$ 1.5B CRYPTO HACK PEDRAS EXPOSE Bug Bounty Flaws
A medida que aumentan las pérdidas de criptomonedas de las violaciones de seguridad más allá de los $ 1.5 mil millones, los expertos en ciberseguridad instan a los intercambios a mejorar los programas de recompensas de errores a atraer a los mejores piratas informáticos y fortalecer la seguridad de la plataforma.
El 3 de marzo, la firma de seguridad de Blockchain Certik dijo que Crypto perdió de Hacks en febrero había alcanzado los $ 1.53 mil millones, y el truco de Bybit representa la mayoría de las pérdidas en más de $ 1.4 mil millones. Excluyendo el incidente, Certik informó que otras exploits habían resultado en pérdidas de $ 126 millones, incluido un truco Infini de $ 49 millones.
El hacker ético Marwan Hachem le dijo a CointeleGraph que el aumento en las pérdidas de criptomonitres de pirateo destacó una creciente necesidad de mejores programas de recompensa de errores.
Hachem dijo que para evitar tales exploits, los intercambios deben ofrecer recompensas de recompensas de errores más altas y atractivas a los piratas informáticos.
Un error de “fuera del alcance” condujo a un hack de $ 1.4 mil millones
Hachem, director de operaciones de la firma de ciberseguridad Fearsoff, dijo que los intercambios de cifrado deben ofrecer mayores recompensas a los piratas informáticos éticos para evitar hazañas similares.
Según el profesional de la seguridad, el programa de recompensas de errores de SAFE, el proveedor de billetera multisignatura de Bybit, consideró errores relacionados con el frente y el retroceso, lo que significa que aquellos que identificaron estos problemas de seguridad no eran elegibles para las recompensas.
El profesional de la seguridad dijo que el truco de Bybit ocurrió debido a un error que no estaba en el alcance recompensado por el programa de recompensas. “Lo que consideraron por alcance llevaron al mayor hack de criptografía de la historia”, dijo Hachem a CointeleGraph. Añadió:
“A menudo violamos las plataformas a través de errores que se encuentran en los activos fuera del alcance. Los piratas informáticos éticos no serían recompensados por tales hallazgos, pero los delincuentes los explotaron y robaron $ 1.5 mil millones de Bybit ”.
La recompensa de errores oficial de Bybit ofrece un máximo de $ 4,000 en su sitio web y hasta $ 10,000 en Hackerone, montos que palidecen en comparación con las posibles recompensas para los piratas informáticos maliciosos.
Hachem dijo que es mejor dar más recompensas a los piratas informáticos blancos en lugar de esperar a que ocurra un truco importante y ofrecer el 10% de los fondos robados como una recompensa de sombrero blanco. El ejecutivo dijo que esto solo “envalentona a los malos actores”.
“Motivar a los principales piratas informáticos éticos a dedicar su tiempo y atención a probar un intercambio al ofrecer recompensas más altas mejorará en gran medida su seguridad, será mucho más barato y salvaguardará su reputación”, dijo Hachem a Cointelegraph.
Relacionado: Bybit Hackers reanudan actividades de lavado de lavado, moviendo otros 62,200 ETH
Adoptar medidas de seguridad más estrictas
Junto con los mejores programas de recompensa de errores, un portavoz de CERTIK le dijo a CointeleGraph que prevenir futuros exploits como el Bybit Hack requiere adoptar medidas de seguridad más estrictas.
Un portavoz de CERTIK le dijo a CointeleGraph que los dispositivos de firma de aire recaudado, los entornos del sistema operativo no persistente para las aprobaciones de transacciones y las capas de autenticación mejoradas para las transacciones de alto valor deberían convertirse en estándares de la industria.
“Los ejercicios regulares del equipo rojo y las simulaciones de phishing también pueden ayudar a mitigar los riesgos de ingeniería social”, dijo el portavoz.
El informe de Certik reveló que la exploit de Bybit resultó de un ataque de phishing que engañó a los firmantes multisignatura para aprobar una actualización de contrato malicioso. Mientras tanto, el Hack Infini provino de una fuga de clave privada administradora, lo que permite retiros no autorizados.
Certik dijo que ambos incidentes subrayaron los riesgos de la firma de ciegas y la verificación inadecuada de la transacción. “Estos casos enfatizan la necesidad de una autenticación más fuerte, monitoreo de transacciones en tiempo real y seguridad de IU más resistente para evitar la manipulación”, agregó Certik.
https://www.youtube.com/watch?v=kynq5yofkwo
Revista: El plan de Elon Musk para dirigir el gobierno en Blockchain Face Battle
