Являясь успешным проектом цифровой валюты с открытым исходным кодом, Dash несёт ответственность за безопасность. Понимая, что идеал не достижим, очень важно продолжать усердно работать в этом направлении. Известен ряд значительных “багов”, которые уже ощутимо повлияли на инвесторов в криптомире: от “августовского бага 2010, когда произошёл взлом протокола Биткойна”, что привело к созданию 184 млрд. Биткойнов до бага в “умном контракте” в ETH, что повлекло многомиллионные потери.
Что же касается криптовалюты Dash, здесь дело обстоит так:
Одно очень полезное бюджетное предложение, финансируемое “Сокровищницей” Dash по результатам проведения децентрализованного голосования в системе, направлено на компанию Bugcrowd, которая направит своих «исследователей» на код Dash в следующем году. Эта программа финансирует большую группу белых хакеров, которая будет заниматься анализом кода Dash на предмет наличия любых багов. Вы можете посетить сайт bugcrowd и ознакомиться с процессом.
Программа Dash баг-баунти от BugCrowd
Владелец: jimbursch 3 платежа, общая сумма 990 DASH (добавлено 20 июня 2017)
Результат Голосования: 1165 — За / 132 — Против / 45 — Воздержались dash.org/forum ветка предварительного обсуждения предложения
Программа Dash баг-баунти и её текущий статус на форуме Dash.
Я взял интервью у Джима Бурша владельца предложения этого проекта.
Можете ли вы рассказать, как у вас родилась идея проекта? Вы работали над подобной программой раньше?
Как веб-разработчик, который работает с криптовалютой над своим собственным проектом Dash Messaging, я нахожусь всегда в курсе дел и даже немного параноик, когда дело касается безопасности приложений. Каждый проект в этом пространстве выигрывает, когда другие разработчики изучают код, а программа баг-баунти — отличный способ мотивировать разработчиков на нахождение ошибок в коде.
Поскольку у Dash есть этот уникальный механизм финансирования (бюджетная система), делом времени было появление хорошей программы по поиску багов. У меня не было никакого опыта работы с баунти-программами. Когда у меня появилась эта идея мне пришлось провести некоторое исследование, прежде чем я создал это предложение. Быстро я осознал, что нужно не просто объявить, что вы готовы оплатить поиск багов. Необходимо создать систему для связи с хакерами, определить масштаб действия программы, распределять отчёты, которые будут предоставлены, оценить приоритет и серьёзность бага или уязвимости и привязать платёжную систему.
Мои исследования привели меня к нескольким ведущим компаниям, которые создали платформы для запуска успешных баунти-программ, одной из них и является компания Bugcrowd.
Что нужно, чтобы выбрать исполнителя и выяснить, как превратить ожидания Dash и исполнителя в надёжный проект?
Поскольку мы имеем дело с совершенно новыми концепциями и организацией (криптовалюты и ДАО), мне нужен был гибкий и перспективный исполнитель. Я придерживался принципа, что продавец должен получать оплату в Dash, а не в традиционной валюте, такой как доллар. Dash — валюта, поэтому мы должны использовать её как валюту. Это стало немного проблематично для некоторых исполнителей, которым пришлось пересмотреть такой формат со своими бухгалтерскими и юридическими отделами. Для Bugcrowd с самого начала это не стало проблемой.
Можете ли вы вкратце объяснить, как работает этот процесс? Кто занимался поиском багов? Я видел, что у вас была хорошая поддержка Энди Фрира (Технический директор Dash) и этот факт важен.
Bugcrowd поддерживает связь с тысячами хакеров/исследователей, так как на протяжении многих лет компания запускала сотни баунти-программ. У них есть онлайн-платформа, где зарегистрированные хакеры могут отправлять отчёты об ошибках/уязвимостях, и где я, как клиент, могу ознакомиться со всем процессом. Поскольку мы запускаем полностью управляемую программу с Bugcrowd, все отчёты проверяются командой Bugcrowd с целью определения приоритета и серьёзности бага. Чтобы дать вам представление о том, что это такое, взгляните на их Классификацию оценки уязвимостей.
После того как отчёт обработан специалистом Bugcrowd и получил оценку P1-P5, я просматриваю отчёт и делаю окончательное решение о выплате. Затем я отправляю отчёт непосредственно члену команды Dash, а также добавляю его на GitHub, если информацию, приведённую в нём можно раскрывать.
Мы также производим баунти-выплаты за рамками Bugcrowd платформы. Например, мы сделали выплаты двум разработчикам, обнаружившим баг, который повлёк временное отключение функции InstantSend.
Теперь, когда программа запущена и работает, что вы видите ценного для Dash?
Программа Dash баг-баунти очень ценна и определённо стоит финансирования. Это очень полезный инструмент для мобилизации сообщества разработчиков/хакеров. Мы можем позволить себе производить щедрые выплаты за качественную работу. Когда кошелёк Dash Copay запустят, он будет включён в программу Dash баг-баунти, которая станет существенным вкладом в укрепление чувства безопасности пользователей при использовании кошелька. В наши дни всё, что способно повысить безопасность, сохранность и конфиденциальность, очень ценно.
Как вы разработали финансовую часть этого проекта?
Я никогда лично не конвертировал Dash в доллары или любые другие фиатные валюты. Если кто-то хочет вести дела со мной, это должно быть в валюте Dash. В противном случае, какой смысл в Dash? В случае с Bugcrowd я порекомендовал им, чтобы они открыли счёт на бирже Kraken, и я отправил платёж в Dash на их Kraken аккаунт. Затем они обменяли средства на доллары США и зачислили деньги на аккаунт программы Dash баг-баунти.
Это определённо серая зона, когда дело доходит до бухгалтерского учёта и налогообложения, просто потому, что всё это совершенно новое. И это понятно. Вот почему моё предложение включало 20%-ное дополнение в случае изменения курса. Цель такого шага — решить проблемы в случае их возникновения.
Лично меня это беспокоит, что другие владельцы Бюджетных предложений Dash говорят об обмене Dash и осуществлении банковских платежей для исполнителей. Наши исполнители — это те, кто стремится работать с Dash. Если они хотят получить наши деньги, они должны получать их в Dash.
Расскажите чем вы занимаетесь?
Я php/mysql разработчик, который более 10 лет работает над тем, чем теперь является Dash Messaging. Я впервые узнал о Биткойне, когда он стоил $100, и переключился на Dash, когда его цена была $50. Я живу в Лос-Анджелесе.
Как вы узнали о криптовалюте вообще и о Dash в частности?
Я узнал о Биткойне из подкаста Planet Money от NPR и выбрал его в качестве подходящей платёжной системы, которая нацелена на конфиденциальность. Я переключился на Dash, когда время подтверждения Биткойна и комиссии выросли, сделав его неудобным платёжным решением. Dash не полностью готов к серьёзным нагрузкам, но он находится на верном пути и скоро сможет стать полноценной платёжной системой.
Заключение
Джим отлично высказался в своём предложении:
Dash может и должен иметь лучшую финансируемую программу для поиска багов среди всех криптовалют. С помощью надёжной программы выявления багов Dash может справедливо соответствовать следующим утверждениям:
- Код Dash является самым безопасным, потому что мы предлагаем самые высокие награды квалифицированным разработчикам по анализу кода инфраструктуры.
- Dash является самым безопасным, поскольку хакеры (белые/серые/чёрные) мотивированы на выявление багов безопасным путём, вместо использования или продажи обнаруженных возможностей для взлома.
kmeaw
Что именно будет мотивировать исследователя сообщить о баге в программу bug bounty вместо того, чтобы воспользоваться им? Ведь в отличии от аналогичной ситуации, например, с Facebook, подавляющее большинство багов в криптовалюте будут приводить к обогащению. Вряд ли bug bounty предложит награду, сравнимую с той частью капитализации, которую можно присвоить, не обрушив стоимость монет (а высокая анонимность Dash тут только поможет злоумышленнику). Разве не приведёт ли всё это к тому, что раскрываться будут лишь малая часть ошибок (например те, что способны временно парализовать работу консенсуса), а самые интересные будут замалчиваться и использоваться «втихую»?
thatsme
Баги имеющие импакт на финансовую систему и так найдут, стоит им лишь воспользоваться.
Т.е. цепочка: нашёл баг -> решил на нём заработать, эксплуатируя -> заработал -> все знают про баг -> баг исправлен.
Тут в багбаунти цепочка другая: нашёл баг -> сообщил -> заработал -> баг исправлен -> все знают про исправленный баг.
Мотивация баунти: честный заработок в криптовалюте с поднятием собственной репутации и стоимости валюты одновременно -> игра с нулевой суммой.
Мотивация эксплуатации бага: заработок в криптовалюте с одновременным падением её курса -> игра с не нулевой суммой.
zapp Автор
Там всё несколько сложнее — и основная часть багов (пример с недавно отключенным Instant Send — показателен) не позволит получить прямой ощутимой финансовой выгоды атакующему (а других за 3,5 года существования Dash пока не случалось).