Bug bounty program jako Hacktrophy je nutností pro každý web, psali jsme o tom v minulém článku. Důvodů, proč by měly speciální projekty, které pracují s kryptoměnami, mít bug bounty program je ještě více.

Důvod první: Každý kryptoměnový projekt je bug bounty program

Kryptoměnové transakce nelze vrátit – pokud podepíšete a pošlete Bitcoinovou nebo jinou kryptoměnovou transakci, provede se. Není komu si stěžovat, jedná se o decentralizovaný systém. Proto můžeme říci, že kryptoměnové projekty jako smart kontrakty (DeFi, ICO, …) a krypto směnárny, online hry, kolateralizované půjčky a investiční fondy jsou samy o sobě „bug bounty program“ – ve smyslu, že pokud je někdo nabourá, odměnou jsou kryptoměny, které si prostě vezmou.

Pro příklady nemusíme chodit daleko. Maličká slovenská směnárna Eterbase přišla o 1.6 milionu dolarů v kryptoměnách díky hacku. V případě klasického finančního systému je stále možnost požádat banku o vrácení transakce. V případě kryptoměn je sice možné vyšetřování, dohledání a potrestání viníka, ale návrat prostředků je možný jediným způsobem – zloděj podepíše transakci, která pošle kryptoměny zpět na adresu směnárny.

Proto je velmi důležité, aby kryptoměnové projekty daly příležitost etickým hackerům hledat chyby ještě tehdy, když projekt neobsahuje žádné cenné kryptoměny a i kdykoli později. Odměna musí být samozřejmě přiměřená, nabídnout někomu 1000 eur za nalezení zranitelnosti, která může firmu stát milion eur asi nebude fungovat. Na druhé straně i stotisícová odměna pro hackera může být motivující než peníze ukrást. Protože sto tisíc eur je v případě bug bounty programu jako Hacktrophy slušný, legální příjem, bez rizika uvěznění.

Důvod druhý: Dejme etickým krypto odborníkům příležitost

Neetičtí hackeři hledají příležitosti ke kradení – peněz, osobních údajů, případně vytváření botnetů a instalování škodlivého kódu. Ti budou na systémy útočit bez ohledu na to, jestli to klient chce nebo ne.

Kromě toho je však řada etických výzkumníků v oblasti bezpečnosti, kteří se dívají pouze na etické a legálně placené příležitosti. Rádi využijí své schopnosti k tomu, aby vám pomohli zvýšit bezpečnost vašeho kryptoměnového projektu. Je to pro ně zajímavá a naplňující práce.

Neetičtí hackeři na vás útočí stále, umožněte etickým hackerům, aby vás před nimi ochránili.

Důvod třetí: Etické hackery najdeme za vás

Pokud jste zkoušeli najmout chytrého etického hackera, víte, že to není nic jednoduchého. Dobrých hackerů je výrazně méně než dobrých vývojářů nebo projektových manažerů. Samozřejmě jednoduchý způsob, jak si najmout etického hackera, je zaplatit si penetrační test nebo audit, což v případě kryptoměnových projektů doporučujeme. Jenže takto najatý etický hacker pro vás pracuje jen po dobu projektu a pokud si testy neobjednáváte kontinuálně, bude po testu vašeho systému pracovat zase pro někoho jiného.

Hacktrophy je unikátní způsob jak etické hackery najímat stále, bez potřeby čtení CVček, pohovorů, řešení dovolených nebo PNek. Etičtí hackeři v Hacktrophy pracují stále a jsou lákáni odměnami – čím vyšší odměna, tím více hackerů a o to častěji kontroluje bezpečnost vašeho systému.

Důvod čtvrtý: Osobní údaje jsou v krypto projektech hodnotnější, reputaci máte pouze jednu

Pokud váš krypto projekt pracuje s jakýmikoli osobními údaji (což mimochodem nedoporučujeme), jejich hodnota je mnohem vyšší než když prodáváte například zimní pneumatiky přes internet. Proč? Osobní údaje spojené s finančními údaji (čísla účtů, krypto adresy, zůstatky, historie obchodů) je velmi citlivá záležitost a může vést k vydírání.

Příkladem může být nedávný hack kryptoměnové hardwarové peněženky Ledger. Unikla tak jména, e-mailové adresy, telefonní čísla a fyzické adresy 272 tisíc zákazníků. Co to znamená? Na internetu jsou údaje o tom, kdo si koupil kryptoměnovou peněženku a kde bydlí. Vyděračům stačí si otevřít mapku, naimportovat do ní adresy a zjistit, kdo má kryptoměny v jejich okolí. Tato databáze se stala nástrojem pro phishingové útoky.

Zde je dobré podotknout, že Ledger je bezpečnostní firma, hlavním důvodem její existence je zvýšení bezpečnosti držení kryptoměn. Přesto v tomto selhala, protože neměla dostatečně zabezpečenou databázi uživatelů.

Mnozí lidé proto přestali doporučovat Ledger jako kryptoměnovou peněženku – a to i přesto, že samotné privátní klíče nebyly přímo ohroženy a zařízení jako hardware funguje dobře. Reputaci v této oblasti máte jen jednu, jeden hack může z úspěšného projektu udělat propadák, který nikoho nezajímá. Důvěra se obecně, a ne jen v oblasti kryptoměn, buduje těžko, ale ztratit ji lze ze dne na den.

Zde je velmi důležité uvědomit si, že i pokud máte velmi dobře zabezpečené samotné kryptoměny (různí custodiani, multisig schémata, cold storage a podobně), bezpečnostní riziko je i vše ostatní v infrastruktuře – databáze zákazníků, portál podpory zákazníků, e-mailový server, … Kryptoměnový projekt je cílem různých typů útoků a není vše jen o privátních klíčích k peněženkám.

Důvod pátý: Kryptoměnové projekty jsou u nás jako doma

Hacktrophy od začátku vyplácí hackery i v kryptoměnách a také platby za své služby akceptuje v kryptoměnách. Jsme v krypto komunitě známí a zajišťovali jsme několik kryptoměnových projektů – například burzu hodlhodl.

Na rozdíl od jiných bug bounty platforem jsme známí mezi krypto-pozitivními hackery a máme z oblasti i zákazníky. Naši moderátoři rozumějí otázkám z oblasti kryptoměn a naši hackeři dokáží najít bezpečnostní zranitelnosti i v krypto částech projektů.

Závěr

Kryptoměnové projekty budují paralelní finanční systém a paralelní ekonomiku. Díky principu finanční suverenity jsou kladeny na uživatele a firmy, které s kryptoměnami pracují, dodatečné bezpečnostní požadavky. Hacktrophy je způsob, jak s nízkými náklady zajistit kontinuální naplňování těchto požadavků.

Autorem článku je Juraj Bednár, spoluzakladatel Hacktrophy