Поощрение поиска уязвимостей в криптовалюте Dash (с BugCrowd)

^[1]
Являясь успешным проектом цифровой валюты с открытым исходным кодом, Dash ^[2] несёт ответственность за безопасность. Понимая, что идеал не достижим, очень важно продолжать усердно работать в этом направлении. Известен ряд значительных “багов” ^[3], которые уже ощутимо повлияли на инвесторов в криптомире: от “августовского бага 2010, когда произошёл взлом протокола Биткойна”, что привело к созданию 184 млрд. Биткойнов ^[4] до бага в “умном контракте” в ETH ^[5], что повлекло многомиллионные потери.
Что же касается криптовалюты Dash, здесь дело обстоит так:

Одно очень полезное бюджетное предложение, финансируемое “Сокровищницей” Dash ^[6] по результатам проведения децентрализованного голосования в системе, направлено на компанию Bugcrowd, которая направит своих «исследователей» на код Dash в следующем году. Эта программа финансирует большую группу белых хакеров, которая будет заниматься анализом кода Dash на предмет наличия любых багов. Вы можете посетить сайт bugcrowd и ознакомиться с процессом ^[7].

Программа Dash баг-баунти от BugCrowd ^[8]
Владелец: jimbursch 3 платежа, общая сумма 990 DASH (добавлено 20 июня 2017)
Результат Голосования: 1165 — За / 132 — Против / 45 — Воздержались dash.org/forum ветка предварительного обсуждения предложения ^[9]
Программа Dash баг-баунти ^[10] и её текущий статус на форуме Dash.

Я взял интервью у Джима Бурша владельца предложения этого проекта.

Можете ли вы рассказать, как у вас родилась идея проекта? Вы работали над подобной программой раньше?

Как веб-разработчик, который работает с криптовалютой над своим собственным проектом Dash Messaging ^[11], я нахожусь всегда в курсе дел и даже немного параноик, когда дело касается безопасности приложений. Каждый проект в этом пространстве выигрывает, когда другие разработчики изучают код, а программа баг-баунти — отличный способ мотивировать разработчиков на нахождение ошибок в коде.

Поскольку у Dash есть этот уникальный механизм финансирования (бюджетная система), делом времени было появление хорошей программы по поиску багов. У меня не было никакого опыта работы с баунти-программами. Когда у меня появилась эта идея мне пришлось провести некоторое исследование, прежде чем я создал это предложение. Быстро я осознал, что нужно не просто объявить, что вы готовы оплатить поиск багов. Необходимо создать систему для связи с хакерами, определить масштаб действия программы, распределять отчёты, которые будут предоставлены, оценить приоритет и серьёзность бага или уязвимости и привязать платёжную систему.

Мои исследования привели меня к нескольким ведущим компаниям, которые создали платформы для запуска успешных баунти-программ, одной из них и является компания Bugcrowd.

Что нужно, чтобы выбрать исполнителя и выяснить, как превратить ожидания Dash и исполнителя в надёжный проект?

Поскольку мы имеем дело с совершенно новыми концепциями и организацией (криптовалюты и ДАО), мне нужен был гибкий и перспективный исполнитель. Я придерживался принципа, что продавец должен получать оплату в Dash, а не в традиционной валюте, такой как доллар. Dash — валюта, поэтому мы должны использовать её как валюту. Это стало немного проблематично для некоторых исполнителей, которым пришлось пересмотреть такой формат со своими бухгалтерскими и юридическими отделами. Для Bugcrowd с самого начала это не стало проблемой.

Можете ли вы вкратце объяснить, как работает этот процесс? Кто занимался поиском багов? Я видел, что у вас была хорошая поддержка Энди Фрира (Технический директор Dash) и этот факт важен.

Bugcrowd поддерживает связь с тысячами хакеров/исследователей, так как на протяжении многих лет компания запускала сотни баунти-программ. У них есть онлайн-платформа ^[7], где зарегистрированные хакеры могут отправлять отчёты об ошибках/уязвимостях, и где я, как клиент, могу ознакомиться со всем процессом. Поскольку мы запускаем полностью управляемую программу с Bugcrowd, все отчёты проверяются командой Bugcrowd с целью определения приоритета и серьёзности бага. Чтобы дать вам представление о том, что это такое, взгляните на их Классификацию оценки уязвимостей ^[12].

После того как отчёт обработан специалистом Bugcrowd и получил оценку P1-P5, я просматриваю отчёт и делаю окончательное решение о выплате. Затем я отправляю отчёт непосредственно члену команды Dash, а также добавляю его на GitHub, если информацию, приведённую в нём можно раскрывать.

Мы также производим баунти-выплаты за рамками Bugcrowd платформы. Например, мы сделали выплаты двум разработчикам, обнаружившим баг, который повлёк временное отключение функции InstantSend ^[13].

Теперь, когда программа запущена и работает, что вы видите ценного для Dash?

Программа Dash баг-баунти очень ценна и определённо стоит финансирования. Это очень полезный инструмент для мобилизации сообщества разработчиков/хакеров. Мы можем позволить себе производить щедрые выплаты за качественную работу. Когда кошелёк Dash Copay запустят, он будет включён в программу Dash баг-баунти, которая станет существенным вкладом в укрепление чувства безопасности пользователей при использовании кошелька. В наши дни всё, что способно повысить безопасность, сохранность и конфиденциальность, очень ценно.

Как вы разработали финансовую часть этого проекта?

Я никогда лично не конвертировал Dash в доллары или любые другие фиатные валюты. Если кто-то хочет вести дела со мной, это должно быть в валюте Dash. В противном случае, какой смысл в Dash? В случае с Bugcrowd я порекомендовал им, чтобы они открыли счёт на бирже Kraken, и я отправил платёж в Dash на их Kraken аккаунт. Затем они обменяли средства на доллары США и зачислили деньги на аккаунт программы Dash баг-баунти.

Это определённо серая зона, когда дело доходит до бухгалтерского учёта и налогообложения, просто потому, что всё это совершенно новое. И это понятно. Вот почему моё предложение включало 20%-ное дополнение в случае изменения курса. Цель такого шага — решить проблемы в случае их возникновения.

Лично меня это беспокоит, что другие владельцы Бюджетных предложений Dash говорят об обмене Dash и осуществлении банковских платежей для исполнителей. Наши исполнители — это те, кто стремится работать с Dash. Если они хотят получить наши деньги, они должны получать их в Dash.

Расскажите чем вы занимаетесь?

Я php/mysql разработчик, который более 10 лет работает над тем, чем теперь является Dash Messaging. Я впервые узнал о Биткойне, когда он стоил $100, и переключился на Dash, когда его цена была $50. Я живу в Лос-Анджелесе.

Как вы узнали о криптовалюте вообще и о Dash в частности?

Я узнал о Биткойне из подкаста Planet Money от NPR и выбрал его в качестве подходящей платёжной системы, которая нацелена на конфиденциальность. Я переключился на Dash, когда время подтверждения Биткойна и комиссии выросли, сделав его неудобным платёжным решением. Dash не полностью готов к серьёзным нагрузкам, но он находится на верном пути и скоро сможет стать полноценной платёжной системой.

Заключение

Джим отлично высказался в своём предложении:

Dash ^[2] может и должен иметь лучшую финансируемую программу для поиска багов среди всех криптовалют. С помощью надёжной программы выявления багов Dash может справедливо соответствовать следующим утверждениям:

• Код Dash является самым безопасным, потому что мы предлагаем самые высокие награды квалифицированным разработчикам по анализу кода инфраструктуры.
• Dash является самым безопасным, поскольку хакеры (белые/серые/чёрные) мотивированы на выявление багов безопасным путём, вместо использования или продажи обнаруженных возможностей для взлома.

Автор: zapp

Источник ^[1]