Las empresas de criptomonedas a menudo descubren de la manera difícil que los hackers conocen sus sistemas de seguridad mejor que ellos. Como los hacks en el mundo de las criptomonedas pueden y a menudo resultan en el robo de cientos de millones de dólares en tokens, el destino del futuro de una empresa puede depender de sus medidas de seguridad. En un esfuerzo por cerrar las escotillas, las compañías ofrecen recompensas por detectar errores en sus sistemas de seguridad.

Estas recompensas son esencialmente competiciones en las que se anima a los hackers a intentar comprometer el software. Los hackers envían un informe de vulnerabilidad a las respectivas empresas para que puedan reparar los errores antes de que sean explotados. Como recompensa, los hackers que cumplen con su tarea reciben una recompensa. 

La mayoría de las empresas ofrecen recompensas de una forma escalonada, dependiendo del precio de la recompensa correspondiente a la gravedad del error. Las recompensas empiezan desde alrededor de $50 a $100 por correcciones de bajo nivel y normalmente tienen un tope de alrededor de $10,000 por errores críticos. En algunos casos muy puntuales, los hackers han sido premiados con más. 

Katie Moussouris, fundadora y directora ejecutiva de Luta Security, que lanzó las primeras recompensas de Microsoft y del Pentágono, explicó a Cointelegraph cómo pueden ser útiles los planes de recompensa de errores: 

"Las recompensas por errores son más útiles y eficientes como complemento de las actividades de seguridad proactivas centradas en la prevención y la temprana detección de vulnerabilidades dentro de las organizaciones. Una vez que las organizaciones han establecido buenas prácticas de seguridad, las recompensas de errores pueden ayudar a identificar los errores de seguridad que las organizaciones no han detectado. Las recompensas por errores por sí solas no son suficientes".

La mayoría de las empresas que desarrollan software tienen recompensas por errores. En el mundo de las criptomonedas, la necesidad de tales programas es igualmente importante, independientemente del tamaño de la empresa. Según un informe realizado por HackerOne, las compañías pagaron $878,000 en recompensas por errores en 2018. Guido Vranken, un investigador holandés que recibió un pago de 120.000 dólares de EOS después de descubrir 12 errores en siete días, dijo a Cointelegraph que hay mucho en juego para las empresas de criptomonedas: 

"Para una moneda digital global hay posiblemente mucho más en juego que muchos otros proyectos o sitios web. El robo de activos es el ejemplo más tangible, pero debido a la sinergia entre la publicidad y las tasas de cambio, las pérdidas netas también podrían ser el resultado de una vulnerabilidad ampliamente difundida".

Una de las recompensas más recientes proviene de la aplicación de mensajería global Telegram. Anunciada en el canal de concursos de Telegram el 24 de septiembre, la compañía está pidiendo a los desarrolladores que exploten la Blockchain de TON y presenten un informe de vulnerabilidad. 

Si los hackers pueden explotar un error en la Blockchain de TON hasta el punto de poder robar fondos de la cartera de otro usuario, Telegram pagará hasta $200,000, una suma que coincide con la recompensa que se ofrecía por el problema crítico de Augur como una de las mayores recompensas en la historia de las criptomonedas. El concurso se lleva a cabo en el contexto del lanzamiento tan esperado del token digital nativo de Telegram, Gram, que se lanzará a finales de octubre. 

EOS ocupa el primer lugar

Aunque es tentador pensar que las compañías más pequeñas y nuevas pueden ser las más activas en la provisión de recompensas por errores, Block.one, la compañía detrás de EOS, ocupó el primer lugar en 2018 en programas de recompensas con $534,500, pagando el 60% de todas las recompensas que se dieron ese año, según lo reportado en un informe del tema.

Según el perfil de EOS de HackerOne, la empresa pagará un máximo de 1.000 dólares por un informe de bajo riesgo y un máximo de 10.000 dólares por un informe crítico. El perfil también señala que el monto final siempre se decide a discreción de un panel de recompensas, y que se otorgan mayores recompensas a las vulnerabilidades excepcionales.

EOS bounty guidelinesTras el lanzamiento del programa de recompensas de EOS en mayo de 2018, Vranken explicó cómo la empresa había reforzado su enfoque de la seguridad tras sus descubrimientos: 

"Los errores reportados fueron rápidamente analizados y corregidos en su repositorio público. Al principio el proceso era muy ad hoc porque [EOS CTO] Daniel Larimer y yo estábamos enviando archivos de ida y vuelta en Telegram, pero desde entonces han empezado a ejecutar un programa de recompensas de errores en HackerOne que creo que es lo mejor para los buscadores de errores y para el equipo de EOS".

EOS ha seguido pagando recompensas a los hackers en 2019, repartiendo recompensas por cinco vulnerabilidades críticas hasta ahora. El 10 de enero, EOS otorgó un total de $40,750 a cinco hackers de “White hat” (hackers éticos) a través de HackerOne, y otro investigador recibió una recompensa adicional de $10,000. 

Coinbase es el segundo mayor gastando 

Coinbase, uno de los exchanges más grandes del mundo, es el segundo mayor gastando en recompensas, con una asignación total de 290.381 dólares en 2018. La compañía ha experimentado una serie de problemas de alto perfil desde que experimentó un aumento significativo de usuarios a mediados de 2017, lo que ha provocado retrasos o falta de fondos, así como suspensiones repentinas los servicios. 

La compañía entregó otros $30,000 en recompensas en febrero de 2019 por reportar un error crítico, según el programa de divulgación de vulnerabilidades de Coinbase. En ese momento, el detector del error obtuvo la mayor recompensa de la historia en la plataforma, aunque los detalles del error no se hicieron públicos. Coinbase opera un programa de recompensas de cuatro niveles en el cual pagará $200 por un caso de bajo riesgo, $2,000 por un problema de nivel medio y hasta $50,000 por errores críticos.

Según el perfil HackerOne de Coinbase, una explotación de impacto crítico comprende una situación en la que los atacantes "pueden leer o modificar datos sensibles en un sistema, ejecutar código arbitrario en el sistema o extraer monedas digitales o fiduciarias de alguna manera".

La compañía también presentó sus directrices para evaluar los problemas de bajo impacto: "Los atacantes pueden obtener pequeñas cantidades de información no autorizada y de baja sensibilidad que afecta a un subconjunto de usuarios, o afectar ligeramente la precisión y el rendimiento del sistema".

Con respecto a la solución de los problemas notificados, la empresa tiene un historial de lentitud adoptando las soluciones. Después de que una empresa holandesa descubriera un fallo en un contrato inteligente que permitía a los usuarios robar "todo lo que quisieran" en Ethereum (ETH), Coinbase tardó un mes en solucionarlo. Coinbase pagó una recompensa de $10,000 a la compañía que hizo el descubrimiento. 

Tron llega en tercer lugar

La Fundación Tron, que está detrás de la moneda TRX, fue el tercer mayor gastando en recompensas de errores, con un total de 78.800 dólares por 15 informes. Hasta ahora, la compañía ha pagado un total de $85,400 en recompensas, el más alto, $10,000, yendo al usuario de HackerOne “nu11pe” por un reporte no revelado. 

El programa de recompensas de la compañía pagará $100 por una vulnerabilidad de bajo riesgo, $3,000 por un riesgo medio, $6,000 por un riesgo alto y hasta $10,000 por asuntos críticos. El perfil HackerOne de Tron describe los fallos críticos como "errores que pueden tomar el control de los nodos java-tron mediante la ejecución remota de cualquier código", así como aquellos que pueden causar fugas de claves privadas. 

En mayo, la compañía reveló una vulnerabilidad crítica que podría haber derribado Blockchain. El anuncio en HackerOne afirma que un atacante podría haber consumido toda la memoria disponible a través de un ataque distribuido de denegación de servicio, o DDoS, en la red TRX mediante la implementación de código malicioso en un contrato inteligente

La compañía agregó que un individuo podía realizar el ataque DDoS utilizando una sola máquina para atacar a todo o al 51% del nodo senior, haciendo que la red quedara inutilizable. Aunque el error fue reportado el 14 de enero, sólo fue anunciado públicamente después de que ya había sido corregido. El investigador detrás de la vulnerabilidad recibió $1,500. 

Las recompensas por errores no son un sistema perfecto

Mientras que los programas de recompensas de errores crean claramente un ambiente saludable en el que las compañías recompensan a los hackers éticos en sus sistemas, el concepto no está exento de críticas. Más recientemente, la prominente figura en el mundo de las criptomonedas Dovey Wan criticó la decisión de Telegram de abrir el desarrollo de su contrato inteligente. Wan pareció criticar el evento como un ejemplo de que la empresa no reinvirtió en sus procesos de desarrollo de software, diciendo:

"Lo siento, ¿pero un proyecto recaudó más de mil millones de dólares, con más de 500 millones de usuarios y ni siquiera pueden hacer correctamente un explorador de bloques útil? Tengo que dudar de cuál es el nivel de prioridad de esta red TON dentro del equipo de Telegram y cómo usarán su mega tesoro en cosas relacionadas con las criptomonedas". 

Katie Moussouris, directora ejecutiva de Luta Security, dijo a Cointelegraph que, aunque las recompensas por errores son efectivas para señalar importantes lagunas en las estructuras de seguridad existentes, no son un sustituto para tener un proceso de seguridad dedicado en marcha: 

"Las empresas no pueden utilizar las recompensas por errores como una alternativa barata para la diligencia debida en materia de seguridad. Pedir a extraños que señalen los defectos sin tener la capacidad de corregirlos es una forma en la que el uso excesivo de las recompensas por errores puede abrumar rápidamente a las organizaciones".

Vranken resumió su opinión a Cointelegraph de que, basándose en su experiencia como investigador, una empresa de criptomonedas con un programa de recompensas de errores indica que se puede confiar en dicha empresa: 

"Prefiero confiar en un proyecto de criptomonedas que tenga un programa de recompensas que funcione correctamente que en uno que no lo haga. Esta postura está moldeada por mi experiencia como investigador y mi conciencia del hecho de que incluso el software ampliamente utilizado no está necesariamente sujeto a un escrutinio serio de su código sin un incentivo adecuado". 

Vranken añadió que es extremadamente difícil construir software sin errores, sin importar el nivel de talento o la cantidad de dinero que se proponga:

"De forma sencilla, un programa de recompensas por errores establece un canal formal para reportar errores y señala la no hostilidad hacia los investigadores al prometer apreciar su trabajo (a través de compensación financiera)".

El sistema actual de recompensas por errores se basa en la responsabilidad de los hackers, ya sea por inclinación moral o por las recompensas ofrecidas. Si bien puede parecer factible que los hackers puedan conseguir más dinero del que se anuncia en el esquema o vender detalles de la falla a los competidores, Moussouris dijo que la demanda de tal información no es tan alta como muchos perciben: 

"No hay infinitos compradores de errores esperando para comprar todos los errores- ese es un mito común. Sin embargo, en las criptomonedas, hay probablemente más compradores para los errores que en otras áreas. Dicho esto, si los cazadores de errores dan prioridad a las ganancias, muy bien pueden elegir explotar las vulnerabilidades en lugar de vender los errores que encuentran en plataformas de criptomonedas, para un beneficio más directo". 

Aunque las recompensas anunciadas tanto por las compañías de criptomonedas como las de software alrededor del mundo pueden dar la impresión de que la caza de recompensas de errores puede ofrecer una carrera lucrativa, la realidad es que la competencia es alta y el acceso no está dividido equitativamente. Moussouris explicó a Cointelegraph que los que son invitados a recompensas privadas de errores a menudo tienen una ventaja competitiva: 

"Normalmente se trata de mucho trabajo que no se compensa, especialmente si los tipos de errores que el cazador sabe encontrar son errores relativamente comunes de encontrar. Sólo la primera persona en reportar una vulnerabilidad en particular recibe un pago, por lo que los cazadores de recompensas por errores que son más exitosos tienden a ser los que son invitados a recompensas privadas de errores con menos competidores".

Para Vranken, la caza de recompensas de errores es una especie de apuesta, ya que la recompensa no siempre coincide con el tiempo invertido en un proyecto: 

"En comparación con el trabajo contractual que estipula el esfuerzo y la recompensa por adelantado, las recompensas de errores pueden ser exultantes (cuando te encuentras con un montón de errores que son recompensados profundamente) o frustrantes (pasar mucho tiempo en algo sin lograr resultados, o recibir una recompensa más baja de la que esperabas)".

Sigue leyendo: