Los programas de recompensas de errores han surgido como una de las formas clave para que las compañías aumenten la seguridad de las criptomonedas.
Antilavadodedinero / Cointelegraph.com
En la última década, la piratería se convirtió gradualmente en una carrera respetable y potencialmente gratificante gracias a la introducción de recompensas de errores.
Mientras que algunas organizaciones como Mozilla lanzaron recompensas de errores en 2004, el mayor impulso a la industria se produjo cuando Google y Facebook lanzaron programas similares en 2010 y 2011, respectivamente. Poco después, en 2011 y 2012, plataformas como Bugcrowd y HackerOne comercializaron las recompensas por errores para facilitar que otras compañías los configuraran.
La recompensa de errores les paga a los investigadores independientes que encuentran e informan vulnerabilidades que podrían tener un impacto en la seguridad de las criptomonedas, su sistema o de sus usuarios. Una de las vulnerabilidades más comunes es el llamado ataque Cross-Site Scripting (XSS), que inyecta código JavaScript malicioso en el navegador de un usuario.
Debido a la forma en que JavaScript impregna la web hoy en día, este ataque puede usarse esencialmente para secuestrar la cuenta de una víctima, y Google pagará hasta $7,500 por esta categoría de errores.
¿Por qué son útiles las recompensas de errores?
Las auditorías de seguridad y las revisiones de código son limitadas tanto en tiempo como en el número de ojos que brindan escrutinio. Si bien son útiles para detectar «hasta la última fruta podrida» antes de lanzar el software al público, algunos de los errores más serios podrían ser resultado de la composición de muchas fallas de diseño sutiles.
Como un ejemplo reciente de esto, un investigador independiente encontró un error importante en el algoritmo ProgPoW a pesar de múltiples auditorías previas, que afectaría la seguridad de las criptomonedas.
Los hacks recientes en las finanzas descentralizadas, o DeFi, muestran la complejidad de estos sistemas. En el primer hack de bZX, el núcleo de la vulnerabilidad fue una falla sutil de verificar la garantía adecuada en los contratos inteligentes de bZX, pero los préstamos flash y otras plataformas proporcionaron las herramientas necesarias para extraer dinero a través de este error, que afecta la seguridad de las criptomonedas.
El programa de recompensas de Google demuestra fácilmente que liberar código seguro desde el principio es casi imposible. Su programa de recompensa de errores registró un récord sin precedentes de $6 millones en pagos en 2019, nueve años después del lanzamiento. Durante ese período, la compañía tenía todas las herramientas para perfeccionar sus prácticas de seguridad interna, pero la complejidad de sus sistemas parece haber hecho que fuera casi imposible.
Recompensas de errores en criptos
Muchas empresas y proyectos cripto ofrecerán generosas recompensas por errores críticos. Los proyectos de DeFi Maker, Compound y Aave tienen recompensas máximas de $100,000, $150,000 y $250,000 respectivamente.
Los principales exchanges como Kraken, Coinbase y Binance también ofrecen programas de recompensas de errores. Kraken no tiene un máximo explícito, mientras que Coinbase y Binance superan los $50,000 y $10,000, respectivamente. No todos los exchanges importantes lanzaron tales programas, especialmente Huobi y Bitstamp.
Vale la pena destacar que el pago máximo anunciado no necesariamente hace que el programa sea más atractivo, ya que las sumas pagadas son casi siempre a discreción de la empresa.
De los 458 informes enviados a Coinbase, el pago máximo fue de solo $20,000, mientras que el promedio es de solo $200. Esto probablemente se deba a la baja gravedad de los errores, pero estas estadísticas son señales importantes para los investigadores que deben decidir en qué plataforma centrarse. Algunos de los pagos promedio más altos en Hacker One se pueden obtener de Monolith, Tron (TRX) y Matic, aunque este último acaba de lanzar su programa de recompensas de errores.
¿Pueden las recompensas de errores salvar proyectos?
La infraestructura de las criptomonedas las convierten en el objetivo ideal para los piratas informáticos debido a sus propiedades similares al efectivo, ya que robar dinero digital de un banco es mucho más difícil.
Ataques exitosos como el de Coincheck, donde los autores del hack de $500 millones no fueron atrapados después de más de dos años, atraen a hackers o piratas informáticos maliciosos más que a otras industrias.
Según una clasificación de seguridad publicada por Hacken en 2019, el 82% de todos los exchanges carecen de algún programa de recompensa por errores. De los que lo hacen, y que ocupan un lugar destacado en su lista, solo Binance sufrió un ataque importante en 2019.
Curiosamente, tanto bZX como dForce tenían programas de recompensas de errores implementados antes de sus incidentes, pero tenían advertencias notables.
El programa de bZX solo tenía un pago máximo de $5,000 y requería de manera crucial que los investigadores presentaran una prueba de identidad antes de cobrar la recompensa. También parece que solo se publicó en una publicación de Medium. Después del incidente, el proyecto rectificó todos los problemas antes mencionados.
El programa de DForce también requería la presentación de documentos, y aunque su pago máximo fue significativo en $50,000, solo cubrió el sistema de stablecoin USDx, no la plataforma Lendf.me que terminó siendo hackeada.
Si bien las empresas están obligadas a retener el pago a los investigadores que viven en regiones sancionadas, muy pocos programas exitosos requieren un control de identidad completo para recibir dinero. Desde la perspectiva de un cazador de errores, el envío de documentos de identidad puede ser una arma de doble filo debido a las frecuentes represalias legales contra piratas informáticos totalmente legítimos, lo que los desalienta a que presenten su solicitud.
Dado todo lo anterior, parece haber una correlación significativa entre la presencia de un programa de recompensas de errores equitativo y la incidencia de ataques catastróficos.
Sin embargo, en una conversación con Cointelegraph, Egor Homakov, un investigador de seguridad muy respetado, advirtió contra los que buscan sacar provecho de las recompensas:
“Las recompensas no deberían ser forzadas en ningún proyecto, y el interés debería venir desde adentro. Cada proyecto ya viene con un programa de recompensas por defecto, solo que las recompensas son iguales [a] $0. No creo que la gente deba presionar a los programas por cantidades mayores. Este mercado se autorregula perfectamente y no necesita más demandas de investigación».
A juzgar por las respuestas a incidentes de algunas de las compañías que fueron pirateadas, mejores recompensas de errores puede que estén en camino.