كنظام كمبيوتر واسع النطاق ، تجاوز تعقيد النظام الحالي لـ blockchain بكثير المستوى الذي كان عليه قبل 5 سنوات ، ودرجة تشكيل البنية التحتية أصبحت أكثر دقة ، وأصبح منطق العقد الذكي لطبقة التطبيق أكثر وفرة ، و التفاعل بين العقود متكرر للغاية ، والأهم من ذلك ، أن عدد الأصول التي يديرها نظام blockchain كبير جدًا بالفعل ، لذلك كان هناك المزيد من المناقشات حول دورة الأمان في مجتمع أمان blockchain مؤخرًا (الوضع هو نفسه كما في عام 2017 ، عندما يفكر الناس في الأمان ، فإنهم لا يفكرون إلا في المطورين. يختلف الأمر كثيرًا عن كتابة العقد وإلقاءه على أصدقاء مؤسسة Ethereum لإلقاء نظرة وإجراء بعض الاختبارات الأساسية).
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-2916865ba7-dd1a6f-7649e1)
طوال دورة حياة الأمان لبرامج blockchain (من الاختبار ، ودعوة عمليات تدقيق الجهات الخارجية إلى مراقبة ما بعد الحدث ، وعمليات تدقيق التحديث) ، يشبه مجتمع bug bounty وسادة أمان لجذب القبعات البيضاء إلى blockchain من خلال نظرية اللعبة والعمل العنقودي. ستتم مراجعة كود طرف المشروع للمرة الأخيرة ، ويشعر بعض العاملين في مجال أمن العقود الأذكياء أن مكافأة الخطأ تشبه إلى حد كبير الشخص الأخير في خط الدفاع ، لكنني أعتقد أن مكافآت الأخطاء ومسابقات التدقيق لديها القدرة على تلعب دورًا أكبر في المستقبل ، حيث تعمل كنظام يعمل خلال كامل دور دورة حياة الأمان يعمل على تحسين الأمان العام للنظام.
بالطبع ، هناك أيضًا برامج مكافآت الأخطاء (Bug Bounty أو Vulnerabilty Rewards) في مجال أمان الشبكات التقليدية. أولاً ، ستقوم شركات التكنولوجيا الكبرى مثل Facebook و Google و Microsoft وغيرها بنشر برامج المكافآت لفرق الأمن الداخلية الخاصة بها و خطوط إنتاجهم الخاصة. ثانيًا ، ظهرت منصات Bug bounty التابعة لجهات خارجية التي يمثلها HackerOne و Bugcrowd منذ حوالي عام 2015. في الوقت الحالي ، تعتمد هاتان الشركتان الأمنيتان الرائدتان على توزيع عمولات المكافآت كدخل رئيسي لهما ، ويمكن أن يصل دخلهما السنوي ما يقرب من 50 مليون دولار امريكى و 20 مليون دولار على التوالى. في عالم blockchain ، تعتبر المكافأة موضوعًا أكثر إثارة للاهتمام تتم مناقشته غالبًا في دائرة الأمان. والسبب الرئيسي هو أن المصدر المفتوح لرمز blockchain يجعل تكلفة القرصنة وترقية استراتيجيات الهجوم أرخص.بالإضافة إلى ذلك ، فإن عالم التشفير بقوة يدعو إلى تجميع اقتصادات العمل والمبدع والملكية منفتحة على نماذج المساهمة التي تجعل اقتصاد القبعة البيضاء أكثر انفتاحًا أكثر قيمة.
ما هي مكافآت الأخطاء ومسابقات التدقيق؟ لماذا نحتاج إليها؟
الأمان عبارة عن لعبة ديناميكية بين المهاجم والمدافع ، تمامًا كما قال خبير أمان الكمبيوتر وعالم التشفير ، بروس شناير ، "الأمان عملية وليست منتجًا. إنها طريقة تفكير يجب أن تتم خلال عملية تطوير البرامج في كل جانب . "في عالم blockchain ، الغابة المظلمة حيث تكون جميع الرموز مفتوحة المصدر وشفافة ، يجب أن يكون لمشروع blockchain الذي يريد البقاء لفترة طويلة طلبًا دائمًا لأمن منتجاته / عقوده. جميع المنتجات المتسلسلة لديها أكثر أو سمات مالية أقل: أهم الأصول في التمويل هي الثقة ، وثقة المستخدم مرة واحدة فقط.
أين أوجه قصور ومشاكل التدقيق التقليدي؟ ما هي المزايا التي يمكن أن تعوضها مكافآت الأخطاء التي يحركها المجتمع ومسابقات التدقيق عن هذه المشكلات؟
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-da69b96858-dd1a6f-7649e1)
غالبًا ما يجد المطورون الذين يستخدمون خدمات التدقيق ما يلي:
حتى بعد شراء خدمات شركة تدقيق خارجية ، لا تزال هناك مشاكل مع الكود بعد التدقيق. على الرغم من اختلاف أسباب هذه المشاكل (فنية وغير تقنية) ، لا يبدو أنه يمكن الاعتماد عليها بشكل كامل على شركة تدقيق في النهاية ، ومع ذلك ، لا تزال جودة تدقيق الكود تعتمد على مستوى المدقق ، وغالبًا ما يفتقر العملاء إلى القدرة على تمييز "من هو الأفضل".
تعتبر منصة المكافآت ومسابقة التدقيق بمثابة "رمل" أكثر انفتاحًا ، ويمكن مراجعة رمز المشروع بواسطة القبعات البيضاء حسب الرغبة ، بغض النظر عن الخلفية (قد يكون هناك موظفين من شركات تدقيق مهنية ، وقد يكون هناك محللون أمنيون مستقلون) ، الترسانة غير محدودة ، وكل ما يتعين على العملاء فعله هو تعيين مكافأة معقولة ودفع مساهمتهم عندما تجد القبعة البيضاء مشكلة.
عادةً ما يقوم العملاء أولاً بإرسال الكود الخاص بهم الذي يحتاج إلى مراجعة بواسطة القبعة البيضاء ، وتحديد مستوى الأمان للثغرة الأمنية (عادةً ما تكون مرتبطة بالخسارة الاقتصادية المحتملة ، وكلما كانت الثغرة الأمنية التي تسبب خسارة اقتصادية أسهل ، كلما ارتفع مستوى الخطورة) وميزانية المكافأة ونطاق رمز الاختبار وحتى خطوات الاختبار.
ما هو حجم السوق؟
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-df62781d55-dd1a6f-7649e1)
عادة ما يكون نموذج الأعمال لمنصات المكافآت ومسابقات التدقيق هو سحب جزء من المكافأة التي يدفعها العملاء أو إجمالي مجموع المكافآت الذي تم إعداده كرسوم خدمة للمنصة. سيعلن العملاء (أطراف المشروع) الذين يحتاجون إلى عمليات تدقيق أمان الكود عن خططهم على منصة المكافآت وفقًا لاحتياجاتهم الخاصة (الرموز التي يجب تدقيقها ، وكيفية تحديد مدى خطورة الثغرات الأمنية ، ومقدار المكافأة التي يرغبون في دفعها) ، سيتم العثور على الثغرات الأمنية للقبعات البيضاء وفقًا لاحتياجات جانب المشروع. بمجرد العثور على الثغرات بواسطة القبعات البيضاء وتلبية احتياجات جانب المشروع ، سيتم توزيع المكافأة على القبعات البيضاء ، وستقوم منصة المكافآت برسم عمولة منه كرسم خدمة.
في مجال أمان الشبكة التقليدية لـ Web2 ، تعد منصة bugbounty أيضًا اتجاهًا جديدًا نسبيًا (ظهر بعد عام 2012) ، وأكبر منصات مكافآت الأخطاء حاليًا هي HackerOne و Bugcrowd. في عام 2022 ، ستصل الإيرادات السنوية لـ HackerOne إلى 58 مليون دولار أمريكي ، وسيصل تقييم الشركة إلى حوالي 500 مليون دولار أمريكي ، وستكون المكافأة التراكمية المدفوعة في التاريخ 230 مليون دولار أمريكي (150 مليون دولار أمريكي في 2021 و 2022). ، لديها أكثر من مليون متسلل مسجل ، وأكثر من 1000 عميل يستخدمون خدمات HackerOne كل شهر. ومن المتوقع أن يحقق منافسها ، Bugcrowd ، أكثر من 20 مليون دولار في عام 2022.
في مجال أمان Web3 ، في عام 2022 ، ستصدر جميع منصات منافسة أخطاء web3 ومراجعة الحسابات ما مجموعه 50 مليون دولار أمريكي من المكافآت للمتسللين ذوي القبعات البيضاء ، ومتوسط مستوى الشحن لهذه المنصات من حوالي 10٪ إلى 30٪ ، لذلك يقدر بشكل متحفظ حجم السوق الحالي حوالي 5 مليون دولار ~ 15 مليون دولار ، ولا يزال سوقًا ناشئًا للغاية.
شيء آخر مثير للاهتمام هو أن المزيد والمزيد من العملاء يرغبون في الاستخدام المباشر لخدمات تدقيق الكود التي يقدمها مجتمع الأمان اللامركزي.بدلاً من ذلك ، اختارت شركة تدقيق الطرف الثالث Code 4 Rena ، أكبر منصة منافسة للتدقيق اللامركزي في الوقت الحالي ، وأعدت مجموع جوائز بقيمة 1 مليون دولار أمريكي.اليوم ، يشارك سوق تدقيق الأمن التقليدي بشكل متزايد (حجم الموارد البشرية ، حجم الأدوات التقنية ، حجم السوق دينار بحريني) ، هل ستكون خدمات الأمن اللامركزية نموًا مهمًا في هذا السوق؟ (يوجد حاليًا 56 شركة تدقيق في السوق ، وقد تراوحت عائدات الشركات الرائدة في العام الماضي بين 10 ملايين و 40 مليون دولار أمريكي. أعتقد أن هناك مجالًا كبيرًا للخيال في سوق الأمان اللامركزي).
Bug Bounty Platforms مقابل منصات مسابقة التدقيق
على الرغم من أن منصة bug bounty لها تاريخ تطوير مدته عشر سنوات في web2 ، إلا أن منصة منافسة التدقيق تعد شيئًا جديدًا في web3 الأصلي. الهدف من خدمة منافسة التدقيق هو أطراف المشروع الذين هم على وشك إطلاق منتجات أو بعض الوظائف الجديدة ، واستخدام قوة المجتمع اللامركزي لمساعدتهم على إكمال خدمة التدقيق في غضون فترة زمنية محددة (أكثر من أسبوعين). من هذا المنظور ، فإن المنافسة في التدقيق لن تجلب أي تهديد للأعمال الصغيرة لشركات التدقيق التقليدية.
سأوضح أدناه الاختلافات بين النظامين الأساسيين من حيث طرق المشاركة ، وهيكل المكافآت ، وتغطية الاختبار:
طريقة المشاركة
عادةً ما تكون منصات مكافأة الأخطاء مثل Immunefi عبارة عن مشاريع مفتوحة حيث يمكن لأي شخص المشاركة في أي وقت. عادةً ما يقوم المشاركون باستكشاف الثغرات والإبلاغ عنها بشكل مستقل مقابل الحصول على مكافآت. إذا وجد شخصان نفس الضعف المتكرر ، فسيتم اتباع مبدأ من يأتي أولاً يخدم أولاً ، وأي شخص يقدم التقرير أولاً سيحصل على المكافأة أولاً.
غالبًا ما تكون منصات منافسة التدقيق التي يقودها المجتمع (مثل Code 4 rena و Sherlock) محدودة الوقت وتتنافس مع المشاركين للعثور على نقاط الضعف والإبلاغ عنها في إطار زمني معين. مقارنة بمنصة المكافآت ، سيكون هناك بعض العمل الجماعي (على سبيل المثال ، سيكون لكل مشروع مهمة واضحة من كبير مدققي الحسابات ورئيس القضاة ، وأخيرًا مراجعة وتلخيص جميع نتائج التدقيق في تقرير تدقيق للعميل ، وهذان القائدان كما تتبع مبدأ اللامركزية في الانتخابات والمسابقات المجتمعية). بالإضافة إلى ذلك ، إذا وجد اثنان من المنافسين في التدقيق ثغرات متكررة خلال الوقت المحدد ، فيمكن لكليهما الحصول على مكافآت.
هيكل المكافأة
المكافآت الفعلية الصادرة عن كلاهما ستأخذ في الاعتبار بشكل أساسي شدة الثغرة الأمنية المكتشفة.
الاختلاف الوحيد هو أن منصة منافسة تدقيق يحركها المجتمع مثل Code 4 Rena ستحصل على جزء ثابت (5٪ ~ 10٪) من مجموع الجوائز لكل مشروع مخصص لكبير مدققي الحسابات والقضاة الرئيسيين ، لأنهم يقومون بالفعل بإجراء تدقيق تقليدي مشاريع الشركة دور الشخص المسؤول.
نقطة أخرى مثيرة للاهتمام هي أن طرف المشروع على منصة bug bounty يضع أحيانًا الرموز المميزة للمشروع كمكافآت ، لكنني رأيت أيضًا أن بعض المتسللين ذوي القبعات البيضاء في المجتمع يفضلون الحصول على عملات ثابتة مثل USDC و USDT بدلاً من تقلبات الأسعار.
النطاق والتركيز
عادةً ما يكون لمشاريع منصة Bug Bounty نطاق واسع ، في حين أن المشاريع في مسابقات التدقيق عادةً ما يكون لها نطاق أكثر تركيزًا ، وتستهدف وظيفة أو جانبًا معينًا من البرنامج ، بينما تتطلب من القبعات البيضاء التركيز على إكمال العمل في فترة زمنية أقصر
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-00b6b7cb8f-dd1a6f-7649e1)
ركزت المشاريع على مسابقات التدقيق
Code 4 Rena - منصة منافسة تدقيق يقودها المجتمع تشبه الرياضات الإلكترونية
يحتوي Code 4 Rena على ثلاثة أنواع من الأحرف:
يقوم المدققون (المراقبون) بمراجعة الكود. يمكن لأي شخص من مهندس أمني محترف إلى مطور مبتدئ يحاول اكتساب المزيد من الخبرة التسجيل كمدقق للمشاركة في مسابقة التدقيق العام.
القضاة هم عادة أفضل المهندسين في مجتمع C 4. فهي تحدد شدة وفعالية وجودة نقاط الضعف وتقييم أداء التدقيق.
الرعاة هم أطراف المشروع ، مثل Opensea ، و Blur ، و ENS ، و Chainlink ، وما إلى ذلك. ويقومون بإنشاء مجموعات مكافآت لجذب المراجعين لتدقيق رمز مشاريعهم. يتوفر للرعاة أيضًا خيار استضافة مسابقات خاصة بدعوات فقط لمزيد من الخصوصية.
واحدة من أكثر النقاط إثارة للاهتمام هي الثقافة التي يبنيها Code 4 Rena: يتم تشجيع التعاون والعمل الجماعي. على عكس برامج مكافآت الأخطاء التقليدية ، يدفع Code 4 Rena جميع المدققين الذين يبلغون عن ثغرة أمنية صالحة حتى لو تم الإبلاغ عن الثغرة الأمنية بالفعل. يشجع هذا على المنافسة الصحية بين المدققين حيث يتم تحفيزهم للعثور على نقاط ضعف شديدة الخطورة ومشتركة. على هذه المنصة ، سيشكل بعض المدققين فرقًا مؤقتة لإيجاد ثغرات معًا.
نموذج العمل:
يمكن لأي مشروع الانتقال إلى Code 4 rena لبدء برنامج منافسة تدقيق وتقديم USDC أو ETH لإعداد مجموعة جوائز أساسية (عادةً ما يكون حجم مجموعة الجوائز من 40،000 إلى 100،000 دولار أمريكي) ، وسيتقاضى Code 4 rena 20٪ من الأساسي تجمع الجوائز كمنصة دخل خدمة لتنظيم المسابقات ، وتقديم المراجعات ، وفرز تقارير مخرجات المراجعة. يمكن لحزب المشروع أيضًا توفير الرموز المميزة للمشروع أعلى مجموعة الجوائز الأساسية لإعداد مجموعة جوائز إضافية ، وسيتقاضى Code 4 rena 40٪ من مجموع الجوائز الإضافي هذا.
Sherlock - تدقيق يحركه المجتمع مع تأمين عقد ذكي
على غرار Code 4 rena ، يقوم Sherlock أيضًا بأدوار مثل المدققين والجهات الراعية والقضاة. يكمن تفرد Sherlock في خدمات التأمين التي توفرها المنصة. يمكن لأي شخص الاستثمار في مجمع التأمين على منصة Sherlock ، حيث يقوم المستثمرون بإيداع USDC في مجمع التأمين ، ويمكن لعملاء الاتفاق شراء الخدمات للتحوط من مخاطر اختراق العقود الذكية. تشمل مصادر الدخل لمستثمري التأمين: الأقساط المدفوعة بموجب اتفاق مع العملاء + الفائدة المكتسبة من خلال إيداع أموال مجمعة التأمين في مجمعات DeFi الأخرى (Aave ، Compound ، إلخ) + حوافز رمز Sherlock. لكن المستثمر يتحمل مخاطر سداد السياسة مع جني الفوائد.
هناك نقطة أخرى تختلف عن Code 4 rena وهي آلية توزيع دخل خدمة التدقيق الذي توفره المنصة. بالمقارنة مع Code 4 rena ، لدى Sherlock قواعد تسمح لكبير مدققي الأمن وكبير القضاة بالحصول على مبلغ ثابت (5٪ ~ 10٪) من مجموعة المكافآت لتعويض وتحفيز كبير المدققين المتفرغين. بالإضافة إلى ذلك ، هناك أنظمة الاختيار والمنافسة لاختيار الأدوار القيادية.
كيف نبني مجتمع الهاكرز؟ ما هو أكبر مصدر قلق للقبعات البيضاء Web3؟
بعد أن نلاحظ مجتمعات أمنية لامركزية مختلفة (ImmuneFi و Hats Finance و Code 4 Rena و Sherlock وما إلى ذلك) ونتحدث مع بعض رواد الأعمال في مجال الأمن ، نعتقد أن ما تلتزم به جميع المنصات اللامركزية هو: بناء نظام أكثر صحة وكفاءة منصة التواصل والتعاون. تشبه منصة المكافآت سوقًا بين المتسللين والمشاريع. يجب أن يأخذوا في الاعتبار احتياجاتهم من منظور المتسللين (كما هو موضح في الجدول أدناه) ، وفي نفس الوقت مراعاة أفضل ما يثير القلق بشأن (جودة التدقيق) .
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-5bacd35566-dd1a6f-7649e1)
المصدر: 《Bug Hunters 'Perspecters on the Challenges and Benefits of the Bug Bounty Eco
بالإضافة إلى بعض الاحتياجات المشتركة ، رأيت أيضًا بعض الموضوعات المثيرة للاهتمام في مجتمع القبعة البيضاء Immunefi (مجتمع القبعة البيضاء الأكثر حيوية الذي رأيته).
على سبيل المثال:
تريد قبعة بيضاء تدعى Rappie الكشف عن بعض ثغرات المشروع التي اكتشفها من قبل ، وتسأل عن قواعد المجتمع التي يجب اتباعها. (1. قم بالكشف عن الأخطاء التي تم إصلاحها فقط. 2. تأكد من أن أي معلومات عامة ليس لها تأثير سلبي على البروتوكول أو مستخدميها. احتفظ بالمعلومات السرية ، على سبيل المثال: بعد إصلاح الثغرة الأمنية الخاصة بحقن SQL ، لا تفصح عن معلومات حول قاعدة بيانات كاملة 3. تأكد من أنك بحاجة إلى إرسال رسالة خاصة إلى فريق المشروع قبل إتاحتها للجمهور).
شككت قبعة بيضاء تُدعى نعوم ياكوف في تعريف مشروع المكافأة (يحدث هذا غالبًا ، لأنه عادةً ما يتم مكافأة الثغرات الأمنية الخطيرة فقط. كيف يحدد المشروع مستوى الأمان للثغرة الأمنية؟ شيء يهتم به أصحاب القبعات البيضاء بشدة ، و يسمع المجتمع عن مثل هذه النزاعات كثيرًا). في مشروع مكافأة Uniwhales ، كانت لديه شكوك حول تعريفهم لتأثير MEV باعتباره ثغرة أمنية خطيرة. في النهاية ، ناقش الجميع أن هذا النوع من الوصف لا ينطبق على جميع حالات MEV. على سبيل المثال ، بالنسبة لبعض تدفقات الطلبات السامة ، يمكن لمجمع البروتوكول أن يكون وضع استنزاف الأصول حادثة أمنية خطيرة (لذلك لا يكفي في كثير من الأحيان تحديد مجموعة من أطر عمل مستوى الأمان ، وعادة ما يكون هناك دور مماثل للمحكم في النظام الأساسي للتدخل في حالات فعلية مختلفة).
وبالنسبة لموضوع مثير للاهتمام ، "ما هي مطالبك وتوقعاتك لمنصة مكافأة مثل Immunefi؟" أعطت قبعة بيضاء تسمى ckksec إجابته: 1) مساعدة هذه القبعات البيضاء المشفرة المجهولة في كسب دخلها من العمل ، قم ببعض التوضيحات القانونية مثل إصدار الفواتير. 2) يجب ألا تحتوي المنصة على نظام تسجيل للقبعات البيضاء فحسب ، بل يجب أيضًا أن تسجل جودة المشروع لأن القبعات البيضاء غالبًا ما تحتاج إلى قضاء بعض الوقت في تمييز جودة المشروع. 3) بالنسبة للقبعات البيضاء الراغبين في فتح ملفهم الشخصي ، يمكن للمنصة إظهار سير العمل الخاص بهم.في نفس الوقت ، من الأفضل للمنصة أن تعرض بشكل أكثر شفافية معلومات تقرير تحليل الأمان التي يتلقاها طرف المشروع.
ما هي الأدوات التي يمكن أن تساعد القبعات البيضاء؟
مع إطلاق LLMs GPT ، سمعت مؤخرًا أشخاصًا يناقشون كثيرًا ما إذا كان يمكن أيضًا استبدال عمليات تدقيق الأمان بالذكاء الاصطناعي. يعتقد الممارسون الأمنيون ذوو الخبرة الذين تحدثت إليهم عمومًا أنه من الصعب استبدال الذكاء البشري بشكل مباشر باستخدام GPT. قد يتم اكتشاف بعض الثمار المنخفضة (المشكلات التي يسهل العثور عليها) بواسطة نماذج اللغة ، ولكن تلك المشكلات ذات المخاطر المتوسطة والعالية لا تزال تتطلب خبيرًا مشاركة. على سبيل المثال ، وفقًا لتعليقات خبير أمني كبير ، لتحليل بيانات مماثل وتحليل ديناميكي ، يجب دمج هذه الاختبارات الأكثر تعقيدًا بشكل مصطنع مع منطق العمل الفعلي للبروتوكول لإجراء اختبارات تحليل الأمان مسبقًا وتحديد الهدف المتوقع سمات الاختبار مقدمًا ، وأصعب جزء هو كتابة خصائص جيدة وتحديد حقل الاختبار الصحيح. وفقًا لتجاربهم على GPT ، فإنهم يعتقدون أن GPT لا يمكن أن تحل محل البشر تمامًا في هذه المرحلة.
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-e7c6020bc1-dd1a6f-7649e1)
بالطبع ، هناك حاليًا نتائج أكثر تفاؤلاً تُظهر أن LLM يمكن أن تحسن بشكل كبير من كفاءة تحليل أدوات تحليل الأمان وتقليل المعدل الإيجابي الخاطئ.
دعنا نفكر في هذا الموضوع من منظور آخر غير تقني مثير للاهتمام.إنها لعبة ديناميكية بين مهاجمي الأمن والمدافعين.الارتفاع السحري أعلى قدمًا من الأخرى. هل سيجلب الذكاء الاصطناعي أمانًا نسبيًا لمهاجمي الأمن؟ يساعد؟
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-8dfe608f2f-dd1a6f-7649e1)
السلامة موجهة للأشخاص
سيعتقد الناس عادة أن البرنامج شيء بارد وميكانيكي ومنطقي ، وتحسين أمان النظام يحتاج فقط إلى تحسين مستوى تكنولوجيا التحليل والدفاع عن النظام. ومع ذلك ، يفتقر الناس إلى التفكير في القضايا الأمنية من منظور الحوافز الاقتصادية والطبيعة البشرية. في الغابة المظلمة للشفرة مفتوحة المصدر ، نحتاج إلى نظام توزيع يتماشى بشكل أكبر مع افتراضات الأشخاص العقلانيين. الحوافز الاقتصادية الإيجابية والحميدة جذب المزيد من الأشخاص المستعدين للاستثمار في blockchain لفترة طويلة. ينضم الأشخاص الذين يساهمون بالحكمة في أمان النظام.
هيكل سوق تدقيق الأمان التقليدي الحالي مستقر ، وسمعة العلامة التجارية هي أهم الأصول غير الملموسة للشركات في هذا المجال. بمرور الوقت ، ازداد تأثير العلامات التجارية الأمنية العليا وثقة العملاء بشكل مطرد ، ولكن عمليات تدقيق الأمان التقليدية لها أيضًا المشاكل الخاصة (يعتمد نموذج العمل فقط على القوى العاملة ومن الصعب أن ينمو على نطاق واسع ، وتحتاج الشركات الرائدة إلى تحقيق التوازن بين النمو وجودة التدقيق. وقد واجهت بعض الشركات مثل هذا الاختناق بل أثرت على قيمة العلامة التجارية).
تعد مسابقة تدقيق الأمان التي يحركها المجتمع نموذجًا تجاريًا مبتكرًا. في الوقت الحالي ، وجد أكثر من 300 عميل للمنصتين تدريجيًا PMF ، وتعد منصة المكافآت مكملاً جيدًا لدورة الحياة الأمنية. على الرغم من أن هذه المنصات اللامركزية لا تزال كذلك لم نعثر على نموذج رمزي فعال بشكل خاص ، لكننا متفائلون جدًا بشأن النمو واسع النطاق لهذا السوق في المستقبل (لأن حكمة الجمهور مناسبة جدًا لسيناريوهات الألعاب الهجومية والدفاعية في سوق الأمان).
هل ستشكل منصات التدقيق التي يقودها المجتمع تهديدًا لشركات التدقيق المركزية؟ نعتقد أنه سيكون لديهم منافسة متبادلة صحية وعلاقة تكميلية. على المدى القصير ، عندما تشكل منصة مثل Code 4 rena تأثيرًا معينًا للشبكة ولديها سجل إنجازات جيد (نسبة المشاريع التي تم تدقيقها التي يتم اختراقها منخفضة) ، فقد يكون ذلك في الواقع ، سيؤدي إعطاء بعض الشركات المركزية في الوسط والذيل إلى ضغوط تنافسية معينة ، ولكن على المدى الطويل ، قد يؤدي ذلك أيضًا إلى إجبار منصة التدقيق المركزية على تكوين بعض التعاون التجاري مع النظام الأساسي الذي يحركه المجتمع ، لأن هذا يمكن أن يوسع أيضًا قاعدة العملاء النظام الأساسي لتدقيق الأمان المركزي وتحسين جودة التدقيق (يشبه إلى حد ما مشروع المكافأة الأمنية الأصلي الذي يتم تشغيله بشكل مستقل من قبل شركة ويب 2 كبيرة ، ثم شكل لاحقًا منطق تعاون مع منصات تابعة لجهات خارجية مثل HackerOne).
على الرغم من أن اتجاه النظام الأساسي الأمني الذي يحركه المجتمع هو أن يكون أكثر توجهاً نحو DAO (يمكن تضمين Forta بالفعل في هذه الفئة) ، في التشغيل الفعلي للمشروع الحالي ، لا تزال هناك مشكلات مثل: كيفية جعل سير العمل و عملية التوزيع الاقتصادي أكثر شفافية وانفتاحًا ، وكيفية الموازنة بين اعتبارات الخصوصية والأمان لجانب المشروع ، وكيفية تحديد العلاقة بين العمل الجماعي والمساهمة الشخصية بشكل أوضح ، وكيفية حل المشكلات بطريقة عادلة ومهنية نسبيًا عند ظهور تضارب في المصالح ، إلخ. حق التحدي.
مرجع:
《كتاب هاكر سنة واحدة》
《Bounty Everything - Hackers and the Making of Global Bug Marketplace
《دراسة تجريبية لبرامج مكافآت الضعف》
《تقرير القرصنة لعام 2022》
《الإنتاجية وأنماط النشاط في برامج مكافآت الأخطاء》
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures: تفسير شامل للمكافآت المدفوعة من المجتمع وسوق التدقيق
المؤلف الأصلي: Ray، IOSG Ventures
مقدمة
كنظام كمبيوتر واسع النطاق ، تجاوز تعقيد النظام الحالي لـ blockchain بكثير المستوى الذي كان عليه قبل 5 سنوات ، ودرجة تشكيل البنية التحتية أصبحت أكثر دقة ، وأصبح منطق العقد الذكي لطبقة التطبيق أكثر وفرة ، و التفاعل بين العقود متكرر للغاية ، والأهم من ذلك ، أن عدد الأصول التي يديرها نظام blockchain كبير جدًا بالفعل ، لذلك كان هناك المزيد من المناقشات حول دورة الأمان في مجتمع أمان blockchain مؤخرًا (الوضع هو نفسه كما في عام 2017 ، عندما يفكر الناس في الأمان ، فإنهم لا يفكرون إلا في المطورين. يختلف الأمر كثيرًا عن كتابة العقد وإلقاءه على أصدقاء مؤسسة Ethereum لإلقاء نظرة وإجراء بعض الاختبارات الأساسية).
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-2916865ba7-dd1a6f-7649e1)
طوال دورة حياة الأمان لبرامج blockchain (من الاختبار ، ودعوة عمليات تدقيق الجهات الخارجية إلى مراقبة ما بعد الحدث ، وعمليات تدقيق التحديث) ، يشبه مجتمع bug bounty وسادة أمان لجذب القبعات البيضاء إلى blockchain من خلال نظرية اللعبة والعمل العنقودي. ستتم مراجعة كود طرف المشروع للمرة الأخيرة ، ويشعر بعض العاملين في مجال أمن العقود الأذكياء أن مكافأة الخطأ تشبه إلى حد كبير الشخص الأخير في خط الدفاع ، لكنني أعتقد أن مكافآت الأخطاء ومسابقات التدقيق لديها القدرة على تلعب دورًا أكبر في المستقبل ، حيث تعمل كنظام يعمل خلال كامل دور دورة حياة الأمان يعمل على تحسين الأمان العام للنظام.
بالطبع ، هناك أيضًا برامج مكافآت الأخطاء (Bug Bounty أو Vulnerabilty Rewards) في مجال أمان الشبكات التقليدية. أولاً ، ستقوم شركات التكنولوجيا الكبرى مثل Facebook و Google و Microsoft وغيرها بنشر برامج المكافآت لفرق الأمن الداخلية الخاصة بها و خطوط إنتاجهم الخاصة. ثانيًا ، ظهرت منصات Bug bounty التابعة لجهات خارجية التي يمثلها HackerOne و Bugcrowd منذ حوالي عام 2015. في الوقت الحالي ، تعتمد هاتان الشركتان الأمنيتان الرائدتان على توزيع عمولات المكافآت كدخل رئيسي لهما ، ويمكن أن يصل دخلهما السنوي ما يقرب من 50 مليون دولار امريكى و 20 مليون دولار على التوالى. في عالم blockchain ، تعتبر المكافأة موضوعًا أكثر إثارة للاهتمام تتم مناقشته غالبًا في دائرة الأمان. والسبب الرئيسي هو أن المصدر المفتوح لرمز blockchain يجعل تكلفة القرصنة وترقية استراتيجيات الهجوم أرخص.بالإضافة إلى ذلك ، فإن عالم التشفير بقوة يدعو إلى تجميع اقتصادات العمل والمبدع والملكية منفتحة على نماذج المساهمة التي تجعل اقتصاد القبعة البيضاء أكثر انفتاحًا أكثر قيمة.
ما هي مكافآت الأخطاء ومسابقات التدقيق؟ لماذا نحتاج إليها؟
الأمان عبارة عن لعبة ديناميكية بين المهاجم والمدافع ، تمامًا كما قال خبير أمان الكمبيوتر وعالم التشفير ، بروس شناير ، "الأمان عملية وليست منتجًا. إنها طريقة تفكير يجب أن تتم خلال عملية تطوير البرامج في كل جانب . "في عالم blockchain ، الغابة المظلمة حيث تكون جميع الرموز مفتوحة المصدر وشفافة ، يجب أن يكون لمشروع blockchain الذي يريد البقاء لفترة طويلة طلبًا دائمًا لأمن منتجاته / عقوده. جميع المنتجات المتسلسلة لديها أكثر أو سمات مالية أقل: أهم الأصول في التمويل هي الثقة ، وثقة المستخدم مرة واحدة فقط.
أين أوجه قصور ومشاكل التدقيق التقليدي؟ ما هي المزايا التي يمكن أن تعوضها مكافآت الأخطاء التي يحركها المجتمع ومسابقات التدقيق عن هذه المشكلات؟
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-da69b96858-dd1a6f-7649e1)
غالبًا ما يجد المطورون الذين يستخدمون خدمات التدقيق ما يلي:
ما هو حجم السوق؟
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-df62781d55-dd1a6f-7649e1)
عادة ما يكون نموذج الأعمال لمنصات المكافآت ومسابقات التدقيق هو سحب جزء من المكافأة التي يدفعها العملاء أو إجمالي مجموع المكافآت الذي تم إعداده كرسوم خدمة للمنصة. سيعلن العملاء (أطراف المشروع) الذين يحتاجون إلى عمليات تدقيق أمان الكود عن خططهم على منصة المكافآت وفقًا لاحتياجاتهم الخاصة (الرموز التي يجب تدقيقها ، وكيفية تحديد مدى خطورة الثغرات الأمنية ، ومقدار المكافأة التي يرغبون في دفعها) ، سيتم العثور على الثغرات الأمنية للقبعات البيضاء وفقًا لاحتياجات جانب المشروع. بمجرد العثور على الثغرات بواسطة القبعات البيضاء وتلبية احتياجات جانب المشروع ، سيتم توزيع المكافأة على القبعات البيضاء ، وستقوم منصة المكافآت برسم عمولة منه كرسم خدمة.
في مجال أمان الشبكة التقليدية لـ Web2 ، تعد منصة bugbounty أيضًا اتجاهًا جديدًا نسبيًا (ظهر بعد عام 2012) ، وأكبر منصات مكافآت الأخطاء حاليًا هي HackerOne و Bugcrowd. في عام 2022 ، ستصل الإيرادات السنوية لـ HackerOne إلى 58 مليون دولار أمريكي ، وسيصل تقييم الشركة إلى حوالي 500 مليون دولار أمريكي ، وستكون المكافأة التراكمية المدفوعة في التاريخ 230 مليون دولار أمريكي (150 مليون دولار أمريكي في 2021 و 2022). ، لديها أكثر من مليون متسلل مسجل ، وأكثر من 1000 عميل يستخدمون خدمات HackerOne كل شهر. ومن المتوقع أن يحقق منافسها ، Bugcrowd ، أكثر من 20 مليون دولار في عام 2022.
في مجال أمان Web3 ، في عام 2022 ، ستصدر جميع منصات منافسة أخطاء web3 ومراجعة الحسابات ما مجموعه 50 مليون دولار أمريكي من المكافآت للمتسللين ذوي القبعات البيضاء ، ومتوسط مستوى الشحن لهذه المنصات من حوالي 10٪ إلى 30٪ ، لذلك يقدر بشكل متحفظ حجم السوق الحالي حوالي 5 مليون دولار ~ 15 مليون دولار ، ولا يزال سوقًا ناشئًا للغاية.
شيء آخر مثير للاهتمام هو أن المزيد والمزيد من العملاء يرغبون في الاستخدام المباشر لخدمات تدقيق الكود التي يقدمها مجتمع الأمان اللامركزي.بدلاً من ذلك ، اختارت شركة تدقيق الطرف الثالث Code 4 Rena ، أكبر منصة منافسة للتدقيق اللامركزي في الوقت الحالي ، وأعدت مجموع جوائز بقيمة 1 مليون دولار أمريكي.اليوم ، يشارك سوق تدقيق الأمن التقليدي بشكل متزايد (حجم الموارد البشرية ، حجم الأدوات التقنية ، حجم السوق دينار بحريني) ، هل ستكون خدمات الأمن اللامركزية نموًا مهمًا في هذا السوق؟ (يوجد حاليًا 56 شركة تدقيق في السوق ، وقد تراوحت عائدات الشركات الرائدة في العام الماضي بين 10 ملايين و 40 مليون دولار أمريكي. أعتقد أن هناك مجالًا كبيرًا للخيال في سوق الأمان اللامركزي).
Bug Bounty Platforms مقابل منصات مسابقة التدقيق
على الرغم من أن منصة bug bounty لها تاريخ تطوير مدته عشر سنوات في web2 ، إلا أن منصة منافسة التدقيق تعد شيئًا جديدًا في web3 الأصلي. الهدف من خدمة منافسة التدقيق هو أطراف المشروع الذين هم على وشك إطلاق منتجات أو بعض الوظائف الجديدة ، واستخدام قوة المجتمع اللامركزي لمساعدتهم على إكمال خدمة التدقيق في غضون فترة زمنية محددة (أكثر من أسبوعين). من هذا المنظور ، فإن المنافسة في التدقيق لن تجلب أي تهديد للأعمال الصغيرة لشركات التدقيق التقليدية.
سأوضح أدناه الاختلافات بين النظامين الأساسيين من حيث طرق المشاركة ، وهيكل المكافآت ، وتغطية الاختبار:
طريقة المشاركة
عادةً ما تكون منصات مكافأة الأخطاء مثل Immunefi عبارة عن مشاريع مفتوحة حيث يمكن لأي شخص المشاركة في أي وقت. عادةً ما يقوم المشاركون باستكشاف الثغرات والإبلاغ عنها بشكل مستقل مقابل الحصول على مكافآت. إذا وجد شخصان نفس الضعف المتكرر ، فسيتم اتباع مبدأ من يأتي أولاً يخدم أولاً ، وأي شخص يقدم التقرير أولاً سيحصل على المكافأة أولاً.
غالبًا ما تكون منصات منافسة التدقيق التي يقودها المجتمع (مثل Code 4 rena و Sherlock) محدودة الوقت وتتنافس مع المشاركين للعثور على نقاط الضعف والإبلاغ عنها في إطار زمني معين. مقارنة بمنصة المكافآت ، سيكون هناك بعض العمل الجماعي (على سبيل المثال ، سيكون لكل مشروع مهمة واضحة من كبير مدققي الحسابات ورئيس القضاة ، وأخيرًا مراجعة وتلخيص جميع نتائج التدقيق في تقرير تدقيق للعميل ، وهذان القائدان كما تتبع مبدأ اللامركزية في الانتخابات والمسابقات المجتمعية). بالإضافة إلى ذلك ، إذا وجد اثنان من المنافسين في التدقيق ثغرات متكررة خلال الوقت المحدد ، فيمكن لكليهما الحصول على مكافآت.
هيكل المكافأة
المكافآت الفعلية الصادرة عن كلاهما ستأخذ في الاعتبار بشكل أساسي شدة الثغرة الأمنية المكتشفة.
الاختلاف الوحيد هو أن منصة منافسة تدقيق يحركها المجتمع مثل Code 4 Rena ستحصل على جزء ثابت (5٪ ~ 10٪) من مجموع الجوائز لكل مشروع مخصص لكبير مدققي الحسابات والقضاة الرئيسيين ، لأنهم يقومون بالفعل بإجراء تدقيق تقليدي مشاريع الشركة دور الشخص المسؤول.
نقطة أخرى مثيرة للاهتمام هي أن طرف المشروع على منصة bug bounty يضع أحيانًا الرموز المميزة للمشروع كمكافآت ، لكنني رأيت أيضًا أن بعض المتسللين ذوي القبعات البيضاء في المجتمع يفضلون الحصول على عملات ثابتة مثل USDC و USDT بدلاً من تقلبات الأسعار.
النطاق والتركيز
عادةً ما يكون لمشاريع منصة Bug Bounty نطاق واسع ، في حين أن المشاريع في مسابقات التدقيق عادةً ما يكون لها نطاق أكثر تركيزًا ، وتستهدف وظيفة أو جانبًا معينًا من البرنامج ، بينما تتطلب من القبعات البيضاء التركيز على إكمال العمل في فترة زمنية أقصر
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-00b6b7cb8f-dd1a6f-7649e1)
ركزت المشاريع على مسابقات التدقيق
Code 4 Rena - منصة منافسة تدقيق يقودها المجتمع تشبه الرياضات الإلكترونية
يحتوي Code 4 Rena على ثلاثة أنواع من الأحرف:
يقوم المدققون (المراقبون) بمراجعة الكود. يمكن لأي شخص من مهندس أمني محترف إلى مطور مبتدئ يحاول اكتساب المزيد من الخبرة التسجيل كمدقق للمشاركة في مسابقة التدقيق العام.
القضاة هم عادة أفضل المهندسين في مجتمع C 4. فهي تحدد شدة وفعالية وجودة نقاط الضعف وتقييم أداء التدقيق.
الرعاة هم أطراف المشروع ، مثل Opensea ، و Blur ، و ENS ، و Chainlink ، وما إلى ذلك. ويقومون بإنشاء مجموعات مكافآت لجذب المراجعين لتدقيق رمز مشاريعهم. يتوفر للرعاة أيضًا خيار استضافة مسابقات خاصة بدعوات فقط لمزيد من الخصوصية.
واحدة من أكثر النقاط إثارة للاهتمام هي الثقافة التي يبنيها Code 4 Rena: يتم تشجيع التعاون والعمل الجماعي. على عكس برامج مكافآت الأخطاء التقليدية ، يدفع Code 4 Rena جميع المدققين الذين يبلغون عن ثغرة أمنية صالحة حتى لو تم الإبلاغ عن الثغرة الأمنية بالفعل. يشجع هذا على المنافسة الصحية بين المدققين حيث يتم تحفيزهم للعثور على نقاط ضعف شديدة الخطورة ومشتركة. على هذه المنصة ، سيشكل بعض المدققين فرقًا مؤقتة لإيجاد ثغرات معًا.
نموذج العمل:
يمكن لأي مشروع الانتقال إلى Code 4 rena لبدء برنامج منافسة تدقيق وتقديم USDC أو ETH لإعداد مجموعة جوائز أساسية (عادةً ما يكون حجم مجموعة الجوائز من 40،000 إلى 100،000 دولار أمريكي) ، وسيتقاضى Code 4 rena 20٪ من الأساسي تجمع الجوائز كمنصة دخل خدمة لتنظيم المسابقات ، وتقديم المراجعات ، وفرز تقارير مخرجات المراجعة. يمكن لحزب المشروع أيضًا توفير الرموز المميزة للمشروع أعلى مجموعة الجوائز الأساسية لإعداد مجموعة جوائز إضافية ، وسيتقاضى Code 4 rena 40٪ من مجموع الجوائز الإضافي هذا.
Sherlock - تدقيق يحركه المجتمع مع تأمين عقد ذكي
على غرار Code 4 rena ، يقوم Sherlock أيضًا بأدوار مثل المدققين والجهات الراعية والقضاة. يكمن تفرد Sherlock في خدمات التأمين التي توفرها المنصة. يمكن لأي شخص الاستثمار في مجمع التأمين على منصة Sherlock ، حيث يقوم المستثمرون بإيداع USDC في مجمع التأمين ، ويمكن لعملاء الاتفاق شراء الخدمات للتحوط من مخاطر اختراق العقود الذكية. تشمل مصادر الدخل لمستثمري التأمين: الأقساط المدفوعة بموجب اتفاق مع العملاء + الفائدة المكتسبة من خلال إيداع أموال مجمعة التأمين في مجمعات DeFi الأخرى (Aave ، Compound ، إلخ) + حوافز رمز Sherlock. لكن المستثمر يتحمل مخاطر سداد السياسة مع جني الفوائد.
هناك نقطة أخرى تختلف عن Code 4 rena وهي آلية توزيع دخل خدمة التدقيق الذي توفره المنصة. بالمقارنة مع Code 4 rena ، لدى Sherlock قواعد تسمح لكبير مدققي الأمن وكبير القضاة بالحصول على مبلغ ثابت (5٪ ~ 10٪) من مجموعة المكافآت لتعويض وتحفيز كبير المدققين المتفرغين. بالإضافة إلى ذلك ، هناك أنظمة الاختيار والمنافسة لاختيار الأدوار القيادية.
كيف نبني مجتمع الهاكرز؟ ما هو أكبر مصدر قلق للقبعات البيضاء Web3؟
بعد أن نلاحظ مجتمعات أمنية لامركزية مختلفة (ImmuneFi و Hats Finance و Code 4 Rena و Sherlock وما إلى ذلك) ونتحدث مع بعض رواد الأعمال في مجال الأمن ، نعتقد أن ما تلتزم به جميع المنصات اللامركزية هو: بناء نظام أكثر صحة وكفاءة منصة التواصل والتعاون. تشبه منصة المكافآت سوقًا بين المتسللين والمشاريع. يجب أن يأخذوا في الاعتبار احتياجاتهم من منظور المتسللين (كما هو موضح في الجدول أدناه) ، وفي نفس الوقت مراعاة أفضل ما يثير القلق بشأن (جودة التدقيق) .
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-5bacd35566-dd1a6f-7649e1)
المصدر: 《Bug Hunters 'Perspecters on the Challenges and Benefits of the Bug Bounty Eco
بالإضافة إلى بعض الاحتياجات المشتركة ، رأيت أيضًا بعض الموضوعات المثيرة للاهتمام في مجتمع القبعة البيضاء Immunefi (مجتمع القبعة البيضاء الأكثر حيوية الذي رأيته).
على سبيل المثال:
تريد قبعة بيضاء تدعى Rappie الكشف عن بعض ثغرات المشروع التي اكتشفها من قبل ، وتسأل عن قواعد المجتمع التي يجب اتباعها. (1. قم بالكشف عن الأخطاء التي تم إصلاحها فقط. 2. تأكد من أن أي معلومات عامة ليس لها تأثير سلبي على البروتوكول أو مستخدميها. احتفظ بالمعلومات السرية ، على سبيل المثال: بعد إصلاح الثغرة الأمنية الخاصة بحقن SQL ، لا تفصح عن معلومات حول قاعدة بيانات كاملة 3. تأكد من أنك بحاجة إلى إرسال رسالة خاصة إلى فريق المشروع قبل إتاحتها للجمهور).
شككت قبعة بيضاء تُدعى نعوم ياكوف في تعريف مشروع المكافأة (يحدث هذا غالبًا ، لأنه عادةً ما يتم مكافأة الثغرات الأمنية الخطيرة فقط. كيف يحدد المشروع مستوى الأمان للثغرة الأمنية؟ شيء يهتم به أصحاب القبعات البيضاء بشدة ، و يسمع المجتمع عن مثل هذه النزاعات كثيرًا). في مشروع مكافأة Uniwhales ، كانت لديه شكوك حول تعريفهم لتأثير MEV باعتباره ثغرة أمنية خطيرة. في النهاية ، ناقش الجميع أن هذا النوع من الوصف لا ينطبق على جميع حالات MEV. على سبيل المثال ، بالنسبة لبعض تدفقات الطلبات السامة ، يمكن لمجمع البروتوكول أن يكون وضع استنزاف الأصول حادثة أمنية خطيرة (لذلك لا يكفي في كثير من الأحيان تحديد مجموعة من أطر عمل مستوى الأمان ، وعادة ما يكون هناك دور مماثل للمحكم في النظام الأساسي للتدخل في حالات فعلية مختلفة).
وبالنسبة لموضوع مثير للاهتمام ، "ما هي مطالبك وتوقعاتك لمنصة مكافأة مثل Immunefi؟" أعطت قبعة بيضاء تسمى ckksec إجابته: 1) مساعدة هذه القبعات البيضاء المشفرة المجهولة في كسب دخلها من العمل ، قم ببعض التوضيحات القانونية مثل إصدار الفواتير. 2) يجب ألا تحتوي المنصة على نظام تسجيل للقبعات البيضاء فحسب ، بل يجب أيضًا أن تسجل جودة المشروع لأن القبعات البيضاء غالبًا ما تحتاج إلى قضاء بعض الوقت في تمييز جودة المشروع. 3) بالنسبة للقبعات البيضاء الراغبين في فتح ملفهم الشخصي ، يمكن للمنصة إظهار سير العمل الخاص بهم.في نفس الوقت ، من الأفضل للمنصة أن تعرض بشكل أكثر شفافية معلومات تقرير تحليل الأمان التي يتلقاها طرف المشروع.
ما هي الأدوات التي يمكن أن تساعد القبعات البيضاء؟
مع إطلاق LLMs GPT ، سمعت مؤخرًا أشخاصًا يناقشون كثيرًا ما إذا كان يمكن أيضًا استبدال عمليات تدقيق الأمان بالذكاء الاصطناعي. يعتقد الممارسون الأمنيون ذوو الخبرة الذين تحدثت إليهم عمومًا أنه من الصعب استبدال الذكاء البشري بشكل مباشر باستخدام GPT. قد يتم اكتشاف بعض الثمار المنخفضة (المشكلات التي يسهل العثور عليها) بواسطة نماذج اللغة ، ولكن تلك المشكلات ذات المخاطر المتوسطة والعالية لا تزال تتطلب خبيرًا مشاركة. على سبيل المثال ، وفقًا لتعليقات خبير أمني كبير ، لتحليل بيانات مماثل وتحليل ديناميكي ، يجب دمج هذه الاختبارات الأكثر تعقيدًا بشكل مصطنع مع منطق العمل الفعلي للبروتوكول لإجراء اختبارات تحليل الأمان مسبقًا وتحديد الهدف المتوقع سمات الاختبار مقدمًا ، وأصعب جزء هو كتابة خصائص جيدة وتحديد حقل الاختبار الصحيح. وفقًا لتجاربهم على GPT ، فإنهم يعتقدون أن GPT لا يمكن أن تحل محل البشر تمامًا في هذه المرحلة.
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-e7c6020bc1-dd1a6f-7649e1)
بالطبع ، هناك حاليًا نتائج أكثر تفاؤلاً تُظهر أن LLM يمكن أن تحسن بشكل كبير من كفاءة تحليل أدوات تحليل الأمان وتقليل المعدل الإيجابي الخاطئ.
دعنا نفكر في هذا الموضوع من منظور آخر غير تقني مثير للاهتمام.إنها لعبة ديناميكية بين مهاجمي الأمن والمدافعين.الارتفاع السحري أعلى قدمًا من الأخرى. هل سيجلب الذكاء الاصطناعي أمانًا نسبيًا لمهاجمي الأمن؟ يساعد؟
! [IOSG Ventures: تفسير شامل للمكافأة التي يقودها المجتمع وسوق التدقيق] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-8dfe608f2f-dd1a6f-7649e1)
السلامة موجهة للأشخاص
سيعتقد الناس عادة أن البرنامج شيء بارد وميكانيكي ومنطقي ، وتحسين أمان النظام يحتاج فقط إلى تحسين مستوى تكنولوجيا التحليل والدفاع عن النظام. ومع ذلك ، يفتقر الناس إلى التفكير في القضايا الأمنية من منظور الحوافز الاقتصادية والطبيعة البشرية. في الغابة المظلمة للشفرة مفتوحة المصدر ، نحتاج إلى نظام توزيع يتماشى بشكل أكبر مع افتراضات الأشخاص العقلانيين. الحوافز الاقتصادية الإيجابية والحميدة جذب المزيد من الأشخاص المستعدين للاستثمار في blockchain لفترة طويلة. ينضم الأشخاص الذين يساهمون بالحكمة في أمان النظام.
هيكل سوق تدقيق الأمان التقليدي الحالي مستقر ، وسمعة العلامة التجارية هي أهم الأصول غير الملموسة للشركات في هذا المجال. بمرور الوقت ، ازداد تأثير العلامات التجارية الأمنية العليا وثقة العملاء بشكل مطرد ، ولكن عمليات تدقيق الأمان التقليدية لها أيضًا المشاكل الخاصة (يعتمد نموذج العمل فقط على القوى العاملة ومن الصعب أن ينمو على نطاق واسع ، وتحتاج الشركات الرائدة إلى تحقيق التوازن بين النمو وجودة التدقيق. وقد واجهت بعض الشركات مثل هذا الاختناق بل أثرت على قيمة العلامة التجارية).
تعد مسابقة تدقيق الأمان التي يحركها المجتمع نموذجًا تجاريًا مبتكرًا. في الوقت الحالي ، وجد أكثر من 300 عميل للمنصتين تدريجيًا PMF ، وتعد منصة المكافآت مكملاً جيدًا لدورة الحياة الأمنية. على الرغم من أن هذه المنصات اللامركزية لا تزال كذلك لم نعثر على نموذج رمزي فعال بشكل خاص ، لكننا متفائلون جدًا بشأن النمو واسع النطاق لهذا السوق في المستقبل (لأن حكمة الجمهور مناسبة جدًا لسيناريوهات الألعاب الهجومية والدفاعية في سوق الأمان).
هل ستشكل منصات التدقيق التي يقودها المجتمع تهديدًا لشركات التدقيق المركزية؟ نعتقد أنه سيكون لديهم منافسة متبادلة صحية وعلاقة تكميلية. على المدى القصير ، عندما تشكل منصة مثل Code 4 rena تأثيرًا معينًا للشبكة ولديها سجل إنجازات جيد (نسبة المشاريع التي تم تدقيقها التي يتم اختراقها منخفضة) ، فقد يكون ذلك في الواقع ، سيؤدي إعطاء بعض الشركات المركزية في الوسط والذيل إلى ضغوط تنافسية معينة ، ولكن على المدى الطويل ، قد يؤدي ذلك أيضًا إلى إجبار منصة التدقيق المركزية على تكوين بعض التعاون التجاري مع النظام الأساسي الذي يحركه المجتمع ، لأن هذا يمكن أن يوسع أيضًا قاعدة العملاء النظام الأساسي لتدقيق الأمان المركزي وتحسين جودة التدقيق (يشبه إلى حد ما مشروع المكافأة الأمنية الأصلي الذي يتم تشغيله بشكل مستقل من قبل شركة ويب 2 كبيرة ، ثم شكل لاحقًا منطق تعاون مع منصات تابعة لجهات خارجية مثل HackerOne).
على الرغم من أن اتجاه النظام الأساسي الأمني الذي يحركه المجتمع هو أن يكون أكثر توجهاً نحو DAO (يمكن تضمين Forta بالفعل في هذه الفئة) ، في التشغيل الفعلي للمشروع الحالي ، لا تزال هناك مشكلات مثل: كيفية جعل سير العمل و عملية التوزيع الاقتصادي أكثر شفافية وانفتاحًا ، وكيفية الموازنة بين اعتبارات الخصوصية والأمان لجانب المشروع ، وكيفية تحديد العلاقة بين العمل الجماعي والمساهمة الشخصية بشكل أوضح ، وكيفية حل المشكلات بطريقة عادلة ومهنية نسبيًا عند ظهور تضارب في المصالح ، إلخ. حق التحدي.
مرجع: