Kako gubici od kripto hakova prelaze 1,5 milijardi dolara, stručnjaci upozoravaju da su programi nagrada za bagove nedovoljno efikasni i da berze moraju povećati nagrade kako bi privukle najbolje etičke hakere i ojačale bezbjednost.
Prema izvještaju CertiK-a od 3. marta, samo u februaru izgubljeno je 1,53 milijarde dolara, od čega je hakovanje Bybit-a izazvalo najveće štete – preko 1,4 milijarde dolara. Preostali napadi, uključujući hakovanje Infini platforme, donijeli su dodatne gubitke od 126 miliona dolara.
Eticalni haker Marwan Hachem ističe da su loše definisani programi nagrada omogućili ovakav napad. Naime, Bybit-ov provajder Safe nije nagrađivao prijave bagova na front-end i back-end stranama sistema, što je omogućilo napadačima da iskoriste bezbjednosni propust koji bi inače bio otkriven i prijavljen.
„Ono što su smatrali ‘van opsega’ dovelo je do najvećeg hakovanja u istoriji kripta“, kaže Hachem.
Trenutne nagrade za otkrivanje bagova na Bybit-u kreću se od 4.000 do 10.000 dolara, dok su potencijalni dobici za hakere daleko veći. Hachem smatra da bi berze trebalo unaprijed da ponude veće nagrade etičkim hakerima, umjesto da čekaju napad i naknadno nude 10% ukradenih sredstava kao podsticaj za povratak novca.
Pored boljih bug bounty programa, CertiK preporučuje strože bezbjednosne mjere, uključujući korišćenje offline uređaja za potpisivanje transakcija, jače autentifikacione slojeve i redovne bezbjednosne provjere.
Bybit-ov napad dogodio se nakon što su hakeri pomoću phishing napada prevarili multisig potpisnike da odobre zlonamjerno ažuriranje ugovora. Slično tome, hakovanje Infini platforme bilo je posljedica curenja privatnog ključa administratora.
Ovi slučajevi naglašavaju potrebu za boljom autentifikacijom, praćenjem transakcija u realnom vremenu i otpornijim bezbjednosnim protokolima kako bi se spriječili budući napadi.
