Las empresas de cifrado a menudo descubren por las malas que los piratas informáticos conocen sus sistemas de seguridad mejor que ellos. Como los piratas informáticos en el mundo de las criptomonedas pueden y a menudo resultan en el robo de tokens por valor de cientos de millones de dólares, el destino del futuro de una empresa a menudo puede depender de sus medidas de seguridad. En un esfuerzo por cerrar las escotillas, las compañías ofrecen recompensas por errores.
Estas recompensas son esencialmente competencias en las que se alienta a los piratas informáticos a intentar comprometer el software. Luego, los piratas informáticos envían un informe de vulnerabilidad a las compañías respectivas para que puedan corregir los errores antes de que sean explotados. Como recompensa, los hackers exitosos reciben una recompensa.
La mayoría de las compañías ofrecen recompensas en una escala escalonada, con el precio de recompensa correspondiente a la gravedad del error. Las recompensas comienzan desde alrededor de $ 50 a $ 100 para arreglos de bajo nivel y generalmente tienen un límite de alrededor de $ 10,000 para errores críticos. En algunos casos raros, los piratas informáticos han sido premiados más.
Katie Moussouris, fundadora y CEO de Luta Security, quien lanzó tanto Microsoft como las primeras recompensas de errores del Pentágono, explicó a Cointelegraph cómo los esquemas de recompensa de errores pueden ser útiles:
“Las recompensas de errores son más útiles y eficientes como complemento de las actividades de seguridad proactivas enfocadas primero en prevenir y detectar vulnerabilidades dentro de las organizaciones. Una vez que las organizaciones han establecido buenas prácticas de seguridad, las recompensas de errores pueden ayudar a identificar errores de seguridad que las organizaciones no detectaron. Las recompensas de errores por sí solas no son suficientes ".
La mayoría de las empresas que desarrollan software tienen recompensas de errores. En el mundo criptográfico, la necesidad de tales programas es igualmente importante, independientemente del tamaño de la empresa. De acuerdo a un reporte conducido por HackerOne, las compañías pagaron $ 878,000 en recompensas de errores en 2018. Guido Vranken, un investigador holandés que recibido un pago de $ 120,000 de EOS después de descubrir 12 errores en siete días, le dijo a Cointelegraph que hay mucho en juego para las empresas de cifrado:
"Para una moneda digital global, podría decirse que hay mucho más en juego que muchos otros proyectos o sitios web. El robo de activos es el ejemplo más tangible, pero debido a la sinergia entre la publicidad y los tipos de cambio, las pérdidas netas también podrían resultar de una vulnerabilidad ampliamente publicitada ”.
Una de las recompensas de errores más recientes proviene de la aplicación de mensajería global Telegram. Anunciado en su canal de Telegram Contests el 24 de septiembre, la compañía está pidiendo a los desarrolladores que exploten la cadena de bloques TON y presenten un informe de vulnerabilidad.
Si los piratas informáticos pueden explotar un error en la cadena de bloques TON en la medida en que puedan robar fondos de la billetera de otro usuario, Telegram pagará hasta $ 200,000, una suma que coincide con el problema crítico de Augur generosidad como una de las mayores recompensas en la historia de la criptografía. El concurso se lleva a cabo en el contexto del muy esperado lanzamiento del token digital nativo de Telegram, Gram, a fines de octubre.
EOS toma el primer puesto
Aunque es tentador pensar que las compañías más pequeñas y nuevas pueden ser las más activas en proporcionar recompensas por errores, Block.one, la compañía detrás de EOS, ocupó el primer lugar en 2018 por recompensas de recompensas con $ 534,500, pagando el 60% de todas las recompensas ese año , de acuerdo con el reporte.
De acuerdo con la EOS perfil en HackerOne, la compañía pagará un máximo de $ 1,000 por un informe de bajo riesgo y un máximo de $ 10,000 por un informe crítico. El perfil también señala que la cantidad final siempre se decide a discreción de un panel de recompensas, con mayores recompensas otorgadas a vulnerabilidades excepcionales.
Tras el lanzamiento del programa de recompensas EOS en mayo de 2018, Vranken explicado cómo la compañía había reforzado su enfoque de seguridad a raíz de sus descubrimientos:
“Los errores reportados fueron rápidamente analizados y corregidos en su repositorio público. Al principio, el proceso fue muy ad-hoc porque (EOS CTO) Daniel Larimer y yo estábamos enviando archivos de ida y vuelta en Telegram, pero desde entonces comenzaron a ejecutar un programa de recompensas de errores en HackerOne que creo que es lo mejor para ambos buscadores de errores y el equipo de EOS ".
EOS ha continuado pagando recompensas a los piratas informáticos en 2019, entregando recompensas de errores por cinco vulnerabilidades críticas hasta ahora. El 10 de enero, EOS otorgó un total de $ 40,750 a cinco hackers de sombrero blanco a través de HackerOne, y otro investigador recibió una recompensa adicional de $ 10,000.
Coinbase es el segundo mayor gastador
Coinbase, uno de los intercambios de criptomonedas más grandes del mundo, es el segundo que más gasta en recompensas, asignando un total de $ 290,381 en 2018. La compañía ha experimentado una serie de problemas de alto perfil desde que experimentó un aumento significativo de usuarios a mediados de 2017, resultando en fondos retrasados o faltantes, así como apagones de servicio.
La compañía otorgó otros $ 30,000 en recompensas en febrero de 2019 por informar un error crítico, conforme al programa de divulgación de vulnerabilidades de Coinbase. En ese momento, el error obtuvo la recompensa más grande en la plataforma, aunque los detalles del error no se hicieron públicos. Coinbase opera un programa de recompensas de cuatro niveles en el que pagará $ 200 por un caso de bajo riesgo, $ 2,000 por un problema de nivel medio y hasta $ 50,000 por errores críticos.
Según el perfil HackerOne de Coinbase, una explotación de impacto crítico comprende una situación en la que los atacantes "pueden leer o modificar datos confidenciales en un sistema, ejecutar código arbitrario en el sistema o filtrar moneda digital o fiduciaria de alguna manera".
Relacionado: Monero informa sobre la resolución de errores falsos de minería XMR un mes después de la corrección
La compañía también presentó sus pautas para evaluar problemas de bajo impacto: "Los atacantes pueden obtener pequeñas cantidades de información no autorizada y de baja sensibilidad que afecta a un subconjunto de usuarios, o pueden afectar ligeramente la precisión y el rendimiento del sistema".
Con respecto a la solución de los problemas reportados, la compañía tiene un historial de demora en la aceptación. Después de que una compañía holandesa descubriera un problema de contrato inteligente que permitía a los usuarios robar "todo lo que quisieran" en Ethereum (ETH), Coinbase se tomó un mes para solucionarlo. Coinbase pagó una recompensa de $ 10,000 a la compañía detrás del descubrimiento.
Tron viene en tercer lugar
La Fundación Tron, que está detrás de la moneda TRX, fue el tercer mayor gastador en recompensas de errores, con un total de $ 78,800 por 15 informes. A partir de ahora, la compañía ha pagado un total de $ 85,400 en recompensas, con su máximo, a $ 10,000, yendo al número de usuario de HackerOne para obtener un informe no revelado.
El programa de recompensas de la compañía pagará $ 100 por una vulnerabilidad de bajo riesgo, $ 3,000 por riesgo medio, $ 6,000 por alto riesgo y hasta $ 10,000 por problemas críticos. Perfil de HackerOne de Tron describe fallas críticas como "errores que pueden tomar el control de los nodos de java-tron mediante la ejecución remota de cualquier código", así como aquellos que pueden causar una fuga de clave privada.
En mayo, la compañía reveló una vulnerabilidad crítica que podría haber derribado su blockchain. El anuncio en HackerOne afirma que un atacante podría haber engullido toda la memoria disponible a través de un ataque distribuido de denegación de servicio, o DDoS, en la red TRX mediante la implementación de código malicioso en un contrato inteligente.
La compañía agregó que un individuo podría llevar a cabo el ataque DDoS utilizando una sola máquina para atacar a todos o al 51% del nodo principal, dejando así la red inutilizable. Aunque el error se informó el 14 de enero, solo se anunció públicamente después de que ya se había solucionado. El investigador detrás de la vulnerabilidad recibió $ 1,500.
Las recompensas de errores no son un sistema perfecto
Si bien los programas de recompensas de errores crean claramente un entorno saludable en el que las empresas recompensan los ataques éticos en sus sistemas, el concepto no está exento de críticas. Más recientemente, la prominente figura criptográfica Dovey Wan criticó la decisión de Telegram de abrir el desarrollo de su contrato inteligente. Wan apareció a criticar El evento como un ejemplo de la empresa que no reinvirtió en sus procesos de desarrollo de software, diciendo:
"Perdón, pero un proyecto generado por más de mil millones, con más de 500 mm de usuarios, ¿ni siquiera puede ser un explorador de bloques razonable? Tengo que dudar de cuál es el nivel de prioridad de esta red TON dentro del equipo de Telegram y cómo utilizarán su mega tesoro en cosas relacionadas con las criptomonedas ".
La directora ejecutiva de Luta Security, Katie Moussouris, dijo a Cointelegraph que, aunque las recompensas de errores son efectivas para señalar las lagunas importantes en las estructuras de seguridad existentes, no son un reemplazo para tener un proceso de seguridad dedicado:
"Las empresas no pueden usar las recompensas de errores como una alternativa barata para la debida diligencia en seguridad. Simplemente pedirles a extraños que señalen fallas sin tener la capacidad de corregirlas es una forma en que el uso excesivo de errores puede abrumar rápidamente a las organizaciones ”.
Vranken expuso su opinión a Cointelegraph de que, según su experiencia como investigador, una empresa de cifrado con un programa de recompensas de errores indica que se puede confiar en la empresa:
"Prefiero confiar en un proyecto de criptomonedas que tenga un programa de recompensas que funcione correctamente que uno que no lo haga. Esta postura está determinada por mi experiencia como investigador y mi conciencia del hecho de que incluso el software ampliamente utilizado no se ve necesariamente respaldado por un escrutinio serio de su código sin un incentivo adecuado ".
Vranken agregó que es extremadamente difícil construir software sin errores, sin importar el nivel de talento o la cantidad de dinero presentada:
"Por lo menos, un programa de recompensas de errores establece un canal formal para informar errores y señala la no hostilidad hacia los investigadores al prometer apreciar su trabajo (a través de una compensación financiera)".
El sistema actual de recompensas de errores depende de que los hackers actúen de manera responsable, ya sea por inclinación moral o por las recompensas ofrecidas. Si bien puede parecer factible que los piratas informáticos puedan esperar más dinero del anunciado en el esquema o vender detalles de la falla a los competidores, Moussouris dijo que la demanda de dicha información no es tan alta como muchos perciben:
"No hay infinitos compradores de errores esperando para comprar cada error, eso es un mito común. Sin embargo, en la criptomoneda, es probable que haya más compradores de errores que en otras áreas. Dicho esto, si los cazadores de insectos priorizan las ganancias, pueden optar por explotar en lugar de vender los errores que encuentran en la criptomoneda, para obtener más ganancias directas ”.
Aunque las recompensas anunciadas por las empresas de criptomonedas y software en todo el mundo pueden dar la impresión de que la caza de recompensas por errores puede ofrecer una carrera lucrativa, la realidad es que la competencia es alta y el acceso no está dividido de manera equitativa. Moussouris explicó a Cointelegraph que aquellos que son invitados a recompensas de errores privados a menudo tienen una ventaja competitiva:
“Por lo general, una gran cantidad de trabajo no se compensa, especialmente si los tipos de errores que el cazador sabe encontrar son clases de errores relativamente comunes. Solo se paga a la primera persona que informa una vulnerabilidad en particular, por lo que los cazadores de recompensas de insectos que son los más exitosos tienden a ser los invitados a recompensas de errores privados con menos competidores ".
Para Vranken, la búsqueda de recompensas de errores es una combinación, ya que la recompensa no siempre coincide con el tiempo puesto en un proyecto:
“En comparación con el trabajo contractual que estipula el esfuerzo y la recompensa de antemano, las recompensas de errores pueden ser duraderas (cuando se encuentra con un tesoro de errores que se recompensan profundamente) o frustrantes (pasar mucho tiempo en algo sin lograr resultados, o recibir una baja recompensa de lo que esperaba) ".