Bug Bounty là khái niệm khá quen thuộc đối với những ai tham gia vào thị trường crypto, đặc biệt là khi nó được đưa vào sân chơi Web3. Từ sau những vụ tấn công bảo mật trong năm 2022 thì tầm quan trọng của các chương trình săn lỗi trở nên khá nổi tiếng và thu hút được sự quan tâm của nhiều người.
Vậy, Bug Bounty là gì, tác dụng như thế nào? Cùng tìm hiểu những kiến thức cơ bản về Bug Bounty và tiềm năng mà nó mang lại cho doanh nghiệp trong bài viết sau đây của AZ9 Digital nhé.
Bug Bounty là gì?
Bug Bounty (hay tìm lỗi săn tiền thưởng) là chương trình bảo mật được các dự án, doanh nghiệp hoặc bên thứ ba tổ chức nhằm thu hút cộng đồng “tìm kiếm” và tổng hợp các lỗ hổng bảo mật (bug) trên các sản phẩm trong hệ thống công nghệ. Trong đó, những người tìm ra lỗi sẽ được trao một khoản tiền thưởng (bounty), lỗi càng nghiêm trọng phần thưởng nhận được sẽ càng cao.
Trong Web3 một chương trình săn lỗi tiêu chuẩn gồm hai đối tượng chính:
- Đơn vị tổ chức: Bên thứ ba hoặc chính dự án đứng ra tổ chức. Họ sẽ chịu trách nhiệm xây dựng và công bố thể lệ chương trình và là người trao thưởng.
- Hacker mũ trắng: Là những người đến từ nhiều nền tảng khác nhau cùng tham gia săn bug, họ có thể là quản lý kỹ thuật (SRE), chuyên gia an ninh mạng, tư vấn bảo mật,…
Bug Bounty là chương trình cầu nối giữa hai đối tượng là hacker mũ trắng (người tìm kiếm nguồn thu nhập) và dự án (đang có nhu cầu quản trị bảo mật).
Một số nền tảng được các dụ án, tổ chức tin tưởng sử dụng để thực hiện Bug Bounty Web3 có thể kể đến gồm HackenProof (thành lập 2017) và Immunefi (thành lập 2020).
Theo Immunefi, mô hình Bug Bounty sẽ mang lại nhiều lợi ích và là một vòng lặp như:
- Dự án thu hút được sự quan tâm của các chuyên gia bảo mật;
- Các chuyên gia bảo mật sẽ giúp các tổ chức, dự án phát hiện các lỗ hổng có có độ bảo mật thấp, giảm thiểu những rủi ro không đáng có;
- Bug Bounty chứng minh cho tác động của việc trao thưởng lớn;
- Chuyên gia bảo mật được trả thưởng lớn, các dự án khác sẵn sàng chi mạnh tay cho thưởng bug bounty; và quay lại bước 1.
Bug Bounty trong quá khứ
Tại thời điểm những năm về trước, Bug Bounty Web3 đã phải đối mặt với các vấn đề khó khăn như:
- Chưa định hình được cấu trúc của chương trình săn lỗi nên luôn phải sửa đổi và việc duy trì trong thời gian dài rất khó khăn;
- Có rất ít chương trình Bug Bounty được tổ chức và phần thưởng cũng bị hạn chế;
- Hacker không muốn tham gia các chương trình nhỏ mà chỉ chọn tham gia chương trình treo thưởng cao;
- Luôn trong tình trạng hiếm người tham gia.
Một điều quan trọng là, phần thưởng cho người tìm ra lỗi trong Web3 được yêu cầu rất cao. Ví dụ như Google (đại diện cho Web2) tổng chi 8,7 triệu USD cho các chương trình Bug Bounty vào năm 2021, thì nền tảng cross-chain Wormhole chỉ trong một lần chạy Bug Bounty đã trả cho hacker mũ trắng khi phát hiện lỗi cấp hệ thống là 10 triệu USD.
Số tiền thưởng khi tìm lỗi trong Web2 và Web3 có mức chênh lệch lớn như vậy là vì các lỗ hổng trong không gian Web3 có thể làm cho sự việc nghiêm trọng bởi nó có thể làm cho hệ thống mất tiền trực tiếp, vì lượng tiền được cất giữ trong các Smart Contract.
Tình hình của Bug Bounty ở hiện tại
Trải qua nhiều thăng trầm cùng thị trường tiền điện tử giai đoạn 2021-2022, giá trị của các chương trình Bug Bounty dần được mọi người công nhận. Các dự án cũng cân nhắc đầu tư và “chi thưởng mạnh tay” hơn, các quỹ đầu tư cũng tham gia rót vốn vào đơn vị đứng ra tổ chức.
Trong năm 2022, nền tảng tổ chức “tìm lỗi nhận thưởng” lớn nhất ngành tiền mã hóa là Immunefi đã trao thưởng tổng giá trị lên tới 52 triệu USD, đây là mức thưởng lớn nhất trong lịch sử chương trình Bug Bounty mảng Web3.
Immunefi cũng tổng hợp và thống kê phần lớn các lỗ hổng được phát hiện nằm ởhợp đồng thông minh, sau đó là tầng ứng dụng và website. Các lỗi được phân bổ đều, không có lỗi nào chiếm đa số.
Ngoài ra, hàng trăm chương trình Bug Bounty đã được tổ chức trên nền tảng tài chính phi tập trung với tiền thưởng lên đến 8 con số. Khoảng 150 triệu USD có sẵn dành riêng cho việc trao thưởng. Theo tính toán của Immunefi, nếu so sánh chi phí rủi ro mà các lỗ hổng được tìm thấy có thể gây ra, thì các chương trình tìm lỗi đã cứu được hơn 40 tỷ USD cho ngành tiền mã hoá và các dự án DeFi.
Những vấn đề mà Bug Bounty gặp phải khi gia nhập Web3
- Bug: Lỗi trong Web3 không giống lỗi trong Web2 và có nhiều điểm khác biệt. Ở Web3 sẽ xác định lỗ hổng trong Smart Contract (SWC) còn ở Web2, hacker sẽ xác định lỗi nằm trong phần mềm (CWE);
- Phạm vi tấn công: Blockchain là một công nghệ phức tạp, và phạm vi tấn công vào hệ thống rất khó đo đạc và rất rộng.
- Thiếu nhân tài: So với lĩnh vực công nghệ thông tin truyền thống thì nguồn nhân lực làm việc trong mảng Web3 vẫn còn rất ít. Bên cạnh đó, Blockchain lại là một công nghệ mới và phức tạp cần nhiều thời gian, công sức. Bởi vậy việc tìm người săn thưởng là vô cùng khó khăn.
- Kỹ năng là rất cần thiết: Không phải ai tham gia vào Web3 cũng giỏi về các giải pháp bridge. Tuy nhiên, kỹ năng này lai rất cần thiết để có thể phát hiện lỗ hổng.
Tiềm năng của Bug Bounty ở thị trường Web3
CEO Immunefi Mitchell Amador cho biết vào năm 2025 các chương trình tìm lỗi săn thưởng sẽ có giá trị phần thưởng trên dưới 1 tỷ USD.
Hàng trăm triệu USD reward sẽ được trả cho những người tham gia và tìm được lỗi hàng năm, từ đó hoạt động bảo mật trong không gian sẽ được đẩy lên.
Mitchell Amador dự đoán mỗi một dự lớn sẽ điều hành một chương trình Bug Bounty chuyên nghiệp của riêng họ, với mục tiêu để thu hút các hacker mũ trắng tham gia thử nghiệm và giúp dự án phòng tránh được các rủi ro tấn công bảo mật trong tương lai.
Như vậy là AZ9 Digital vừa hoàn thành xong bài viết về Bug Bounty. Hy vọng những thông tin trong bài viết sẽ cung cấp những thông tin hữu ích cho bạn đọc. Nếu bạn có kiến thức về an toàn thông tin và bảo mật hãy tham gia các chương trình Bug Bounty vừa để đóng góp cho các tổ chức, doanh nghiệm vừa kiếm được phần thưởng về cho riêng mình.