EOS, TRON, Monero, Augur ont distribué 24 000 $ en primes de bogues cette semaine

Les startups de crypto-monnaie souvent vantent la technologie blockchain pour son immuabilité et sa sécurité accrue, mais malgré de telles affirmations, même les registres distribués sont sujets au piratage. Rien que cette semaine, EOS, TRON, Monero et Augur ont distribué 24 500 $ de bogues aux pirates informatiques qui ont découvert des anomalies dans leur logiciel.

Selon les données de HackerOne les experts en sécurité ont trouvé un total de sept vulnérabilités: trois dans TRON, deux dans EOS, et un respectivement Monero et Augur. Malheureusement, la plupart de ces rapports restent fermés au public, il est donc difficile d'évaluer la gravité des problèmes.

Voici ce que nous savons: EOS était le généreux donateur avec un total de 12 500 $ en prix, suivi de TRON de Justin Sun avec 7 000 $, et Augur avec 5 000 $. Monero a choisi de ne pas divulguer la taille de la prime.

Augur est la seule compagnie qui a choisi de rendre les détails des vulnérabilités visibles au public. Il a révélé qu'une faille dans son réseau permettait aux mineurs mal intentionnés de manipuler les obligations de déclaration de gaz et d'augmenter les frais requis pour créer de nouveaux marchés sur la plateforme.

" En créant un marché avec eux-mêmes comme fixant un prix très élevé du gaz pour leur propre bloc sans frais pour eux-mêmes, les mineurs peuvent manipuler le lien de déclaration de gaz, "le chercheur en sécurité Edmund Edgar qui a trouvé le bogue explique. "Un attaquant peut augmenter le lien de déclaration de gaz requis pour créer un marché arbitraire [and] rendre les obligations de déclaration de gaz trop élevées pour que les utilisateurs honnêtes créent des marchés."

La bonne chose est que Augur a depuis corrigé le pépin.

Augur a lancé son programme de primes d'insectes en avril, mettant de côté 50 000 $ pour les divulgations admissibles. La compagnie a depuis fait passer sa cagnotte de vulnérabilité à 200 000 $

Le rapport d'Edgar est le premier que la compagnie a jugé «très sévère», le récompensant avec 5 000 $ pour la découverte. Jusqu'à hier, l'entreprise n'avait distribué que deux primes, d'une valeur de 100 dollars chacune.

EOS, d'un autre côté, a un peu plus d'expérience pour distribuer des primes. Depuis le lancement de son programme de rapports de sécurité en mai, la société a distribué plus de 300 000 dollars de récompense pour plus de 40 divulgations.

En fait, le pirate blanc néerlandais Guido Vranken a récolté plus de 120 000 $ bugs rapportés à EOS. La partie la plus préoccupante est que, dans les semaines suivantes, les chercheurs ont continué à trouver plus de faiblesses dans le système. Ceci est en plus de série de problèmes EOS traitait

Il est intéressant de souligner que, bien que les vulnérabilités ne soient jamais de bonnes nouvelles, des programmes de primes de bogues sont mis en place pour encourager les pirates à divulguer ces bogues. d'une manière responsable – au lieu d'exploiter purement et simplement les systèmes vulnérables afin de bénéficier de leurs failles. Ceci est de plus en plus crucial dans les réseaux blockchain, où les données enregistrées sont immuables par défaut (dans la plupart des cas)

En effet, il y a des chances que des sociétés blockchain aient un code défectueux ; mais la réalité est que les hackers éthiques n'ont qu'un temps limité pour se pencher sur chacun d'entre eux, d'où l'intérêt d'inspecter les logiciels des entreprises ayant des programmes de bogue.

L'exemple de Coinbase est peut-être le plus frappant. Il y a quelque temps, une entreprise de sécurité a débloqué une prime de 10 000 $ pour déterrer un pépin dans la plate-forme qui a permis à de vous récompenser avec des quantités pratiquement infinies d'Ethereum . son propre programme de bounty bug.

Publié 06 juillet 2018 – 13:40 UTC