Bug Bounty là khái niệm tuy cũ mà mới, đặc biệt là khi đưa vào sân chơi Web3. Liên hoàn các vụ tấn công bảo mật trong năm 2022 đã làm bật lên tầm quan trọng của các chương trình săn lỗi. Trong bài viết này, Coin68 sẽ cùng độc giả đi qua khái niệm về Bug Bounty, những vấn đề tồn đọng và những thử thách mới khi nó chuyển giao vào Web3.
Một chương trình săn lỗi tiêu chuẩn trong Web3 gồm hai đối tượng chính như sau:
Theo Immunefi, mô hình hoạt động của họ sẽ gồm một vòng lặp tự bổ sung cho nhau như sau:
Lý giải cho sự chênh lệch tiền thưởng của Web2 và Web3, chính là vì các lỗ hổng trong không gian Web3 có thể dễ dàng dẫn đến việc mất tiền trực tiếp, chủ yếu là do lượng tiền được cất giữ trong các hợp đồng thông minh.
Trong năm 2022, nền tảng tổ chức bug bounty lớn nhất ngành crypto là Immunefi đã trao thưởng tổng 52 triệu USD, ghi nhận mức thưởng lớn nhất trong lịch sử Bug Bounty mảng Web3.
Đơn vị này cũng thống kê phần lớn các lỗ hổng được phát hiện nằm ở lớp smart contract (hợp đồng thông minh), tiếp theo sau đó là tầng website và ứng dụng, trong khi các giao thức blockchain thì ít khi có lỗi. Một điểm đáng lưu ý là mức độ nghiêm trọng của các lỗi cũng được chia đều, không có một mức độ nào chiếm đa số, cho thấy không có sự che giấu trong những lỗi được hacker mũ trắng báo cáo lên.
Ngoài ra, hàng trăm chương trình đã được tổ chức trên DeFi với tiền thưởng lên đến 8 chữ số. Khoảng 150 triệu USD có sẵn dành riêng cho việc trao thưởng. Theo ước tính của Immunefi về chi phí rủi ro mà lỗ hổng tìm thấy có thể gây ra, các chương trình Bug Bounty đã cứu được hơn 40 tỷ USD cho các dự án DeFi và ngành tiền mã hoá, nổi bật là các sự cố liên quan đến Polygon và Solana.
Bug Bounty là gì?
Bug Bounty (tạm dịch là tìm lỗi săn tiền thưởng) là chương trình bảo mật được tổ chức bởi các dự án, doanh nghiệp hoặc bên thứ ba nhằm thu hút cộng đồng “dò tìm” và báo cáo lỗ hổng bảo mật (bug) trong hệ thống công nghệ. Trong đó, khoản tiền thưởng (bounty) sẽ được trao cho những người tìm ra lỗi, hiểu nôm na thì tìm được lỗi càng nghiêm trọng thì tiền thưởng sẽ càng cao.Một chương trình săn lỗi tiêu chuẩn trong Web3 gồm hai đối tượng chính như sau:
- Đơn vị tổ chức: Chính dự án hoặc một bên thứ ba đứng ra tổ chức. Đây là đơn vị chịu trách nhiệm thiết kế và công bố chương trình, đồng thời trao thưởng.
- Hacker mũ trắng: Là những người tham gia săn bug, họ có thể đến từ nhiều nền tảng khác nhau từ chuyên gia an ninh mạng, quản lý kỹ thuật (SRE), tư vấn bảo mật,…
Theo Immunefi, mô hình hoạt động của họ sẽ gồm một vòng lặp tự bổ sung cho nhau như sau:
- Dự án thu hút các chuyên gia bảo mật;
- Các chuyên gia bảo mật giúp phát hiện các lỗ hổng có nguy cơ đe dọa cao;
- Điều này chứng minh cho tác động của việc trao thưởng lớn;
- Chuyên gia bảo mật được thưởng hậu hĩnh, các dự án khác sẵn sàng chi đậm cho thưởng bug bounty; và quay lại bước 1.
Những ngày “lần mò trong bóng tối”
Thời điểm này nhiều năm trước, Bug Bounty Web3 đã phải đối mặt với các vấn đề như:- Cấu trúc của chương trình săn lỗi chưa được định hình mà phải luôn tinh chỉnh và rất khó để duy trì;
- Có rất ít chương trình được tổ chức, với phần thưởng hạn chế;
- Hacker chỉ chọn tham gia chương trình treo thưởng cao;
- Luôn trong tình trạng “khát talent”.
Lý giải cho sự chênh lệch tiền thưởng của Web2 và Web3, chính là vì các lỗ hổng trong không gian Web3 có thể dễ dàng dẫn đến việc mất tiền trực tiếp, chủ yếu là do lượng tiền được cất giữ trong các hợp đồng thông minh.
Bug Bounty ở hiện tại
Trải qua nhiều thăng trầm cùng thị trường tiền mã hóa giai đoạn 2021-2022, giá trị của các chương trình “tìm lỗi săn thưởng” dần được công nhận. Được các dự án cân nhắc đầu tư và “chi đậm” hơn, các quỹ đầu tư đồng ý rót vốn vào đơn vị đứng ra tổ chức.Trong năm 2022, nền tảng tổ chức bug bounty lớn nhất ngành crypto là Immunefi đã trao thưởng tổng 52 triệu USD, ghi nhận mức thưởng lớn nhất trong lịch sử Bug Bounty mảng Web3.
Đơn vị này cũng thống kê phần lớn các lỗ hổng được phát hiện nằm ở lớp smart contract (hợp đồng thông minh), tiếp theo sau đó là tầng website và ứng dụng, trong khi các giao thức blockchain thì ít khi có lỗi. Một điểm đáng lưu ý là mức độ nghiêm trọng của các lỗi cũng được chia đều, không có một mức độ nào chiếm đa số, cho thấy không có sự che giấu trong những lỗi được hacker mũ trắng báo cáo lên.
Ngoài ra, hàng trăm chương trình đã được tổ chức trên DeFi với tiền thưởng lên đến 8 chữ số. Khoảng 150 triệu USD có sẵn dành riêng cho việc trao thưởng. Theo ước tính của Immunefi về chi phí rủi ro mà lỗ hổng tìm thấy có thể gây ra, các chương trình Bug Bounty đã cứu được hơn 40 tỷ USD cho các dự án DeFi và ngành tiền mã hoá, nổi bật là các sự cố liên quan đến Polygon và Solana.
Vấn đề khi Bug Bounty bước vào Web3
- Bug: Bug trong Web3 không giống bug trong Web2 và có nhiều điểm khác biệt. Ví dụ, ở Web2, hacker sẽ xác định lỗ hổng nằm trong phần mềm (CWE), trong khi Web3 sẽ xác định lỗ hổng trong hợp đồng thông minh (SWC);
- Phạm vi tấn công: Bề mặt tấn công vào một hệ thống công nghệ rất rộng và khó đo đạt được, trong khi mã lập trình của blockchain thì ngày càng phức tạp;
- Khát nhân tài: Hiện nguồn nhân lực làm việc trong mảng Web3 vẫn chưa dồi dào như lĩnh vực công nghẹ thông tin truyền thống. Kết hợp với độ phức tạp của blockchain, cùng sự đòi hỏi về mặt thời gian, công sức, kết quả dường như rất mông lung cho các lập trình viên muốn tìm kiếm phần thưởng bug bounty vì chưa chắc đã dò thấy lỗi, làm không nhiều người cảm thấy mặn mà với việc thử sức trong môi trường này.
- Bài toán kỹ năng: Một người tham gia am hiểu về giao thức Web3 có thể không giỏi về các giải pháp bridge và ngược lại. Tuy nhiên, cả hai lại cần thiết để một nhà nghiên cứu có thể phát hiện lỗ hổng trong quá trình giao thức và bridge hoạt động chung với nhau. Điều này cho thấy việc đào tạo lập trình, một cách toàn diện và hệ thống, sẽ cần thiết để tạo ra một nguồn nhân sự vững vàng.