新聞 
幣種資訊 
關於我們 
根據 The JoongAng 的報導,於 24 日指出,資訊安全領域中最有效的防禦方式,其實並非最新的技術或高超的編碼技巧,而是設計良好的「經濟誘因」。看似平凡的「漏洞懸賞制度」(bug bounty),已在過去幾年內成功阻止數十億美元的潛在損失,這背後的關鍵是 —— 能夠促使道德駭客選擇「負責任的揭露」而非私下利用的「具吸引力的獎勵結構」。
想讓這類制度有效運作,前提是通報漏洞所得的「報酬」必須大於黑帽駭客透過該漏洞所能掠奪的收益。不過,近期一些平台為了壓低成本,逐漸將可發放的賞金上限調降,這樣的轉變不僅削弱整體安全生態,也可能讓白帽駭客被邊緣化。
在合理情況下,漏洞賞金應「與資產曝險金額成比例」。例如,若漏洞可能導致高達1,000萬美元(約新台幣3.2億元)的資金被盜,那麼對應的賞金應有至少100萬美元,才能吸引專業安全研究人員主動協助修復。評論:這樣的賞金其實可視為「平價保險」,能以極低成本換取穩定與信任。然而,實務操作卻走向相反方向,一些主打低價的安全平台將賞金限制在5萬美元以下,導致多數加密項目提供的報酬與實際風險嚴重脫節。
Cork 協議近期成為一個反面教案。該項目因核心漏洞遭駭,損失達1,200萬美元(約新台幣3.8億元),但原本預設的漏洞賞金僅10萬美元。對黑帽駭客而言,這象徵他們在理性選擇下更傾向於攻擊,而非回報。評論:當項目給出的獎勵遠低於可竊取的資金,等同於用行為設計鼓勵駭客下手。
安全專家指出,當數百億資產湧入某個協議,卻僅以數萬美元作為漏洞回報報酬時,就等於是「押注於駭客的良知與幸運」,這種體系顯然不具可持續性。反觀,像是 MakerDAO 設定高達1,000萬美元的漏洞賞金,成功傳遞出安全值得投入資源的訊號;Wormhole 的案例也證明,破壞信任容易,但唯有足夠的激勵才能換回修復的意願。
有趣的是,儘管已有眾多理想示範,現在仍有新興平台採取更保守、甚至扭曲的激勵手段。例如,透過設計獨佔條款限制研究者的活動範圍,或在研究者揭露漏洞後推遲甚至砍價發放報酬。這不僅打擊研究者信任,也促使許多白帽駭客轉往私人審計機構工作、甚至消失於地下市場。長遠來看,這將導致主流加密協議在缺乏監督下曝露於更高的安全風險中。
這類問題其實也曾出現在 Web2 時代。當時許多平台吝於發放賞金,結果許多有實力的安全研究者選擇退出公開協作計畫,最終導致關鍵系統遭多項漏洞長期潛伏。評論:若加密產業重蹈覆轍,恐怕會在資產大量遷移至鏈上的轉型期,成為一場災難。
有觀點認為,初創項目資源有限無法提供高額賞金。但安全專家則強調,與其日後承擔駭客帶來的損失與信任崩盤,不如一開始即提供合理激勵機制來得到預防。換句話說,真正的成本並非賞金金額,而是安全出事後的代價。
總結來看,加密產業亟需建立更成熟的共識與協作制度。「漏洞賞金不應被當作開支項目,而是根據風險比率設計的保險機制」這一理念,應深入產業主流意識。為此,需建立「透明且公平的回報結構」、強化平台責任,以及避免設計過於保守或不具吸引力的誘因結構。
最終,加密經濟的核心是「建立在信任之上的系統」。若希望用戶、機構與監管機構都能對這個新興世界產生信心,那麼,導入「能實際反映風險」的「合理獎勵機制」將是唯一正途。評論:這場安全防線的成敗,不靠技術,而靠是否能讓守門人有願意出手的動力。
留言 0