کاهش خسارات هک در ارزهای دیجیتال با برنامههای بهتر باگ باونتی
افزایش خسارات ناشی از هکهای رمزارزی و نیاز به بهبود برنامههای پاداش باگ
با افزایش چشمگیر خسارات ناشی از هکهای رمزارزی، کارشناسان امنیت سایبری بر لزوم تقویت برنامههای پاداش باگ تاکید میکنند. مروان هاشم، هکر اخلاقی، در گفتگو با یکی از رسانههای معتبر این حوزه، بیان کرد که این خسارات نشاندهنده ضرورت بهبود قابل توجه در این برنامهها است.
خسارت ۱.۵ میلیارد دلاری در ماه فوریه
بر اساس گزارش شرکت امنیت بلاکچین CertiK، خسارات ناشی از هکهای رمزارزی در ماه فوریه به ۱.۵۳ میلیارد دلار رسیده است. بزرگترین بخش این خسارت به هک بایبیت مربوط میشود که بیش از ۱.۴ میلیارد دلار را به خود اختصاص داده است. به جز این حادثه، سایر هکها نیز شامل ۱۲۶ میلیون دلار خسارت بودهاند که هک اینفینی با ۴۹ میلیون دلار در صدر قرار دارد.
نقصهای برنامههای پاداش باگ
هاشم، که مدیر عملیات شرکت FearsOff است، به این نکته اشاره کرد که برنامه پاداش باگ بایبیت، برخی از اشکالات مربوط به بخشهای مختلف سیستم را خارج از دامنه پاداش در نظر گرفته بود. این موضوع منجر به بروز بزرگترین هک تاریخ رمزارزها شد. وی افزود:
“ما معمولاً از طریق اشکالاتی که در داراییهای خارج از دامنه پاداش وجود دارد، به سیستمها نفوذ میکنیم. هکرهای اخلاقی برای شناسایی این اشکالات پاداشی نمیگیرند، اما مجرمان از آنها بهرهبرداری کرده و ۱.۵ میلیارد دلار از بایبیت سرقت کردند.”
پاداشهای ناکافی و ریسکهای بالا
بایبیت در حال حاضر حداکثر پاداش ۴۰۰۰ دلاری را برای گزارش باگها در وبسایت خود و حداکثر ۱۰,۰۰۰ دلار در HackerOne ارائه میدهد که این مقادیر در مقایسه با پاداشهای احتمالی برای هکرهای مخرب بسیار ناچیز به نظر میرسد. هاشم بر این باور است که بهتر است به جای انتظار برای وقوع یک هک بزرگ و ارائه ۱۰ درصد از وجوه سرقت شده به عنوان پاداش، به هکرهای اخلاقی پاداشهای بیشتری ارائه شود.
اقدامات امنیتی سختگیرانه
علاوه بر بهبود برنامههای پاداش باگ، یک سخنگوی CertiK به این نکته اشاره کرد که برای جلوگیری از هکهای مشابه به بایبیت، باید اقدامات امنیتی سختگیرانهتری اتخاذ شود. استفاده از دستگاههای امضای هوایی، محیطهای سیستمعامل غیرپایدار برای تأیید تراکنشها و لایههای تأیید هویت پیشرفته برای تراکنشهای با ارزش بالا باید به استانداردهای صنعتی تبدیل شود.
اهمیت تمرینات قرمز-تیم و شبیهسازیهای فیشینگ
سخنگوی CertiK افزود که تمرینات منظم قرمز-تیم و شبیهسازیهای فیشینگ میتواند به کاهش ریسکهای مهندسی اجتماعی کمک کند. گزارش این شرکت نشان میدهد که هک بایبیت ناشی از یک حمله فیشینگ بوده که امضاکنندگان چندامضایی را فریب داده است تا یک بهروزرسانی قرارداد مخرب را تأیید کنند. همچنین، هک اینفینی به دلیل نشت کلید خصوصی مدیر، اجازه برداشتهای غیرمجاز را فراهم کرده است.
نتیجهگیری: ضرورت توجه به امنیت در صنعت رمزارز
گزارشهای اخیر نشان میدهد که هکهای بزرگ و خسارات ناشی از آنها به وضوح نشاندهنده نیاز به توجه بیشتر به امنیت در صنعت رمزارز است. این موارد بر اهمیت بهبود برنامههای پاداش باگ و اتخاذ تدابیر امنیتی مؤثر تأکید میکند که میتواند به حفظ اعتبار و امنیت این پلتفرمها کمک کند.
