Anasayfa
Canlı Borsa
Borsa
Döviz Kurları
Altın
Hisse Senetleri
Endeksler
Kripto Paralar
Döviz Hesaplama
Döviz Çevirici
Kredi Arama
admin
Görüş: Mitchell Amador, Immunefi kurucusu ve CEO’su
Kripto dünyasının yıkıcı saldırılara karşı en iyi savunması kod değil — teşviklerdir. Bug bounty programları milyarlarca dolarlık kaybı önledi ve vurgulanması gereken önemli nokta, bu milyarların sorumlu açıklamalardan değil, doğru teşviklerin kurulmasından kaynaklandığıdır. Bu koruma, beyaz şapkalı davranış için teşviklerin kötüye kullanımdan açıkça daha ağır bastığı durumlarda işe yarar ve mevcut piyasa trendleri bu dengeyi tehlikeli şekilde bozuyor.
Ölçeklenen bug bounty standardı, ödülün risk altındaki sermaye miktarıyla orantılı olarak artması gerektiğini belirtir. Eğer bir güvenlik açığı 10 milyon doları boşaltabiliyorsa, ödül 1 milyon dolara kadar çıkmalıdır. Bu, güvenlik araştırmacıları için açıklama yapmayı kötüye kullanımdan daha cazip kılan hayat değiştiren teşviklerdir ve protokoller için hacklenmenin yıkıcı alternatifine kıyasla maliyet-etkindir. Bu ölçeklendirme yaklaşımı, tüm protokolleri yok olmaktan korur ve zincir üstü finansın sürekli büyümesini sağlar.
Sorun şu ki, piyasa rekabeti bu teşvikleri bozuyor. Bazı platformlar en düşük maliyetli hizmet planlarını sınırlandırılmış ödül miktarlarına bağlıyor, bazen 50.000 doları geçmiyor. Bu fiyatlandırma yapısı, protokolleri ödülleri minimize etmeye ve maliyetleri düşürmeye zorluyor, bu da bir sonraki yıkıcı saldırı için uygun ortam yaratıyor.
Bug bounty’ler savunma mekanizmalarıdır
Cork Protocol’ün yakın zamanda yaşadığı olay bunun çarpıcı bir örneğidir. Protokol kritik bug bounty ödülünü sadece 100.000 dolar olarak belirlemişti; bu, risk altındaki fonların çok küçük bir kısmı. Bu uyumsuzluk basit bir ekonomik hesaplama yaratıyor: Eğer ödül, sömürü değerinden 120 kat daha düşükse, neden yüzlerce saat harcayıp bir güvenlik açığı bulayım? Bu tür bir matematik sömürüyü caydırmaz; teşvik eder.
Bug bounty’ler, riskle uyumlu olduklarında işe yarayan kritik savunma mekanizmalarıdır. On milyonlarca dolarlık toplam kilitli değere sahip protokoller düşük beş haneli ödüller sunduğunda, aslında hackerların etik yerine ekonomiyi tercih edeceğine bahis oynuyorlar. Bu bir strateji değil — bu umut.
Milyon dolarlık standartın bir sebebi var
Kripto güvenlik standartları milyon dolarlık anlarla şekillendi. MakerDAO, korumanın değerini gösteren 10 milyon dolarlık bir ödül belirledi. Wormhole’un kritik bir açığın ardından yaptığı 10 milyon dolarlık ödeme, anlamlı güvenliğin anlamlı teşvikler gerektirdiği emrini pekiştirdi. Güvenlik araştırmacılarının, hazineleri dakikalar içinde boşaltabilen sektörlerde yıkımdan ziyade açıklamayı seçmeleri için hayat değiştiren nedenlere ihtiyacı var.
Bu ölçeklendirme yaklaşımı kanıtlanmış şekilde işe yaradı. Kritik güvenlik açıkları milyonlarca kullanıcı fonunu etkileyebildiğinde, ödüller genellikle risk altındaki sermayenin %10’u civarında orantılı olmalıdır. Bu ekonomik yapı, en iyi araştırmacıların ekosistemde kalmasını ve açıklama yapmaya motive olmalarını sağlar.
Piyasa güçleri tehlikeli emsaller yaratıyor
Pazar payı kapma yarışı, bazı platformların güvenlik sonuçları yerine fiyatla rekabet etmesine yol açtı. Platform ücretlerini sınırlandırılmış ödüllere bağlayarak, protokollerin maliyetleri düşürmek için ödülleri küçültmesini teşvik eden ters bir yapı oluşturuyorlar; bu, riskin gerekçelendirmediği ama fiyatlandırmanın zorladığı bir durum. Bu, bug bounty’lerin ne olduğunu temelinden yanlış anlamaktır. Bunlar sadece gider değil; korudukları şeyle orantılı değer taşıyan sigorta poliçeleridir.
İlgili:
Dahası, bazı güvenlik platformları artık araştırmacıların çalışabileceği yerleri kısıtlayan münhasırlık sözleşmeleri talep ediyor. Diğerleri ise açıklamadan sonra fiyatlandırmayı değiştirerek araştırmacıların güvenini zedeliyor. Bu uygulamalar, bug bounty’lerin etkinliğini sağlayan sosyal sözleşmeyi aşındırıyor. Yetkin araştırmacılar sistemin adaletine güvenini kaybederse üç seçenekleri var: avcılığı bırakmak, özel denetimlere yönelmek veya tamamen ortadan kaybolmak.
Sonuç soğutucu bir etki: Protokoller maliyetleri düşürmek için ödülleri sınırlar. Araştırmacılar, getirisi çabaya değmediği için vazgeçer. Kritik güvenlik açıkları tespit edilmez. Sömürüler gerçekleşir. Protokoller güvenlik bütçelerini daha da keser. Bu, sadece kötü niyetli aktörlere fayda sağlayan bir ölüm döngüsüdür.
Web2’den bir uyarı
Web2’nin bug bounty başarısızlıklarıyla paralellikler endişe verici. Orada, araştırmacıların kronik düşük ödemeleri ve kötü muamelesi, birçok yetkin beyaz şapkalının kamu programlarını tamamen terk etmesine yol açtı. Kripto aynı hatayı yapamaz; özellikle trilyonlarca dolar değer zincir üstüne taşınmaya hazırlanırken ve kurumlar yakından izlerken.
Bazıları erken aşama ekiplerin büyük ödülleri karşılayamayacağını savunuyor. Ancak gerçek şu ki, başarılı bir saldırının maliyeti, iyi hizalanmış bir bug bounty’den her zaman daha yüksek olacaktır. Fon kaybetmek pahalıdır. Güveni kaybetmek ise ölümcül.
İleriye dönük yol sektör koordinasyonu gerektiriyor
Kripto güvenlik altyapısını korumak, bug bounty’lerin güven ve teşvikler üzerine kurulu olduğunu kabul etmeyi gerektirir. Her düşük fiyatlandırılmış program, yetkin araştırmacıların yasaların doğru tarafında kalmasını sağlayan sosyal sözleşmeyi zayıflatır.
Çözüm radikal değil. Ödülleri gerçek riskle uyumlu tutun. Araştırmacılara şeffaf ve adil davranın. Güvenliği bir maliyet merkezi değil, değer yaratan bir unsur olarak görün.
Özellikle, platformlar protokollerin kendi savunmalarını eksik bırakmalarını teşvik etmeyi bırakmalıdır.
Merkeziyetsiz ekonomi, ancak güven onunla birlikte büyüdüğünde işler. Kriptonun kullanıcılar, düzenleyiciler ve kurumlar tarafından güvenle büyümeye devam etmesini istiyorsak, ödül sistemlerinin kağıt üzerinde değil, pratikte de mantıklı olması gerekir. Kripto, savunucuları harekete geçmeye yetkilendirildiği ölçüde gelişir.
Görüş: Mitchell Amador, Immunefi kurucusu ve CEO’su.
Bu makale genel bilgi amaçlıdır ve hukuki ya da yatırım tavsiyesi olarak alınmamalıdır. Burada ifade edilen görüşler, düşünceler ve fikirler yalnızca yazarın kendisine aittir ve Cointelegraph’ın görüşlerini veya fikirlerini yansıtmayabilir.
