一群黑客可以使加密更安全，但是已经足够了吗？

在过去的十年中，由于引入了漏洞赏金，黑客逐渐成为了受人尊敬且有潜在回报的职业。

虽然像Mozilla这样的一些组织早在2004年就推出了漏洞赏金计划，但当Google和Facebook分别在2010年和2011年推出类似程序时，对该行业的主要推动力就出现了。此后不久，在2011年和2012年，像Bugcrowd和HackerOne这样的平台将漏洞赏金商业化，以使其他公司更容易设置它们。

漏洞赏金支付给了独立的研究人员，这些独立的研究人员发现并报告了可能对系统或其用户造成安全影响的漏洞。最常见的漏洞之一就是所谓的跨站点脚本（XSS）攻击，该攻击将恶意JavaScript代码注入用户的浏览器中。

由于JavaScript如今渗透到网络中的方式，这种攻击实际上可以用来劫持受害者的??帐户，而Google会为此类错误最多支付7,500美元。

漏洞赏金为何有用？

安全审核和代码审查在时间和提供检查的人员数量上都受到限制。尽管它们有助于在向公众发布软件之前选择悬念最短的成果，但一些最严重的错误可能是由许多细微的设计故障造成的。

作为一个最近的例子，尽管有多次审核，一名独立研究人员发现ProgPoW算法存在重大错误。

去中心化金融（或DeFi）最近的黑客攻击表明了这些系统的复杂性。在第一个bZX黑客中，漏洞利用的核心是微妙的失败，无法检查bZX智能合约中是否有适当的抵押品-但是快速贷款和其他平台提供了必要的工具，可以通过此bug提取资金。

Google的程序很容易证明，从一开始就释放安全代码几乎是不可能的。它的漏洞奖励计划在发布九年后，在2019年发布了前所未有的600万美元的支出记录。在此期间，该公司拥有完善其内部安全实践的所有工具，但其系统的复杂性似乎使这一切变得几乎不可能。

加密货币中的漏洞赏金

许多使用加密技术的公司和项目将为关键错误提供丰厚的回报。 DeFi预测Maker，Compound和Aave的最高金额分别为$ 100,000，$ 150,000和$ 250,000。

Kraken，Coinbase和Binance等主要交易所还提供漏洞赏金计划。 Kraken没有明确的最高限额，而Coinbase和Binance最高分别为50,000美元和10,000美元。并非所有主要交易所都推出了此类程序，尤其是火币和Bitstamp。

值得注意的是，广告宣传的最高支出并不一定会使该计划更具吸引力，因为所支付的款项几乎始终由公司决定。

在提交给Coinbase的458份报告中，最高支出仅为20,000美元，而平均支出仅为200美元。这可能是由于漏洞的严重性较低而引起的，但是这些统计数据对于必须决定专注于该平台的研究人员是重要的信号。可以从Monolith，Tron（TRX）和Matic中获得一些Hacker One最高的平均支出，尽管后者刚刚启动了其漏洞赏金计划。

错误赏金可以保存项目吗？

加密基础设施具有类似现金的特性，因此成为黑客的理想目标，因为从银行窃取数字货币要困难得多。

黑客攻击“成功”的故事，例如Coincheck，两年多之后才发现5亿??美元黑客的肇事者，这可能比其他行业更容易吸引“黑帽”或完全恶意的黑客。

根据Hacken在2019年发布的交易所安全排名，所有交易所中有82％根本没有任何漏洞赏金计划。在那些做的并且在其列表中排名最高的那些中，只有Binance在2019年遭受了重大攻击。

奇怪的是，bZX和dForce都在事件发生之前就制定了漏洞赏金计划，但它们有一些值得注意的警告。

bZX的计划最高只能支付5,000美元，并严格要求研究人员在获得奖励之前提交身份证明。看来，它仅发布在Medium帖子上。事件发生后，该项目纠正了所有上述问题。

DForce的程序同样需要提交文档，尽管其最高支付额高达50,000美元，但它仅涵盖了USDx稳定币系统，而不是最终被黑客入侵的Lendf.me平台。

尽管公司有义务向居住在受制裁地区的研究人员扣留款项，但很少有成功的计划需要完整的身份检查才能收钱。从漏洞猎人的角度来看，由于经常对完全合法的黑客进行法律报复，因此提交身份证明文件可能会成为达摩克利斯之剑（Damocles Sword），从而阻止了他们的申请。

鉴于上述所有情况，公平的漏洞赏金计划的存在与灾难性骇客的发生之间似乎存在显着的相关性。

尽管如此，在备受推崇的安全研究员Egor Homakov与Cointelegraph的对话中，警告不要进行“虚假”项目：

“不应在任何项目上强加奖金，而利益应该来自内部。默认情况下，每个项目都已经提供了赏金计划，只是赏金相等 [to] $ 0。我不认为人们应该为更高的程序而羞耻。这个市场完全可以自我调节，不需要任何研究狂热/需求。”

从某些被黑客入侵的公司的事件响应来看，针对更好的漏洞赏金的自然选择可能已经在发生。

—-

原文链接：https://cointelegraph.com/news/an-army-of-hackers-can-make-crypto-safer-but-is-enough-being-done

原文作者：Cointelegraph By Andrey Shevchenko

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。