Steven Walbroehl, antiguo cazador de recompensas, afirma que a veces las empresas restan importancia a los fallos descubiertos y se niegan a pagar las recompensas, alegando que no eran críticos.
Ezra Reguerra
hace 17 minutos
Las plataformas con programas de recompensas ineficaces pagan un precio más alto a largo plazo, dice Simon Zhu
Steven Walbroehl, antiguo cazador de recompensas, afirma que a veces las empresas restan importancia a los fallos descubiertos y se niegan a pagar las recompensas, alegando que no eran críticos.
Los hackeos siguen siendo habituales en el espacio de las criptomonedas; se han perdido más de USD 320 millones en activos digitales en el primer trimestre de 2023. Sin embargo, los hackeos recientes han demostrado que algunos explotadores están dispuestos a devolver activos a cambio de un premio, un proceso que algunos describen como un programa de recompensas por fallos con un toque delictivo.
Sólo en abril se produjeron al menos tres incidentes de devolución de fondos explotados por hackers en el ámbito de las finanzas descentralizadas (DeFi). El 4 de abril, el equipo de Euler Finance pudo recuperar USD 176.4 millones tras ofrecer al hacker el 10% de los fondos robados.
Del mismo modo, el protocolo de préstamos Sentiment también pudo recuperar casi un millón de dólares en fondos robados tras negociar con el hacker. Más recientemente, el atacante que consiguió hacerse con USD 8.9 millones del protocolo DeFi SafeMoon aceptó devolver el 80% de los fondos.
Un miembro de la comunidad hace comentarios sobre los recientes hackeos. Fuente: Twitter
Aunque los recientes hackeos podrían haberse evitado mediante programas de recompensas por fallos seguros y rentables, es posible que las ofertas de recompensas no merezcan la pena desde la perspectiva de un hacker ético o de sombrero blanco.
Steven Walbroehl, cofundador de la empresa de seguridad Halborn, afirma que es muy habitual que las empresas se nieguen a pagar recompensas por fallos y no se tomen muy en serio las vulnerabilidades notificadas. Como antiguo cazador de recompensas, Walbroehl afirmó que algunos programas de recompensas le han hecho “sentirse estafado” en ocasiones. Explicó que:
“Poniéndose en la piel de un investigador, si encuentras un exploit que puede generar millones de dólares en fondos robados, pero el desarrollador sólo ofrece una recompensa de USD 5,000, puede crear un incentivo desproporcionado para no aceptar la recompensa.”
Walbroehl también dijo que las empresas a menudo restan importancia a los descubrimientos, diciendo que los fallos no son críticos. Según Walbroehl, informar de los fallos también lleva a veces a las empresas a no pagar, alegando que su equipo ya ha localizado el fallo por sí mismo.
Simon Zhu, director senior de producto de la firma de seguridad de blockchain CertiK, dijo que las plataformas realmente necesitan crear programas que sean seguros y rentables para los desarrolladores. Si bien la devolución de los fondos es una victoria, Zhu dijo a Cointelegraph que no sería una tendencia bienvenida, ya que los atacantes esencialmente están reteniendo los fondos como rehenes. Zhu explicó que:
“Los programas de recompensas por fallos de sombrero blanco claramente son preferibles en este caso. Las plataformas que no ofrezcan un programa de recompensas por fallos que permita la divulgación segura y rentable de vulnerabilidades pueden terminar pagando un precio mucho más alto.”
Además, Zhu también instó a los proyectos a cambiar su línea de pensamiento cuando se trata de vulnerabilidades. Según el ejecutivo de ciberseguridad, algunos equipos de desarrolladores tienden a ignorar fallos menores cuando los costes de solucionar el fallo son elevados o cuando el contrato inteligente se vuelve más complejo de modificar una vez solucionado el fallo.
Sin embargo, el ejecutivo de CertiK destacó que en Web3, una vulnerabilidad menor puede convertirse en una importante de la noche a la mañana. “Jugar a la gallina con los depósitos de los usuarios no es un enfoque responsable de la seguridad a largo plazo”, añadió Zhu.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
Descargo de responsabilidad:
Las opiniones de este artículo solo representan las opiniones personales del autor y no constituyen un consejo de inversión para esta plataforma. Esta plataforma no garantiza la precisión, integridad y actualidad de la información del artículo, ni es responsable de ninguna pérdida causada por el uso o la confianza en la información del artículo.
Thune helped cosponsor a crypto bill in 2022 called the Digital Commodities Consumer Protection Act
North Korean Malware Targets macOS Users by Evading Apple Notarization
DeltaPrime Protocol Attacked on Arbitrum and Avalanche, Resulting in $4.8 Million Loss
Polymarket Founder Raided by FBI After Trump Win, Company Says
0.00