Un scandale de sécurité silencieux ou une profession mourante ? DeFi Bug Bounty Wall of Shame a des millions en primes impayées
La communauté crypto est aux prises avec des problèmes liés aux programmes de primes de bogues, un mécanisme crucial pour découvrir et traiter les vulnérabilités du système.
Usmann Khan, auditeur de sécurité web3, posté le 17 août, « N’oubliez pas que les projets ne peuvent tout simplement pas payer, whitehat », avec une capture d’écran d’un message d’Immunefi indiquant qu’un projet avait été retiré de son problème de prime de bogue pour ne pas avoir payé un minimum de 500 000 $ en primes.
En réponse, le chercheur en sécurité Marc Weiss a partagé le « Bug Bounty Wall of Shame » (BBWoS), une liste documentant les récompenses impayées prétendument dues aux pirates informatiques sur le Web3. Les données de BBWoS semblent signaler un manque important de responsabilité et de confiance au sein de l’écosystème crypto qui ne peut être ignoré.
Le BBWoS indique qu’une prime de bogue pour l’exploit Arbitrum de septembre 2022 avait une récompense de 2 millions de dollars. Pourtant, la haine blanche n’a reçu que 780 000 dollars pour avoir identifié un exploit qui a exposé plus de 680 millions de dollars.
En outre, BBWoS déclare que l’exploit d’emprunt/prêt CRV sur Aave à partir de novembre 2022 a entraîné la perte de 1,5 million de dollars, avec 40 millions de dollars à risque, et aucune prime n’a été versée au chapeau blanc qui a identifié le chemin d’attaque « des jours avant ».
Enfin, en avril de cette année, seulement 500 $ ont été versés à un chapeau blanc qui aurait identifié un moyen pour les gestionnaires de voler jusqu’à 14 millions de dollars de «jetons d’utilisateurs utilisant des chemins d’échange malveillants» après avoir été informé par dHEDGE que le problème était «bien -connu. »
La liste a été créée par des hackers whitehat « fatigués de passer des nuits blanches à trouver des bogues dans les protocoles uniquement pour avoir un paiement de 500 $ alors que les dommages économiques se chiffrent en millions », le créateur déclarant,
« J’ai créé ce classement pour aider à informer la communauté de la sécurité des projets qui ne prennent pas la sécurité au sérieux afin que nous puissions les éviter et passer du temps sur les projets qui le font. »
Le besoin d’auditeurs internes dans DeFi.
Dans sa présentation au DeFi Security Summit en juillet, Weiss a souligné le rôle critique des auditeurs à différentes étapes du développement du protocole. En intégrant des auditeurs et des chercheurs en interne, il a souligné leur potentiel à prendre des décisions architecturales éclairées, à concevoir des bases de code efficaces et à adopter une approche axée sur la sécurité pour le développement de protocoles.
Par conséquent, il est préoccupant que les plateformes ne reconnaissent pas et ne récompensent pas adéquatement les efforts de ces professionnels de la sécurité lorsqu’ils travaillent sur une base contractuelle.
Auditeurs Aller aller et MiloCamion a souligné que le non-paiement pour les vulnérabilités identifiées est un problème répandu. Leurs messages soulignent le besoin urgent pour ces plateformes de renforcer leur responsabilité et leur fiabilité et d’assurer la reconnaissance appropriée des pirates informatiques.
Plus de transparence est nécessaire dans le traitement des vulnérabilités. Les cas très médiatisés répertoriés sur BBWoS, comme le contrat de dépôt compromis d’Arbitrum, l’exploit économique d’Aave et les chemins d’échange malveillants dans dHEDGE, amplifient ce besoin.
Environnements d’exécution de confiance dans DeFi.
En réponse aux problèmes de confiance de Weiss, Danny Ki de Super Protocol souligné le potentiel de «l’informatique confidentielle décentralisée» pour renforcer la confiance dans les projets Web3 et atténuer les vulnérabilités. Ki fait référence à l’option d’exécuter DeFi dans des environnements d’exécution fiables (TEE), quelque chose d’inhérent au Super Protocol.
Un TEE est une zone sécurisée d’un processeur qui garantit que le code et les données chargés à l’intérieur soient protégés pour la confidentialité et l’intégrité. Cependant, l’un des inconvénients de l’utilisation des TEE dans les dApps DeFi repose sur l’architecture propriétaire de sociétés centralisées telles qu’Intel, AMD et ARM. La communauté open source s’efforce de développer des normes ouvertes et des implémentations pour TEE, telles que les projets Open-TEE et OP-TEE.
Ki soutient que si « les projets Web3 fonctionnent dans des enclaves confidentielles, il n’est peut-être pas nécessaire de payer pour les vulnérabilités, car la sécurité sera renforcée de manière inhérente ».
Alors qu’une fusion de la blockchain et de l’informatique confidentielle pourrait fournir une formidable couche de sécurité pour les projets futurs, la décision de remplacer les primes de bogues et les auditeurs de sécurité par des TEE semble complexe, c’est le moins qu’on puisse dire.
Problèmes avec les primes de bugs dans DeFi.
Pourtant, il existe des préoccupations supplémentaires pour les pirates informatiques, telles que les divulgations de bogues inappropriées des entreprises de sécurité sur les réseaux sociaux. Un message de Peckshield identifiant un bogue en juillet disait simplement : « Salut @JPEGd_69, vous voudrez peut-être jeter un œil », avec un lien vers une transaction Ethereum.
Aller aller fustigé le message déclarant: «Si cette vulnérabilité avait été divulguée de manière responsable au lieu d’être exploitée, les utilisateurs de PEGd n’auraient pas perdu 11 millions de dollars, aucun dommage à la réputation n’aurait été causé, le gars aurait obtenu une solide prime de bogue au lieu d’être dirigé par un Robot MEV.
Gogo a partagé sa prime de bug expérience avec Immunefi, une entreprise qu’ils ont décrite comme « au-delà du fantastique », où le paiement a nécessité un processus de médiation, menant finalement à un satisfaisant paiement de 5 000 $ pour un bogue critique.
Ces informations de la communauté de la sécurité Web3 soulignent le rôle essentiel des auditeurs et l’importance de programmes de primes de bogues efficaces pour la sécurité, la confiance et la croissance de l’écosystème crypto.
Comme certains l’ont identifié, les hacks sont largement couverts dans les actualités et sur X, mais qu’en est-il de ceux qui découvrent les exploits et ne sont jamais rémunérés de manière adéquate ? Près de 2,5 millions de dollars de primes prétendument impayées sont répertoriés sur BBWoS seul, mais, comme l’a souligné Ki, l’avenir pourrait-il inclure un web3 qui est intrinsèquement sécurisé sans avoir besoin de primes ?
Le post Scandale sécuritaire silencieux ou profession mourante ? DeFi Bug Bounty Wall of Shame a des millions de primes non payées apparues en premier sur CryptoSlate.