Mengapa platform dengan program hadiah yang tidak efektif membayar harga yang lebih tinggi?

Pada bulan April saja, setidaknya ada tiga kasus peretas mengembalikan dana yang dieksploitasi keuangan terdesentralisasi (DeFi) ruang angkasa. Pada 4 April, tim Euler Finance dapat melakukan ini memulihkan $176,4 juta setelah menawarkan peretas 10% dari dana yang dicuri.

Demikian pula, protokol pinjaman Sentimen juga telah mampu melakukan ini memulihkan hampir satu juta dolar dalam dana curian setelah bernegosiasi dengan peretas. Baru-baru ini, penyerang yang berhasil menarik $8,9 juta dari protokol DeFi SafeMoon setuju untuk mengembalikan 80% dari dana.

Peretasan tetap umum di ruang crypto, dengan aset digital lebih dari $320 juta hilang pada kuartal pertama 2023. Namun, peretasan baru-baru ini menunjukkan bahwa beberapa eksploit bersedia mengembalikan sumber daya untuk mendapatkan hadiah, sebuah proses yang oleh beberapa orang digambarkan sebagai program hadiah bug dengan sentuhan kriminal.

Anggota komunitas mengomentari peretasan baru-baru ini. Sumber: Twitter

Meskipun peretasan baru-baru ini dapat dihindari melalui program bounty bug yang aman dan menguntungkan, ini mungkin merupakan hasil dari penawaran bounty yang tidak sepadan dari sudut pandang white hat atau peretas etis.

Steven Walbroehl, salah satu pendiri firma keamanan Halborn, mengatakan sangat umum bagi perusahaan untuk menolak membayar hadiah bug dan tidak menganggap serius kerentanan yang dilaporkan. Sebagai mantan pemburu hadiah, Walbroehl mengatakan beberapa program hadiah terkadang membuatnya “merasa tertipu” pada masanya. Dia menjelaskan bahwa:

“Tempatkan diri Anda pada posisi seorang peneliti, jika Anda menemukan eksploit yang dapat menghasilkan jutaan dolar dalam dana curian, tetapi pengembang hanya menawarkan hadiah $5.000, itu dapat menciptakan insentif yang tidak proporsional untuk tidak mengambil hadiah tersebut.”

Walbroehl juga mengatakan perusahaan sering meremehkan penemuan, dengan mengatakan bug tidak kritis. Melaporkan bug terkadang bahkan membuat perusahaan tidak membayar, mengklaim bahwa tim mereka telah menemukan bug tersebut sendiri menurut Walbroehl.

Terkait: Peretas Menambang 1 Kuadriliun yUSDT Setelah Memanfaatkan Kontrak Yearn.finance Lama

Simon Zhu, direktur produk senior di firma keamanan blockchain CertiK, mengatakan bahwa platform benar-benar perlu membuat program yang aman dan menguntungkan bagi pengembang. Meskipun mengembalikan dana adalah sebuah kemenangan, Zhu mengatakan kepada Cointelegraph bahwa ini tidak akan menjadi tren yang disambut baik karena dalam skenario ini, para penyerang pada dasarnya menyandera dana tersebut. Zhu menjelaskan bahwa:

“Program hadiah White Hat Bug jelas lebih disukai di sini. Platform yang tidak menawarkan program bug bounty yang memungkinkan pengungkapan kerentanan yang aman dan hemat biaya dapat mendapati diri mereka membayar harga yang jauh lebih tinggi.”

Selain itu, Zhu juga mendesak proyek untuk mengubah alur pemikiran mereka terkait kerentanan. Menurut eksekutif keamanan siber, beberapa tim pengembangan cenderung mengabaikan bug minor ketika biaya untuk memperbaikinya tinggi atau ketika kontrak pintar menjadi lebih kompleks untuk dimodifikasi setelah bug diperbaiki.

Namun, eksekutif CertiK menunjukkan bahwa di Web3, kerentanan kecil bisa menjadi besar dalam semalam. “Bermain ayam dengan simpanan pengguna bukanlah pendekatan keamanan jangka panjang yang bertanggung jawab,” tambah Zhu.

Majalah: Lembaga penegak hukum AS meningkatkan serangan mereka terhadap kejahatan terkait cryptocurrency