À medida que as perdas em criptomoedas por violações de segurança ultrapassam US$ 1,5 bilhão, especialistas em cibersegurança estão pedindo para as exchanges aprimorarem os programas de recompensa por bugs para atrair hackers éticos de ponta e fortalecer a segurança das plataformas.
Em 3 de março, a empresa de segurança blockchain CertiK informou que as perdas de cripto devido a hacks em fevereiro alcançaram US$ 1,53 bilhão, com o hack da Bybit respondendo pela maioria das perdas, mais de US$ 1,4 bilhão. Excluindo o incidente, a CertiK relatou que outras explorações resultaram em perdas de US$ 126 milhões, incluindo um hack de US$ 49 milhões na Infini.
O hacker ético Marwan Hachem disse ao Cointelegraph que o aumento nas perdas por hacks de cripto destaca a crescente necessidade de melhores programas de recompensa por bugs.
Hachem afirmou que, para evitar tais explorações, as exchanges devem oferecer recompensas por bugs mais altas e atraentes para hackers white hat.
Um bug “fora do escopo” levou a um hack de US$ 1,4 bilhão
Hachem, diretor de operações da empresa de cibersegurança FearsOff, disse que as exchanges de cripto devem oferecer recompensas maiores aos hackers éticos para evitar explorações semelhantes.
Segundo o profissional de segurança, o programa de recompensa por bugs da Safe, provedora da carteira multisignature da Bybit, considerava bugs relacionados ao front e back-end fora do escopo, ou seja, aqueles que identificavam essas questões de segurança não eram elegíveis para recompensas.
O profissional de segurança disse que o hack da Bybit aconteceu por causa de um bug que não estava no escopo recompensado pelo programa de recompensa. “O que eles consideraram fora do escopo levou ao maior hack de cripto da história”, disse Hachem ao Cointelegraph. Ele acrescentou:
“Frequentemente violamos plataformas através de bugs encontrados em ativos fora do escopo. Hackers éticos não seriam recompensados por tais descobertas, mas criminosos os exploraram e roubaram US$ 1,5 bilhão da Bybit.”
O programa oficial de recompensa por bugs da Bybit oferece um máximo de US$ 4.000 em seu site e até US$ 10.000 no HackerOne — quantias que são insignificantes em comparação às recompensas potenciais para hackers maliciosos.
Hachem disse que é melhor oferecer proativamente recompensas maiores aos hackers white hat em vez de esperar por um grande hack acontecer e oferecer 10% dos fundos roubados como recompensa white hat. O executivo disse que isso apenas “encoraja os malfeitores”.
“Motivar hackers éticos de ponta a dedicarem seu tempo e atenção para testar uma exchange oferecendo recompensas maiores melhorará muito sua segurança, será muito mais barato e protegerá sua reputação”, disse Hachem ao Cointelegraph.
Adotando medidas de segurança mais rigorosas
Junto com melhores programas de recompensa por bugs, um porta-voz da CertiK disse ao Cointelegraph que prevenir futuros exploits como o hack da Bybit requer a adoção de medidas de segurança mais rigorosas.
Um porta-voz da CertiK disse ao Cointelegraph que dispositivos de assinatura isolados, ambientes OS não persistentes para aprovações de transações e camadas de autenticação aprimoradas para transações de alto valor devem se tornar padrões da indústria.
“Exercícios regulares de red team e simulações de phishing também podem ajudar a mitigar riscos de engenharia social”, disse o porta-voz.
O relatório da CertiK revelou que a exploração na Bybit resultou de um ataque de phishing que enganou signatários de multisignature a aprovar uma atualização maliciosa de contrato. Enquanto isso, o hack da Infini originou-se de um vazamento de chave privada de admin, permitindo retiradas não autorizadas.
A CertiK disse que ambos os incidentes sublinharam os riscos de assinaturas cegas e verificação inadequada de transações. “Esses casos enfatizam a necessidade de autenticação mais forte, monitoramento de transações em tempo real e segurança de UI mais resiliente para prevenir manipulações”, acrescentou a CertiK.
Leave a Comment