Trong lĩnh vực Tài sản tiền điện tử đang thay đổi nhanh chóng hiện nay, vấn đề an ninh luôn là một chủ đề nóng. Người sáng lập và CEO của Immunefi, Mitchell Amador, gần đây đã chia sẻ những quan điểm độc đáo của ông về vấn đề này. Ông cho rằng, trong việc đối phó với các cuộc tấn công của Hacker lớn, cơ chế khuyến khích quan trọng hơn chính mã nguồn.
Thực tế, chương trình thưởng cho lỗ hổng đã thành công trong việc ngăn chặn hàng tỷ đô la tổn thất tiềm năng. Tuy nhiên, cơ chế bảo vệ này chỉ có thể phát huy tác dụng khi phần thưởng mà hacker mũ trắng nhận được vượt quá số tiền thu được từ việc khai thác lỗ hổng. Thật tiếc, hiện tại xu hướng thị trường đang thay đổi sự cân bằng này.
Amador đã đưa ra khái niệm về tiêu chuẩn phần thưởng lỗ hổng "quy mô", tức là số tiền thưởng nên tỉ lệ thuận với rủi ro tiềm ẩn. Ví dụ, nếu một lỗ hổng có thể gây ra thiệt hại hàng chục triệu đô la, thì phần thưởng tương ứng nên đạt mức triệu đô. Cơ chế khuyến khích này có thể hướng dẫn hiệu quả các nhà nghiên cứu chọn báo cáo lỗ hổng, thay vì khai thác chúng để tham gia vào các hoạt động bất hợp pháp.
Tuy nhiên, sự cạnh tranh trên thị trường đang làm sai lệch cơ chế khuyến khích này. Một số nền tảng đã giới thiệu các kế hoạch chi phí tối thiểu, giảm số tiền thưởng xuống khoảng 50.000 đô la. Cách làm này buộc các bên dự án phải giảm số tiền thưởng, vô hình trung làm tăng rủi ro bị tấn công lớn bởi hacker. Gần đây, Cork Protocol đã gặp phải cuộc tấn công trị giá 12 triệu đô la, trong khi phần thưởng cho lỗ hổng chỉ là 100.000 đô la, thấp hơn nhiều so với mức rủi ro thực tế. Sự khuyến khích kinh tế không đối xứng này không những không thể ngăn chặn việc khai thác lỗ hổng, mà còn có thể khuyến khích hành vi này.
Phần thưởng lỗ hổng như một cơ chế phòng thủ, hiệu quả của nó phụ thuộc vào mức độ phù hợp với rủi ro tiềm ẩn. Khi một dự án có tổng giá trị khóa lên đến hàng chục triệu chỉ cung cấp phần thưởng thấp, điều này chẳng khác nào đánh bạc rằng hacker sẽ chọn lợi ích đạo đức thay vì lợi ích kinh tế. Cách làm này không phải là một chiến lược, mà là một tâm lý may rủi.
Các trường hợp thành công trong quá khứ đã chứng minh sự cần thiết của phần thưởng cao. Những phần thưởng ở mức triệu đô mà MakerDAO và Wormhole cung cấp đã thiết lập tiêu chuẩn an ninh mới cho toàn ngành.
Tuy nhiên, sự cạnh tranh về thị phần đang gây ra một số tiền lệ nguy hiểm. Một số nền tảng vì tranh giành thị trường đã quá nhấn mạnh vào chiến lược giá thấp mà bỏ qua vấn đề an toàn. Cách làm này có thể dẫn đến việc tiêu chuẩn an toàn của toàn ngành bị giảm sút, cuối cùng gây hại cho lợi ích của tất cả các bên tham gia.
Trong lĩnh vực phát triển nhanh chóng này, chúng ta cần tìm ra sự cân bằng giữa hiệu quả kinh tế và tính bảo mật. Chỉ có thiết lập cơ chế khuyến khích hợp lý mới có thể thực sự xây dựng một hệ sinh thái mã hóa an toàn và ổn định. Điều này không chỉ cần tầm nhìn xa trông rộng của các dự án mà còn cần nỗ lực chung của toàn ngành.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
5
Đăng lại
Chia sẻ
Bình luận
0/400
wagmi_eventually
· 14giờ trước
Lỗ hổng có thể kiếm tiền thì phải khai thác.
Xem bản gốcTrả lời0
GasBankrupter
· 14giờ trước
Làm mũ trắng còn không bằng kiếm tiền trực tiếp.
Xem bản gốcTrả lời0
FlashLoanPrince
· 14giờ trước
hacker mũ trắng làm việc bẩn đều là tư duy tiền nhỏ
Xem bản gốcTrả lời0
AirdropHunter
· 14giờ trước
Với phần thưởng thấp như vậy, liệu các hacker mũ trắng có bị thu hút?
Trong lĩnh vực Tài sản tiền điện tử đang thay đổi nhanh chóng hiện nay, vấn đề an ninh luôn là một chủ đề nóng. Người sáng lập và CEO của Immunefi, Mitchell Amador, gần đây đã chia sẻ những quan điểm độc đáo của ông về vấn đề này. Ông cho rằng, trong việc đối phó với các cuộc tấn công của Hacker lớn, cơ chế khuyến khích quan trọng hơn chính mã nguồn.
Thực tế, chương trình thưởng cho lỗ hổng đã thành công trong việc ngăn chặn hàng tỷ đô la tổn thất tiềm năng. Tuy nhiên, cơ chế bảo vệ này chỉ có thể phát huy tác dụng khi phần thưởng mà hacker mũ trắng nhận được vượt quá số tiền thu được từ việc khai thác lỗ hổng. Thật tiếc, hiện tại xu hướng thị trường đang thay đổi sự cân bằng này.
Amador đã đưa ra khái niệm về tiêu chuẩn phần thưởng lỗ hổng "quy mô", tức là số tiền thưởng nên tỉ lệ thuận với rủi ro tiềm ẩn. Ví dụ, nếu một lỗ hổng có thể gây ra thiệt hại hàng chục triệu đô la, thì phần thưởng tương ứng nên đạt mức triệu đô. Cơ chế khuyến khích này có thể hướng dẫn hiệu quả các nhà nghiên cứu chọn báo cáo lỗ hổng, thay vì khai thác chúng để tham gia vào các hoạt động bất hợp pháp.
Tuy nhiên, sự cạnh tranh trên thị trường đang làm sai lệch cơ chế khuyến khích này. Một số nền tảng đã giới thiệu các kế hoạch chi phí tối thiểu, giảm số tiền thưởng xuống khoảng 50.000 đô la. Cách làm này buộc các bên dự án phải giảm số tiền thưởng, vô hình trung làm tăng rủi ro bị tấn công lớn bởi hacker. Gần đây, Cork Protocol đã gặp phải cuộc tấn công trị giá 12 triệu đô la, trong khi phần thưởng cho lỗ hổng chỉ là 100.000 đô la, thấp hơn nhiều so với mức rủi ro thực tế. Sự khuyến khích kinh tế không đối xứng này không những không thể ngăn chặn việc khai thác lỗ hổng, mà còn có thể khuyến khích hành vi này.
Phần thưởng lỗ hổng như một cơ chế phòng thủ, hiệu quả của nó phụ thuộc vào mức độ phù hợp với rủi ro tiềm ẩn. Khi một dự án có tổng giá trị khóa lên đến hàng chục triệu chỉ cung cấp phần thưởng thấp, điều này chẳng khác nào đánh bạc rằng hacker sẽ chọn lợi ích đạo đức thay vì lợi ích kinh tế. Cách làm này không phải là một chiến lược, mà là một tâm lý may rủi.
Các trường hợp thành công trong quá khứ đã chứng minh sự cần thiết của phần thưởng cao. Những phần thưởng ở mức triệu đô mà MakerDAO và Wormhole cung cấp đã thiết lập tiêu chuẩn an ninh mới cho toàn ngành.
Tuy nhiên, sự cạnh tranh về thị phần đang gây ra một số tiền lệ nguy hiểm. Một số nền tảng vì tranh giành thị trường đã quá nhấn mạnh vào chiến lược giá thấp mà bỏ qua vấn đề an toàn. Cách làm này có thể dẫn đến việc tiêu chuẩn an toàn của toàn ngành bị giảm sút, cuối cùng gây hại cho lợi ích của tất cả các bên tham gia.
Trong lĩnh vực phát triển nhanh chóng này, chúng ta cần tìm ra sự cân bằng giữa hiệu quả kinh tế và tính bảo mật. Chỉ có thiết lập cơ chế khuyến khích hợp lý mới có thể thực sự xây dựng một hệ sinh thái mã hóa an toàn và ổn định. Điều này không chỉ cần tầm nhìn xa trông rộng của các dự án mà còn cần nỗ lực chung của toàn ngành.