漏洞赏金削减或将引发数十亿美元级加密货币黑客风险
漏洞赏金削减正使加密货币面临灾难性的黑客攻击威胁。当奖励与风险不成正比时,安全研究人员几乎没有动力去负责任地报告漏洞。
一些平台开始限制漏洞赏金的奖励,以削减成本,这种做法创造了危险的激励机制,可能导致数十亿美元的加密货币被黑客攻击,而非发现漏洞。
观点 观点作者:Mitchell Amador,Immunefi创始人兼首席执行官
在抵御灾难性黑客攻击方面,加密货币的最佳防御并非程序代码,而是激励机制。漏洞赏金制度已经成功防止了数十亿美元的损失。重要的是要注意,如果激励机制不当,这些数十亿美元可能会变成黑客利用的漏洞,而不是负责任的披露。此类保护措施只有在白帽黑客的激励显著超过恶意利用的激励时才能有效,而如今市场趋势正在以危险的方式倾斜这种平衡。
扩大漏洞赏金的标准意味着奖励规模应随风险资本的增加而增长。如果一个漏洞的潜在损失高达1000万美元,赏金应设定在100万美元的范围内。这样的奖励对安全研究人员而言是颠覆性的激励,促使他们披露漏洞而不是利用它。与被黑客攻击的毁灭性后果相比,这对协议是一种成本效益的选择。扩展的奖励机制能够保护整个协议不被破坏,并确保链上金融的持续增长。
然而,市场竞争正扭曲这些激励机制。一些平台将最低价格的服务计划与上限的赏金奖励挂钩,最高仅为5万美元。这种定价结构迫使协议减少奖励并降低成本,为下一次灾难性黑客攻击埋下伏笔。
漏洞赏金作为防御机制
Cork Protocol最近遭遇的1200万美元黑客攻击就是一个例子。该协议的主要漏洞赏金仅定为10万美元,这只是其风险资金的一小部分。这种不合理的设置导致了一个简单的经济学判断:如果上限赏金低于利用价值120倍,那么为何要花费数百小时去寻找漏洞?这样的计算不会阻止黑客行动,反而会鼓励他们去利用漏洞。
漏洞赏金是关键的防御机制,只有在与潜在风险相匹配时才有效。当协议的总锁定价值达到数千万时,若提供的赏金仅为低五位数,实际上就等于在冒险假设黑客会选择道德而不是经济利益。这并非策略,而是一种毫无依据的希望。
百万美元奖励标准的重要性
加密货币安全标准的形成是由于百万美元的奖励机制。MakerDAO设定了1000万美元的赏金,以显示保护的重要价值。Wormhole在关键漏洞被利用后支付了1000万美元,巩固了有意义的安全保障需要相应激励的先例。鉴于一个漏洞可能在几分钟内耗尽资金池,安全研究人员需要足够引人注目的理由来选择披露而非破坏。
这种扩展的方法已被证明是有效的。当关键漏洞可能影响数百万用户资金时,赏金应该提供按比例的奖励,通常约为风险资本的10%。这些经济学原则有助于确保优秀的研究人员可持续留在生态系统中,并保持他们报告漏洞的动力。
市场力量创造危险的先例
争夺市场份额的竞争促使一些平台在价格而非安全结果上竞争。通过将平台费用与有上限的赏金奖励联系在一起,他们创造了一种反常的激励结构;协议选择降低赏金以降低成本,这并非因风险证明这样做的必要,而是因为定价鼓励这么做。这是对漏洞赏金本质的根本误解:它们不仅是开支,更是保险政策,其价值必须与所保护的资产相匹配。
更糟的是,一些安全平台开始要求限制研究人员在某一地点工作的排他性合同。还有其他平台则在漏洞披露后进行重新定价,这极大破坏了研究人员的信任。这些做法正在侵蚀使漏洞赏金制度有效的社会契约。如果熟练的研究人员对系统的公平性失去信心,他们将面临三个选择:停止漏洞研究、转向私人审计,或是转入地下。
结果是寒蝉效应:协议因试图减少成本而限制赏金。研究人员不再积极参与,因为预期的回报不足以值得投入时间和精力。关键漏洞没有被发现,黑客利用事件频繁发生,协议进一步削减安全预算。这形成了一个导致安全不足的恶性循环,最终只对恶意攻击者有利。
来源于Web2的警示
Web2的漏洞赏金失败给人以严重的警告。在那个时代,持续的低薪和对研究人员的不公正待遇导致许多熟练的白帽黑客放弃了公共项目。加密货币行业不能重蹈覆辙,尤其是在数万亿的资本正快速迁移到区块链上、机构投资者正密切关注安全问题的情况下。
一些人认为早期项目无法承担大额赏金。然而,实际是,成功的黑客攻击所造成的损失远远超出合理配置的漏洞赏金成本。资金的损失是昂贵的,而信任的丧失是致命的。
前进的道路需要行业协调
保护加密货币的安全基础设施需要意识到,漏洞赏金的理念是基于信任和激励机制的。每一个定价过低的项目都会削弱那些致力于维护安全的研究人员在法律上保持正义行为的社会契约。
解决方案并不激进,应该维持反映实际风险的赏金奖励,确保对研究人员的透明和公正对待,拒绝将安全视为成本中心的诱惑。
至关重要的是,平台必须停止这种激励协议削弱自身防御的做法。
去中心化经济只有在信任与其一同扩展时才能健康发展。如果希望加密货币在用户、监管机构和institutional investors中继续获得信任和成长,我们需要建立既有意义又有效的赏金系统,这不仅仅是纸面上的承诺,而是真实的实践。只有当加密货币的防御者被赋予足够的动力去行动时,才有可能实现良好的发展。
观点作者:Mitchell Amador,Immunefi创始人兼首席执行官。
相关推荐:TRM Labs:伊朗加密货币资金流因以色列冲突和Nobitex黑客攻击下降11%
本文仅供一般信息之用,不应被视为法律或投资建议。这篇文章中表达的观点、想法和意见仅代表作者个人观点,未必反映或代表Cointelegraph的观点和看法。
-
-
-
-
-
-
-
-
-
-
-
-
