การป้องกันที่ดีที่สุดของคริปโตต่อการแฮ็ก
การป้องกันที่ดีที่สุดของคริปโตต่อการแฮ็กที่ร้ายแรงไม่ได้อยู่ที่โค้ด แต่คือแรงจูงใจ บั๊กบาวตี้ได้ป้องกันการสูญเสียหลายพันล้าน และมันสำคัญที่จะต้องเน้นว่าหลายพันล้านเหล่านี้อาจกลายเป็นการแสวงหาผลประโยชน์ ไม่ใช่การเปิดเผยอย่างรับผิดชอบ หากไม่มีการตั้งค่าแรงจูงใจที่ถูกต้อง การป้องกันนี้จะทำงานได้ก็ต่อเมื่อแรงจูงใจสำหรับพฤติกรรมของแฮกเกอร์ขาวมีมากกว่าแรงจูงใจสำหรับการแสวงหาผลประโยชน์อย่างชัดเจน
มาตรฐานบั๊กบาวตี้
แนวโน้มตลาดในปัจจุบันกำลังทำให้สมดุลนี้เอียงไปในทางที่อันตราย มาตรฐานบั๊กบาวตี้ที่ขยายตัวหมายความว่าขนาดรางวัลควรเติบโตตามจำนวนเงินทุนที่มีความเสี่ยง หากช่องโหว่สามารถทำให้สูญเสียเงิน 10 ล้านดอลลาร์ รางวัลควรเสนอสูงสุดถึง 1 ล้านดอลลาร์ นี่คือ แรงจูงใจที่เปลี่ยนชีวิตสำหรับนักวิจัยด้านความปลอดภัย ในการเปิดเผยแทนที่จะใช้ประโยชน์ และมันมีความคุ้มค่าสำหรับโปรโตคอลเมื่อเปรียบเทียบกับทางเลือกที่ทำให้เกิดความเสียหายจากการถูกแฮ็ก
การแข่งขันในตลาด
ปัญหาคือการแข่งขันในตลาดกำลังบิดเบือนแรงจูงใจเหล่านี้ แพลตฟอร์มบางแห่งกำลังผูกบริการที่มีต้นทุนต่ำสุดเข้ากับรางวัลบั๊กบาวตี้ที่มีการจำกัด บางครั้งไม่สูงกว่า 50,000 ดอลลาร์ โครงสร้างราคานี้กดดันโปรโตคอลให้ลดรางวัลและลดต้นทุน สร้างเงื่อนไขสำหรับการแฮ็กที่ร้ายแรงครั้งถัดไป
บั๊กบาวตี้ในฐานะกลไกการป้องกัน การแฮ็กมูลค่า 12 ล้านดอลลาร์ล่าสุดของ Cork Protocol เป็นตัวอย่างที่บอกเล่า โปรโตคอลได้ตั้งบั๊กบาวตี้ที่สำคัญไว้เพียง 100,000 ดอลลาร์ ซึ่งเป็นสัดส่วนที่น้อยมากของเงินทุนที่มีความเสี่ยง
การไม่สอดคล้องนี้สร้างการคำนวณทางเศรษฐกิจที่ง่าย: ทำไมต้องใช้เวลาหลายร้อยชั่วโมงในการค้นหาช่องโหว่ หากการจ่ายเงินที่จำกัดต่ำกว่าค่าของการแสวงหาผลประโยชน์ถึง 120 เท่า? คณิตศาสตร์เช่นนี้ไม่ได้ทำให้การแสวงหาผลประโยชน์ลดลง แต่กลับสนับสนุนมัน
ความสำคัญของบั๊กบาวตี้
บั๊กบาวตี้เป็นกลไกการป้องกันที่สำคัญซึ่งทำงานได้ก็ต่อเมื่อมันสอดคล้องกับความเสี่ยง เมื่อโปรโตคอลที่มีมูลค่ารวมหลายสิบล้านดอลลาร์ล็อกไว้เสนอรางวัลในระดับห้าหมายเลขต่ำ พวกเขากำลังเดิมพันว่าผู้แฮ็กเกอร์จะเลือกจริยธรรมมากกว่าทางเศรษฐกิจ นั่นไม่ใช่กลยุทธ์ — นั่นคือความหวัง
มาตรฐานด้านความปลอดภัย
มาตรฐานล้านดอลลาร์มีอยู่ด้วยเหตุผล โฆษณา ยักษ์ใหญ่ TradFi MultiBank Group เปิดตัวโปรแกรมซื้อคืนและเผา – เรียนรู้เพิ่มเติมเกี่ยวกับโทเค็น $MBG มาตรฐานด้านความปลอดภัยของคริปโตถูกสร้างขึ้นผ่านช่วงเวลามูลค่าหลายล้านดอลลาร์ MakerDAO ตั้งบั๊กบาวตี้ที่ 10 ล้านดอลลาร์ซึ่งส่งสัญญาณว่าการป้องกันมีค่าเท่าใด
การจ่ายเงิน 10 ล้านดอลลาร์ของ Wormhole หลังจากการแสวงหาผลประโยชน์ที่สำคัญได้ยืนยันบรรทัดฐานที่ว่าความปลอดภัยที่มีความหมายต้องการแรงจูงใจที่มีความหมาย
นักวิจัยด้านความปลอดภัยต้องการเหตุผลที่เปลี่ยนชีวิตในการเลือกการเปิดเผยแทนที่จะทำลาย ในอุตสาหกรรมที่การแสวงหาผลประโยชน์สามารถทำให้เงินทุนสูญเสียไปในไม่กี่นาที วิธีการขยายนี้ได้ผลอย่างชัดเจน เมื่อช่องโหว่ที่สำคัญสามารถส่งผลกระทบต่อเงินทุนของผู้ใช้หลายล้านดอลลาร์ รางวัลควรเสนอรางวัลที่สัดส่วน โดยทั่วไปประมาณ 10% ของเงินทุนที่มีความเสี่ยง
แรงกดดันจากตลาด
แรงกดดันจากตลาดกำลังสร้างบรรทัดฐานที่อันตราย การแข่งขันเพื่อแย่งชิงส่วนแบ่งตลาดทำให้แพลตฟอร์มบางแห่งแข่งขันในด้านราคาแทนที่จะเป็นผลลัพธ์ด้านความปลอดภัย โดยการเชื่อมโยงค่าธรรมเนียมแพลตฟอร์มกับรางวัลบั๊กบาวตี้ที่มีการจำกัด พวกเขาสร้างโครงสร้างแรงจูงใจที่ผิดปกติ
โปรโตคอลเลือกที่จะลดรางวัลเพื่อลดต้นทุน ไม่ใช่เพราะความเสี่ยงทำให้มันสมเหตุสมผล แต่เพราะราคากระตุ้นให้ทำเช่นนั้น
การป้องกันที่มีประสิทธิภาพ
นี่คือความเข้าใจผิดพื้นฐานเกี่ยวกับสิ่งที่บั๊กบาวตี้คือ มันไม่ใช่แค่ค่าใช้จ่าย; มันคือกรมธรรม์ประกันภัยที่มูลค่าต้องขยายตามสิ่งที่มันปกป้อง ยิ่งไปกว่านั้น แพลตฟอร์มด้านความปลอดภัยบางแห่งในปัจจุบันต้องการสัญญาเอกสิทธิ์ที่จำกัดว่านักวิจัยสามารถทำงานที่ไหน บางแห่งอนุญาตให้มีการปรับราคาใหม่หลังการเปิดเผยซึ่งทำให้ความไว้วางใจของนักวิจัยลดลง
การปฏิบัติเหล่านี้ทำลายสัญญาทางสังคมที่ทำให้บั๊กบาวตี้มีประสิทธิภาพในตอนแรก หากนักวิจัยที่มีทักษะสูญเสียความมั่นใจในความยุติธรรมของระบบ พวกเขามีสามทางเลือก: หยุดการค้นหา เปลี่ยนไปทำการตรวจสอบส่วนตัว หรือหายไป
ผลกระทบที่น่ากลัว
ผลลัพธ์คือผลกระทบที่น่ากลัว: โปรโตคอลจำกัดรางวัลเพื่อลดต้นทุน นักวิจัยเลือกที่จะไม่เข้าร่วมเพราะผลตอบแทนไม่คุ้มค่ากับความพยายาม ช่องโหว่ที่สำคัญไม่ได้รับการตรวจพบ การแสวงหาผลประโยชน์เกิดขึ้น โปรโตคอลตัดงบประมาณด้านความปลอดภัยเพิ่มเติม มันเป็นวงจรแห่งความตายที่ไม่มีใครได้ประโยชน์นอกจากผู้กระทำผิดที่มีเจตนาร้าย
คำเตือนจาก Web2
ความคล้ายคลึงกับความล้มเหลวของบั๊กบาวตี้ใน Web2 นั้นน่ากังวล ที่นั่น การจ่ายเงินที่ต่ำและการปฏิบัติที่ไม่ดีต่อนักวิจัยทำให้แฮกเกอร์ขาวที่มีทักษะหลายคนละทิ้งโปรแกรมสาธารณะโดยสิ้นเชิง คริปโตไม่สามารถทำผิดพลาดเดียวกันได้ โดยเฉพาะเมื่อมูลค่าหลายล้านล้านกำลังเตรียมที่จะย้ายไปยังเชนและสถาบันต่างๆ กำลังเฝ้าดูอย่างใกล้ชิด
บางคนโต้แย้งว่าทีมในระยะเริ่มต้นไม่สามารถจ่ายบั๊กบาวตี้ที่สูงได้ แต่ความจริงก็คือค่าใช้จ่ายของการแฮ็กที่ประสบความสำเร็จจะสูงกว่าค่าของบั๊กบาวตี้ที่สอดคล้องกันเสมอ การสูญเสียเงินทุนมีค่าใช้จ่ายสูง การสูญเสียความไว้วางใจเป็นเรื่องที่ร้ายแรง
เส้นทางข้างหน้า
เส้นทางข้างหน้าต้องการการประสานงานในอุตสาหกรรม การปกป้องโครงสร้างพื้นฐานด้านความปลอดภัยของคริปโตต้องการการรับรู้ว่าบั๊กบาวตี้ทำงานบนพื้นฐานของความไว้วางใจและแรงจูงใจ โปรแกรมที่มีราคาต่ำกว่าทุกโปรแกรมจะทำให้สัญญาทางสังคมที่ทำให้นักวิจัยที่มีทักษะอยู่ในด้านที่ถูกต้องของกฎหมายอ่อนแอลง
ทางออกไม่ใช่เรื่องสุดโต่ง รักษารางวัลบั๊กบาวตี้ที่สะท้อนความเสี่ยงที่แท้จริง รับประกันการปฏิบัติต่อโปร่งใสและยุติธรรมต่อนักวิจัย ต้านทานแรงกดดันที่จะมองว่าความปลอดภัยเป็นศูนย์ต้นทุนแทนที่จะเป็นตัวขับเคลื่อนมูลค่า
ที่สำคัญ แพลตฟอร์มต้องหยุดการกระตุ้นโปรโตคอลให้ลดการป้องกันของตนเอง เศรษฐกิจแบบกระจายศูนย์ทำงานได้ก็ต่อเมื่อความไว้วางใจขยายตัวไปพร้อมกับมัน หากเราต้องการให้คริปโตเติบโตต่อไป โดยมีความมั่นใจจากผู้ใช้ ผู้ควบคุม และสถาบันต่างๆ เราจำเป็นต้องมีระบบบั๊กบาวตี้ที่มีเหตุผล ไม่ใช่แค่ในเอกสาร แต่ในทางปฏิบัติ คริปโตจะเจริญเติบโตได้เพียงเท่าที่ผู้ปกป้องของมันมีอำนาจในการดำเนินการ
