バグ報奨金プログラムとは何ですか? 2018 年に15 億ドル以上の暗号侵害が盗まれたため、業界はハッカーの楽園であることが証明されています。 ブロックチェーン技術が安全であるという話はすべて、防弾ではありません。 そして、ウォレットプロバイダや取引所のような二次的なソフトウェアに関しては、多くは依然として恐らく脆弱です。 これは、バグ報奨金プログラムのような予防的な取り組みが行われる場所です。
バグ報奨金プログラムとは何ですか?
実際には、「バグの恵み」が流行語 de jourになっています。 このタイプのサイバーセキュリティ活動の他の名前は、倫理的なハッキング、ホワイトハットハッキング、脆弱性報酬プログラム (VRP) などです。
しかし、バグ報奨金プログラムと白い帽子のハッキングの主な違いは、プログラムが会社自体によって開始されることです。 彼らは積極的にハッカーに自分のシステムの欠陥を探し、彼らが行ったときにそれらを補償するように勧めます。
多くのウェブサイトやソフトウェアベンダーは、欠陥を見つけて報告する倫理的なハッカーに健全な報酬を支払っています。 バグ報告には、会社が脆弱性を再現するのに十分な情報が含まれている必要があります。
補償は、脆弱性の規模と規模、および脆弱性が持つ可能性のある影響に応じて行われます。 情報源によると、Mozillaは通常、賞金あたり3,000ドルの定額料金を支払っていますが、Facebookは最大 20,000ドルを支払っています。 Appleは、iOSセキュアブートファームウェアコンポーネントの欠陥のために200,000ドルを砲撃しました。
被害が行われる前にハッカーを停止する
ハッカーの一歩先を行くことは不可欠です。 そのため、ブロックチェーン企業は常に何らかのバグバウンティプログラムや継続的なクラウドソースセキュリティ評価(OCSA)を用意する必要があります。 しかし、上位 100の暗号通貨交換に関する調査によると、それらのわずか13 % です。
バグ報奨金プログラムは通常、非常に効果的ですが、議論の余地があります。 結局のところ、あなたは本質的に違法行為を奨励しています。さらに悪いことに、すでに資金を盗んでいるハッカーに余分な生活を送ることを奨励しています。
つまり、サイバーセキュリティのスペシャリストRed4SecとNEOの場合と同様に、バグ奨励金プログラムは雇用と長期的な関係をもたらすこともあります。
サービスとしての倫理的なハッキングの例
Red4Sec、フェルナンド・ディアス・トレダーノ、ハイメ・キンデランの共同創設者によると、バグの賞金プログラムは、従来のインターネットアプリケーションよりもブロックチェーンに関連しています。 どうして? ブロックチェーンの不変性のために。
Jaimeは次のように説明しています。「主な違いは、ブロックチェーンでエラーをコミットすると不変です。 したがって、問題が見つかった場合は、修正するのがはるかに困難です。 ブロックチェーンは変更されないように設計されています。 したがって、初期段階で潜在的な問題をすべて認識することがはるかに重要です。」
フェルナンドは彼の言葉を反映しています。「ブロックチェーンの欠陥を見つけたら、それを変更するのは簡単ではありません。 すでにブロックチェーンに書かれています。ウェブとは違います。 ハッキングと同様に、資金が消えたら、彼らはなくなってしまった。 したがって、初期段階ではセキュリティと予防に集中することがはるかに重要です。」
これは、倫理的なハッキング(またはバグバウンティ)が行われる場所です。 Red4Sec チームは、長年にわたり従来のサイバーセキュリティサービスを提供してきました。 しかし、新技術に熱心し、常に詳細を学ぶための探求に取り組んで、2017 年にブロックチェーンの分析を開始し、NEOに焦点を当てることに決めました。
「分析を通じて、いくつかの重要な脆弱性を発見し、NEOに報告しました。 彼らは私たちがそれをやったのが好きで、彼らは報酬とブロックチェーンを監視する3ヶ月の裁判を与えました。 それ以来、私たちは彼らとシオン市の開発者と協力し続けてきました。」
フェルナンドは中断します:「私たちは今、彼らと非常に良い関係を持っています。私たちは実際にシオン市のメンバーであり、NEOコア開発チームのメンバーでもあります。 私たちは非常に近いです。」
ハッカーの靴に身を置く
私はブロックチェーンをハックする方法を探すときに最初に何をするのか尋ねます。 そして、知らなかった読者にとっては、ブロックチェーンはハッキングできないという神話です。 報酬のトレードオフと努力が他のブロックチェーンよりも高いということだけです。
例えば、Bitcoinブロックチェーンをハッキングすることは技術的に可能ですが、小さな国のリソースが必要であり、支払いは費用よりも少なくなります。 より小さなブロックチェーンと確かにプライベートブロックチェーンは、はるかに簡単なターゲットです。
Jaimeは続けます。「私たちがしていることは、アプリケーションのコード、スマートコントラクト、またはブロックチェーン自体を分析し、セキュリティ上の脆弱性がないことを確認することです。
「その後、我々は監査段階を行います...。 私たちはハッカーの靴に身を置き、ハッカーがどのように攻撃し、彼らはお金を盗むだろうかについて考えようとします。 道を見つけたら、機会の窓がなくなるように修正します。」
最終思想
バグバウンティ、倫理的なハッキング、ハッカーの前に欠陥を見つけるあらゆるタイプのプログラムは、ブロックチェーン技術の継続的なセキュリティと進化に不可欠です。
Red4Secのような企業は、取引所、ブロックチェーン、スマートな契約の膨大な量の違反やハッキングを考慮して、確かに多くの作業を行っています。 しかし、ますます大きな攻撃対象領域を考えても、このチームは抑止されません。 彼らはまだブロックチェーンが未来であり、すべてのアプリケーションが最終的にそれに移行すると信じています。
そして、多くの違反がありますが、フェルナンドは肯定的なメモで終わります。「ブロックチェーンのセキュリティを始めたとき、セキュリティに不安があり、十分に調べていなかった多くのプロジェクトを間違いなく見ました。 最近、セキュリティに対するより多くの意識を見てきましたが、それは間違いなく改善しています。」
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.