Bug Bounty

คำจำกัดความ

Bug bounty คือโปรแกรมสร้างแรงจูงใจอย่างเป็นทางการที่โปรเจกต์หรือองค์กรเสนอรางวัลให้แก่นักวิจัยด้านความปลอดภัยอิสระที่ค้นพบและรายงานช่องโหว่ ในบริบทของคริปโตและเทคโนโลยีบล็อกเชน (blockchain) bug bounty มักมุ่งเป้าไปที่องค์ประกอบสำคัญ เช่น smart contract, ตรรกะของโปรโตคอล และโครงสร้างพื้นฐาน ซึ่งหากถูกโจมตีสำเร็จอาจนำไปสู่การสูญเสียเงินทุนหรือการหยุดชะงักของบริการ รางวัลมักถูกปรับตามระดับความรุนแรงและผลกระทบของปัญหาที่ค้นพบ เพื่อกระตุ้นให้โฟกัสกับช่องโหว่ที่มีความเสี่ยงสูง Bug bounty เป็นส่วนเสริมให้กับแนวทางรักษาความปลอดภัยอื่น ๆ เช่น การทำ security audit โดยเปิดรับการตรวจสอบจากภายนอต่อเนื่องสำหรับ codebase ที่มีการพัฒนาอยู่ตลอดเวลา

ในฐานะแนวคิดด้านความปลอดภัย bug bounty คือการกำหนดความสัมพันธ์แบบมีโครงสร้างระหว่างโปรเจกต์กับนักวิจัยสาย white hat ที่ยอมรับและปฏิบัติตามกติกาการเปิดเผยช่องโหว่อย่างรับผิดชอบ โปรแกรมมักระบุระบบที่อยู่ในขอบเขต (in-scope) พื้นที่โจมตีที่สามารถทดสอบได้ และเงื่อนไขว่าการโจมตีแบบใดจึงจะถือว่าเป็น exploit ที่มีสิทธิ์ได้รับรางวัล นอกจากนี้ยังระบุขอบเขตทางกฎหมายและจริยธรรมอย่างชัดเจน เพื่อให้แน่ใจว่าการทดสอบจะไม่ล้ำเส้นไปสู่การกระทำที่เป็นอันตราย ในระบบนิเวศบล็อกเชน (blockchain) bug bounty มักถูกจัดทำเอกสารเผยแพร่สาธารณะ และอาจให้รางวัลเป็น native token หรือ stablecoin

บริบทและการใช้งาน

โปรแกรม bug bounty ถูกใช้อย่างแพร่หลายโดยโปรโตคอลคริปโต กระดานเทรด (exchange) และผู้ให้บริการ wallet เพื่อเป็นชั้นป้องกันเพิ่มเติมอย่างต่อเนื่องต่อความล้มเหลวด้านความปลอดภัย พวกเขาตระหนักดีว่าแม้จะผ่านการทำ security audit อย่างละเอียดแล้ว ช่องโหว่ที่ยังไม่ถูกค้นพบก็ยังอาจหลงเหลืออยู่ในระบบ smart contract ที่มีความซับซ้อนและไม่สามารถแก้ไขย้อนหลังได้ ด้วยการเสนอรางวัล โปรเจกต์ต่าง ๆ ต้องการดึงความสามารถของนักวิจัยฝีมือดีให้หันมารายงานช่องโหว่อย่างรับผิดชอบ แทนที่จะนำไปใช้โจมตีต่อสาธารณะ ซึ่งช่วยลดโอกาสที่ exploit ที่ถูกค้นพบจะถูกนำไปใช้ขโมยทรัพย์สินหรือสร้างความเสียหายต่อระบบ

ในภาพรวมของภูมิทัศน์ด้านความปลอดภัย bug bounty ถูกมองว่าเป็นกลไกเชิงรุกที่อาศัยกลไกตลาดเพื่อยกระดับความแข็งแกร่งของโค้ด มันทำงานควบคู่ไปกับการทดสอบภายใน การพิสูจน์ความถูกต้องอย่างเป็นทางการ (formal verification) และการตรวจสอบโดยบุคคลที่สาม ในฐานะส่วนหนึ่งของกลยุทธ์ป้องกันเชิงลึก (defense-in-depth) ในโลกของการเงินแบบกระจายศูนย์และแอปพลิเคชันบล็อกเชน (blockchain) มูลค่าสูงอื่น ๆ การออกแบบโปรแกรม bug bounty ที่ดีเป็นสัญญาณว่าโปรเจกต์ให้ความสำคัญกับท่าทีด้านความปลอดภัยของตนอย่างจริงจัง และพร้อมมีส่วนร่วมกับชุมชนนักวิจัยด้านความปลอดภัยอย่างสร้างสรรค์ แนวคิดนี้ได้กลายเป็นมาตรฐานที่ผู้ใช้คาดหวังสำหรับโปรโตคอลที่บริหารจัดการมูลค่าบนเชนจำนวนมาก