چگونه پروژه‌های بلاک چین باعث پیشروی موفقیت آمیز برنامه های باگ بانتی اخلاقی می‌شوند

دنیای رمز ارزها مثل غرب وحشی است که مزایا و معایب مخصوص به خودش را دارد. آزادی، بردباری و روشن‌فکری موجود دراین جامعه به‌خاطر فرهنگ فراخی که از ساختن چیزهای جدید و از ایده های جدید پشتیبانی می‌کند(فرهنگی که سیلیکون ولی با آن شناخته شد) از مزایای آن به حساب می‌آید. اما برای داشتن چنین جامعه ای باید هزینه آن هم پرداخت شود. دراین شرایط مرزها می‌توانند مکان جولان افراد بزهکاری شوند که از این بردباری، بی‌قانونی و کمبود نظارت سواستفاده کنند.

این شرایط برای سازندگان و توسعه دهندگان Web3 هم یک مشکل بزرگ به وجود آورده است، چرا که این گروه نیز به نوعی نیازمند راهی برای تامین امنیت پروژه های شان از تهدیدات امنیتی هستند که امکان دارد در یک چشم بهم زدن تمام تلاش هایشان را از بین ببرد.

دراین راستا صاحبان پروژه‌های هوشمند استاندارد DeFi Security Stack را اتخاذ می‌کنند، که شامل گزینه های بازرسی، بررسی خودکار و باگ بانتی است.

این مقاله به گزینه باگ بانتی در این استاندارد از زاویه دید صاحب پروژه پرداخته است، نه از دیدگاه هکر.

چگونه صاحبان پروژه‌ها با برگزاری یک برنامه باگ بانتی اخلاقی و موفق روی Immunefi، پروژه خود را ایمن نگه می‌دارند، و بدین طریق هنجارهای خوبی که باعث ایمن تر شدن کل گزینه های استاندارد DeFi می‌شوند را فراهم می‌آورند؟

برخی از صاحبان پروژه‌ها به دنبال یک راهنما برای شروع این برنامه بودند، که ما ازطریق این مقاله این راهنمایی را برایشن فراهم کردیم.

هیچ کدی در پروژه، “از اول ” بی نقص نیست

اگرچه از همان ابتدا Web3 خانه توسعه‌دهندگان حرفه ای است، اما بازهم چیزی به اسم “کد بی‌نقص” وجود ندارد. Solidity یک زبان برنامه نویسی جوان و سرزنده است، و Ethereum یک بلاک چین سرزنده. این تعداد را به تعداد پروژه‌ها و قراردهای هوشمند این فضا، با تعداد 100 الی 200 هزار آدرس جدید در روز طبق Etherscan اضافه کنید.

هریک از این قراردادهای هوشمند می‌توانند به شکل غیرقابل پیش‌بینی با یک قرارداد دیگر در تعامل باشد، که این پیوستگی پیچیده باعث می‌شود تا ارتباطات بی‌شماری بین قراردادها ایجاد شود که این خود زوایای حمله جدیدی برای افراد فرصت طلب ایجاد می‌کند. این به این معنی است که تامین امنیت مکانیسمی نیست که فقط یکبار انجام دهید و خیالتان راحت شود، بلکه یک پروژه همیشگی است که توسط توسعه دهندگان و کلاه سفیدها و جمعیت کاربران همیشه درجریان است که یا با هوشیاری شرایط را امن نگه میدارند یا دربرابر حمله مجرمان سایبری شکست می‌خورند.

اینجا متوجه اهمیت و ضرورت باگ بانتی می‌شوید. شکارچیان باگ بانتی در آخرین خط بلاگ چین در مقابل نفوذهای ویرانگر به دفاع می‌پردازند. برنامه های باگ بانتی اخیرا به حوزه بلاک چین ورود کرده‌اند، تقریبا کمی بیشتر از یکسال است که این اتفاق افتاده است و بخاطر آن دانش نحوه برگزاری برنامه های موفق و اخلاقی بانتی در این زمینه هنوز نابالغ است و جای پیشرفت زیادی دارد.

اجرای یک برنامه باگ بانتی موفق و اخلاقی

اکثرهکرهای کلاه سفید زیادی کاربر سیستم DeFi هستند و هرجاییکه پولی سرمایه گذاری کنند به امنیت آن فضا اهمیت زیادی نشان می‌دهند. در این مدتی که باگ بانتی وارد حوزه بلاک چین شده، هکرهای کلاه سفید فعال در زمینه رمزارز میلیون ها دلار پول که سرمایه کاربران بوده و همچنین پروژه‌های بسیاری را از طریق افشاهای مسئولانه به وسیله Immunefi از خطر نابودی نجات داده‌اند.

هکرهای کلاه سفید کار خود را از طریق راه های اخلاقی انجام می‌دهند، و مطمئنا Immunefi از  این قضیه که تعامل این افراد با پروژه‌ها دریک محدوده مطمئن تعیین شده صورت می‌گیرد، اطمینان حاصل می‌کند. بنابراین، چگونه پروژه‌هایی که با برنامه های باگ بانتی ادغام می‌شوند، در کنار حفظ  امنیت خودشان و کاربران به صورت اخلاقی، کار خود را هم انجام می‌دهند؟

دراین قسمت به بررسی مراحلی که صاحبان پروژه‌ها می‌توانند از آن برای تشخیص اخلاقی بودن برنامه باگ بانتی با میزان موفقیت بالا و کشف و دسترسی به آسیب‌پذیری‌های جدی و پرداخت هزینه ها ، کمک بگیرند، پرداخته ایم:

  • وب‌سایت پروژه بایستی به باگ بانتی مربوط به خودشان روی Immunefi لینک داشته باشد، تا هکرکلاه سفید از معتبر بودن باگ بانتی و محل ارائه گزارش آسیب‌پذیری ها مطلع شود. این کار همچنین باعث افزایش اعتماد بین کاربران پروژه می‌شود.
  • مادامیکه گزارش‌ باگ‌ها شروع می‌شود، در سمت پروژه بایستی یک فرآیند زنده برای بازبینی کشفیات راه اندازی شود و حداقل یک نفر باید وظیفه پاسخگویی به گزارش باگ ها را برعهده بگیرد تا حسابرسی به صورت شفاف صورت بگیرد. بهترین کار مستند کردن تمام اطلاعات و فعالیت های صورت گرفته و حصول اطمینان از پوشش بازبینی گزارش‌ها درصورت در دسترس نبودن قرارداد اصلی است.
  • حداقل یک نفر در سمت پروژه بایستی وظیفه حفظ و نگهداری فعالانه برنامه باگ بانتی را برعهده بگیرد. زمانیکه مخازن اطلاعاتی پروژه به جریان می‌افتند، این فرد باید با Immunefi برای دریافت این مخازت به عنوان دارایی ها به صورت اسکوپ در ارتباط باشد.
  • پاسخ به گزارش باگ ها باید سریع، دقیق و با ارزیابی صادقانه درمورد میزان شدت مخرب بودن باگ باشد. امکان دارد صاحب پروژه آن را کم اهمیت جلوه دهد که این رفتار غیراخلاقی است. به یاد داشته باشید، هکرهای کلاه سفید پروژه‌ و کاربران شما را از تحمل ضررهای مخرب حفظ می‌کنند. پس پاداشی که دریافت می‌کنند بایستی متناسب و مشوقانه باشد.
  • اگر صاحب یک پروژه از قبل از شرکت در برنامه باگ بانتی از وجود یک باگ در پروژه آگاه است و درصدد رفع آن برآمده ویا زحمتی به خودش برای رفع آن نداده، بایتسی قبل از برنامه باگ بانتی آن را افشا کند. درغیراینصورت، صاحب پروژه سعی خواهد کرد تا از پرداخت پاداش هکر کلاه سفید در برنامه خودداری کند، که دراینصورت اعتبار پروژه کاهش پیدا خواهد کرد.
  • مهمتر از همه، پاسخ پروژه بایستی منصفانه باشد. اگر یکی از آسیب‌پذیری های پروژه رفع شد، صاحب پروژه بایستی هزینه آن را پرداخت کند، و سعی نکند بااستفاده از الفاظی مانند خارج از قرارداد بودن این عمل و … از زیر پرداخت هزینه آن شانه خالی کند. این رفتار بسیار غیرحرفه ای است.

با یک برنامه باگ بانتی مدیریت شده، یک پروژه نه تنها می‌تواند روابط مفید متقابلی با محققان امنیتی بسازد، بلکه اعتماد کاربران را هم به خودش جلب می‌کند. این نشان می‌دهد که تیم پروژه درمورد امنیت جاری پروژه جدی است و این خود باعث بالاتر رفتن اعتبار و محبوبیت پروژه می‌شود.

بااین حال، برخی اوقات درمورد اعتبار یک آسیب‌پذیری اختلاف نظرهایی به وجود می‌آید، که دراین موارد، وقتی پروژه به گزارش باگ ایراد بگیرد و واقعی بودن آسیب پذیری را انکار کند و از پرداخت بانتی سرباز بزند، هکر کلاه سفید آزاد است تا گزارش خود را به صورت عمومی افشا کند. ما اعتقاد داریم که شفافیت بهترین سیاست است.

در راستای شفافیت، Immunefi به زودی تابولی امتیازی از پروژه‌های بلاک چین که موفق ترین و اخلاقی ترین برنامه های باگ بانتی را اجرا کرده اند را منشتر خواهد کرد.

درپرداختن به خطراتی که کارتان را تهدید می‌کند غفلت نکنید

پروتکلی که برنامه باگ بانتی خودش را جدی نمی‌گیرد، کاربران خود و همچنین سایر پروتکل ها را در معرض خطر قرار می‌دهد. از آنجاییکه فضای DeFi خیلی به هم پیچیده است، هرپروتکلی که از خودش درنقابل حملات محافظت نمی‌کند، سایر پروتکل ها را نیز با خطر حمله مواجه می‌کند.

و دراین راستا پروتکلی که به صورت غیراخلاقی کار خود را ادامه می‌دهد، خیلی زود اعتماد کاربرانش را از دست می‌دهد و حتی هکرهای کلاه سفید هم از گزارش آسیب‌پذیری های بعدی آن اجتناب می‌کنند. این بدترین اتفاقی است که می‌تواند برای هرکسی رخ دهد و هدف اصلی ما از راه اندازی برنامه باگ بانتی دقیقا برای جلوگیری از وقوع چنین اتفاقی است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *