhưng thực tế là sự cạnh tranh rất cao và quyền truy cập không được chia đều. Moussouris giải thích với Cointelegraph rằng những người được mời đến tiền thưởng lỗi cá nhân thường có lợi thế cạnh tranh:
“Thường là rất nhiều công việc không được bù đắp, đặc biệt là nếu các loại lỗi mà thợ săn biết cách tìm là các loại lỗi tương đối phổ biến. Chỉ người đầu tiên báo cáo một lỗ hổng cụ thể mới được thanh toán, vì vậy những người săn tiền thưởng lỗi thành công nhất có xu hướng là những người được mời đến tiền thưởng lỗi riêng tư với ít đối thủ cạnh tranh hơn”.
Đối với Vranken, săn tiền thưởng lỗi là một túi hỗn hợp, vì phần thưởng không phải lúc nào cũng phù hợp với thời gian đưa vào một dự án:
“So với công việc theo hợp đồng quy định trước nỗ lực và phần thưởng, tiền thưởng lỗi có thể bị loại bỏ (khi bạn gặp phải một lỗi lỗi được thưởng sâu sắc) hoặc gây sự bực dọc (dành nhiều thời gian cho việc gì đó mà không đạt được kết quả hoặc nhận được mức thấp hơn phần thưởng bạn mong đợi)”.
- EOS đã chi 417.000 USD cho các chương trình phát hiện lỗi bảo mật
- 5 lý do giải thích tại sao các nhà đầu tư Bitcoin không nên lo lắng
Trinh Nguyễn
Tạp chí Bitcoin | Cointelegraph
