Como un sistema informático a gran escala, la complejidad del sistema actual de blockchain ha superado con creces el nivel de hace 5 años, el grado de modularización de la infraestructura es más refinado, la lógica de los contratos inteligentes en la capa de aplicación es cada vez más abundante y la interacción entre contratos es muy frecuente, más importante aún, la cantidad de activos administrados por el sistema blockchain ya es muy grande, por lo que recientemente ha habido más discusiones sobre el ciclo de seguridad en la comunidad de seguridad blockchain (la situación es la misma que en 2017 , cuando la gente menciona la seguridad, solo piensan en los desarrolladores. Es muy diferente escribir el contrato y arrojárselo a los amigos de la Fundación Ethereum para que le echen un vistazo y hagan algunas pruebas básicas).
A lo largo del ciclo de vida de seguridad de los programas de cadena de bloques (desde las pruebas, invitando a auditorías de terceros hasta el monitoreo posterior al evento, las auditorías de actualización), la comunidad de recompensas por errores es como un colchón de seguridad para atraer sombreros blancos a través de la teoría de juegos y el trabajo en grupo. revisión del código de la parte del proyecto, y algunos trabajadores de seguridad de contratos inteligentes sienten que la recompensa por errores es más como el último hombre en la línea de defensa, pero creo que la recompensa por errores y la competencia de auditoría tienen el potencial de desempeñar un papel más importante en el futuro, actuando como Las funciones a lo largo de todo el ciclo de vida de la seguridad mejoran la seguridad del sistema en su conjunto. **
Por supuesto, también existen programas de recompensas por errores (Bug Bounty o Vulnerabilty Rewards) en el campo de la seguridad de red tradicional. Primero, las principales empresas de tecnología como Facebook, Google, Microsoft, etc. implementarán programas de recompensas para sus propios equipos de seguridad internos y sus propias líneas de productos En segundo lugar, las plataformas de terceros Bug bounty representadas por HackerOne y Bugcrowd han surgido desde alrededor de 2015. Actualmente, estas dos compañías de seguridad líderes dependen de los sorteos de recompensas como su principal ingreso, y sus ingresos anuales pueden alcanzar casi los 50 millones de dólares estadounidenses. dólares y 20 millones de dólares americanos respectivamente. En el mundo de la cadena de bloques, la recompensa es un tema más interesante que a menudo se discute en el círculo de seguridad. La razón principal es que el código abierto de la cadena de bloques en realidad hace que el costo de piratear y mejorar las estrategias de ataque sea más barato. Además, los defensores del mundo criptográfico Agrupación de economías de trabajo, creación y propiedad abiertas a modelos de contribución que hacen que una economía de sombrero blanco más abierta sea aún más valiosa.
**¿Qué son las recompensas por errores y los concursos de auditoría? ¿Por qué los necesitamos? **
La seguridad es un juego dinámico entre el atacante y el defensor, tal como dijo el experto en seguridad informática y criptógrafo Bruce Schneier: “La seguridad es un proceso, no un producto. Es una forma de pensar que debe atravesar el proceso de desarrollo de software en todos los aspectos. "En el mundo de la cadena de bloques, un bosque oscuro donde todos los códigos son de código abierto y transparentes, un proyecto de cadena de bloques que quiera sobrevivir durante mucho tiempo debe tener necesidades eternas para la seguridad de sus productos/contratos. Todos los productos de la cadena tienen más o menos atributos El activo más importante en las finanzas es la confianza, y la confianza del usuario es solo una vez.
¿Dónde están las deficiencias y los problemas de la auditoría tradicional? ¿Qué ventajas pueden tener las recompensas de errores impulsadas por la comunidad y las competencias de auditoría para compensar estos problemas?
Los desarrolladores que usan servicios de auditoría a menudo encuentran que:
Incluso después de comprar los servicios de una empresa de auditoría de terceros, todavía hay problemas con el código después de la auditoría. Aunque las razones de estos problemas son diferentes (técnicas y no técnicas), no parece ser completamente confiable confiar en una empresa auditora al final.Sin embargo, la calidad de la auditoría de código aún depende del nivel de los auditores, y los clientes a menudo carecen de la capacidad de discernir "quién es mejor".
La plataforma de recompensas y la competencia de auditoría son una "caja de arena" más abierta, y los sombreros blancos pueden revisar el código del proyecto a voluntad, sin restricciones de antecedentes (puede haber personal de compañías de auditoría profesionales y puede haber analistas de seguridad independientes) , el arsenal es ilimitado, y todo lo que los clientes tienen que hacer es establecer una recompensa razonable y pagar su contribución cuando el sombrero blanco encuentra un problema.
Por lo general, los clientes primero envían su código que debe ser revisado por el white hat, definen el nivel de seguridad de la vulnerabilidad (generalmente relacionado con la posible pérdida económica, cuanto más fácil sea la vulnerabilidad que causa directamente la pérdida económica, mayor será el nivel de gravedad) , presupuesto de recompensas, alcance del código de prueba e incluso pasos de prueba.
¿Qué tan grande es el mercado?
El modelo comercial de las plataformas de recompensas y los concursos de auditoría generalmente consiste en extraer una parte de la recompensa pagada por los clientes o el fondo de bonificación total establecido como tarifa de servicio de la plataforma. Los clientes (partes del proyecto) que necesitan auditorías de seguridad de código anunciarán sus planes en la plataforma de recompensas de acuerdo con sus propias necesidades (qué códigos deben auditarse, cómo definir la gravedad de las vulnerabilidades y cuánta recompensa están dispuestos a pagar), y sombreros blancos Las vulnerabilidades se encontrarán de acuerdo con las necesidades del lado del proyecto. Una vez que los sombreros blancos encuentren las lagunas y satisfagan las necesidades del lado del proyecto, la recompensa se distribuirá a los sombreros blancos y la plataforma de recompensas dibujará una comisión de ella como una tarifa de servicio.
En el campo de la seguridad de red tradicional Web2, la plataforma de recompensas por errores también es una dirección relativamente joven (apareció después de 2012), y actualmente las plataformas de recompensas por errores más grandes son HackerOne y Bugcrowd. En 2022, los ingresos anuales de HackerOne alcanzarán los 58 millones de dólares estadounidenses, la valoración de la empresa alcanzará los 500 millones de dólares estadounidenses y la recompensa acumulada pagada en la historia será de 230 millones de dólares estadounidenses (2021 y 2022 pagarán 150 millones de dólares estadounidenses en recompensas) , y se descubrirán más de 65 000 softwares y vulnerabilidades, con más de 1 millón de piratas informáticos registrados y más de 1000 clientes que utilizan los servicios de HackerOne cada mes. Se espera que su competidor, Bugcrowd, genere más de $20 millones en ingresos en 2022.
En el campo de la seguridad de Web3, en 2022, todas las plataformas de competencia de auditoría y recompensas de errores de web3 distribuirán un total de 50 millones de dólares estadounidenses en recompensas a los hackers de sombrero blanco, y el nivel de tarifa promedio de dichas plataformas es de alrededor del 10% al 30%, por lo que se estima de manera conservadora El tamaño actual del mercado es de alrededor de $ 5 millones ~ $ 15 millones, y todavía es un mercado muy emergente.
Otra cosa interesante es que cada vez más clientes están dispuestos a utilizar directamente los servicios de auditoría de código proporcionados por esta comunidad de seguridad descentralizada.El ejemplo más famoso es que Opensea no encontró directamente el servicio de auditoría de segundo nivel antes de lanzar su nueva plataforma Seaport. La compañía de auditoría tripartita eligió Code4Rena, la plataforma de competencia de auditoría descentralizada más grande en la actualidad, y estableció un premio acumulado de 1 millón de dólares EE. UU. Hoy en día, el mercado de auditoría de seguridad tradicional está cada vez más involucrado (volumen de recursos humanos, herramientas de tecnología de volumen, BD), ¿supondrán los servicios de seguridad descentralizados un crecimiento importante en este mercado? (Actualmente hay 56 empresas de auditoría en el mercado, y los ingresos de las empresas líderes en el último año fueron de US$10 millones a US$40 millones. Creo que hay mucho espacio para la imaginación en el mercado de la seguridad descentralizada).
Plataforma de recompensas por errores frente a plataforma de concursos de auditoría
Aunque la plataforma de recompensas por errores tiene un historial de desarrollo de diez años en web2, la plataforma de competencia de auditoría es algo nuevo en web3 nativo. El objeto del servicio de competencia de auditoría son aquellas partes del proyecto que están a punto de lanzar productos o algunas funciones nuevas, y utilizan el poder de la comunidad descentralizada para ayudarlos a completar el servicio de auditoría dentro de un tiempo específico (más de 2 semanas). perspectiva, la competencia de auditoría traerá ninguna amenaza a las empresas de auditoría tradicionales.
A continuación, mostraré las diferencias entre las dos plataformas en términos de métodos de participación, estructura de recompensas y cobertura de la prueba:
forma de participación
Las plataformas de recompensas por errores como Immunefi suelen ser proyectos abiertos en los que cualquiera puede participar en cualquier momento. Los participantes suelen explorar y reportar vulnerabilidades de forma independiente a cambio de recompensas. Si dos personas encuentran la misma vulnerabilidad repetida, se seguirá el principio de primero en llegar, primero en ser atendido, y quien envíe el informe primero obtendrá la recompensa primero.
Las plataformas de competencia de auditoría impulsadas por la comunidad (por ejemplo, Code4rena, Sherlock) a menudo tienen un límite de tiempo y compiten con los participantes para encontrar e informar vulnerabilidades dentro de un período de tiempo determinado. En comparación con la plataforma de recompensas, habrá algo de trabajo en equipo (por ejemplo, cada proyecto tendrá una asignación clara de Auditor senior principal y Juez principal, y finalmente revisará y resumirá todos los resultados de auditoría en un informe de auditoría para el cliente, y estos dos líderes siguen también el principio de descentralización de las elecciones y concursos comunitarios). Además, si dos competidores de auditoría encuentran lagunas repetidas dentro del tiempo especificado, ambos pueden obtener recompensas.
Estructura de recompensas
Las recompensas reales emitidas por ambos considerarán principalmente la gravedad de la vulnerabilidad descubierta.
La única diferencia es que una plataforma de competencia de auditoría impulsada por la comunidad como Code4Rena tendrá una porción fija (5% ~ 10%) del fondo de bonificación para cada proyecto asignado al Auditor senior líder y al Juez líder, porque en realidad asumen el rol de proyecto. líderes de empresas tradicionales de auditoría carácter de.
Otro punto interesante es que la fiesta del proyecto en la plataforma de recompensas por errores a veces coloca tokens de proyecto como recompensas, pero también veo que algunos hackers de sombrero blanco en la comunidad prefieren obtener monedas estables de USDC, USDT en lugar de tokens de proyectos de fluctuaciones de precios.
Alcance y enfoque
Los proyectos de plataforma de recompensas por errores suelen tener un alcance amplio, mientras que los proyectos de concursos de auditoría suelen tener un alcance más centrado, dirigido a una función o aspecto específico del software, mientras que requieren sombreros blancos para centrarse en completar el trabajo en un período de tiempo más corto.
Proyectos enfocados a concursos de auditoría
Code4Rena: una plataforma de competencia de auditoría impulsada por la comunidad similar a los deportes electrónicos
Code4Rena tiene tres tipos de caracteres:
1 Código de revisión de Auditor (Guardianes). Cualquiera, desde un ingeniero de seguridad profesional hasta un desarrollador novato que intente adquirir más experiencia, puede registrarse como auditor para participar en la competencia pública de auditoría.
2 Jueces (Jueces) suelen ser los mejores ingenieros de la comunidad C4. Determinan la gravedad, la eficacia y la calidad de las vulnerabilidades y evalúan el rendimiento de la auditoría.
3 Patrocinadores (Patrocinadores) son partes de proyectos, como Opensea, Blur, ENS, Chainlink, etc. Crean fondos de bonificación para atraer auditores para auditar el código de sus proyectos. Los patrocinadores también tienen la opción de organizar competencias privadas solo por invitación para mayor privacidad.
Uno de los puntos más interesantes es la cultura que está construyendo Code4Rena: se fomenta la colaboración y el trabajo en equipo. A diferencia de los programas tradicionales de recompensas por errores, Code4Rena paga a todos los auditores que reportan una vulnerabilidad válida, incluso si la vulnerabilidad ya ha sido reportada. Esto fomenta una sana competencia entre los auditores, ya que están motivados para encontrar vulnerabilidades comunes y de alta gravedad. En esta plataforma, algunos auditores formarán equipos temporales para encontrar lagunas en conjunto.
modelo de negocio:
Cualquier proyecto puede ir a Code4rena para iniciar un programa de competencia de auditoría y proporcionar USDC o ETH para configurar un premio acumulado básico (generalmente el tamaño del premio acumulado es de $ 40,000 ~ $ 100,000), y Code4rena cobrará el 20% del premio acumulado básico como una plataforma para organizar concursos, proporcionar revisiones y organizar resultados de auditoría Ingresos por servicios para informar resultados. La fiesta del proyecto también puede proporcionar tokens de proyecto además del premio acumulado básico para configurar un premio acumulado adicional, y Code4rena cobrará el 40 % de este premio acumulado adicional.
Sherlock - Auditoría impulsada por la comunidad con seguro de contrato inteligente
Al igual que Code4rena, Sherlock también tiene funciones como auditores, patrocinadores y jueces. La singularidad de Sherlock radica en los servicios de seguros que brinda la plataforma. Cualquiera puede invertir en el grupo de seguros en la plataforma Sherlock. Los inversores depositan USDC en el grupo de seguros, y los clientes del acuerdo pueden comprar servicios para cubrir el riesgo de piratería de contratos inteligentes. Las fuentes de ingresos para los inversores de seguros incluyen: primas pagadas por los clientes del acuerdo + intereses ganados al depositar fondos del fondo de seguros en otros fondos de DeFi (Aave, Compound, etc.) + incentivos de token Sherlock. Pero el inversionista corre el riesgo de pagar la póliza mientras obtiene los beneficios.
Otro punto que lo diferencia de Code4rena es el mecanismo de distribución de los ingresos por servicios de auditoría que brinda la plataforma. En comparación con Code4rena, Sherlock tiene reglas que permiten que el auditor senior de seguridad y el juez principal obtengan una cantidad fija (5%~10%) del fondo de bonificación para compensar y motivar adecuadamente a los auditores senior de tiempo completo. Además, existen sistemas de selección y competencia para la selección de roles de liderazgo.
**¿Cómo construir una comunidad de hackers? ¿Cuál es la mayor preocupación de los sombreros blancos de Web3? **
Después de observar diferentes comunidades de seguridad descentralizadas (ImmuneFi, Hats Finance, Code4Rena, Sherlock, etc.) y charlar con algunos empresarios de seguridad, pensamos que lo que todas las plataformas descentralizadas se dedican a hacer es construir una plataforma de colaboración y comunicación más saludable y eficiente. , la plataforma de recompensas es como un mercado entre los piratas informáticos y los proyectos, deben considerar sus necesidades desde la perspectiva de los piratas informáticos (como se muestra en la tabla a continuación) y, al mismo tiempo, considerar lo que más le importa a la parte del proyecto desde la perspectiva del proyecto. (Calidad de Auditoría).
Fuente: 《Perspectivas de los cazadores de insectos sobre los desafíos y beneficios de Bug Bounty Eco》
Además de algunas necesidades comunes, también vi algunos temas interesantes en la comunidad de sombrero blanco de Immunefi (la comunidad de discord de sombrero blanco más animada que vi).
Por ejemplo:
Hay un sombrero blanco llamado Rapie que quiere revelar algunas lagunas en el proyecto que ha descubierto antes y pregunta qué reglas de la comunidad deben seguirse. (1. Solo divulgue los errores que se hayan solucionado. 2. Asegúrese de que cualquier información pública no tenga un impacto negativo en el protocolo o sus usuarios. Mantenga la información confidencial, por ejemplo: después de que solucionen su vulnerabilidad de inyección SQL, no divulgue información sobre su base de datos completa 3. Asegúrese de que necesita enviar un mensaje privado al equipo del proyecto antes de hacerlo público).
Un sombrero blanco llamado Noam Yakov tiene dudas sobre la definición de un proyecto de recompensas (esto sucede a menudo, porque generalmente solo se pueden recompensar las vulnerabilidades de seguridad graves. ¿Cómo define el proyecto el nivel de seguridad de la vulnerabilidad? Algo que preocupa profundamente a los sombreros blancos , y la comunidad escucha mucho sobre tales disputas). En el proyecto de recompensas de Uniwhales, tenía dudas sobre su definición del impacto de MEV como una vulnerabilidad de seguridad grave. Al final, todos discutieron que este tipo de descripción no se aplica a todas las situaciones de MEV. Por ejemplo, para algunos flujos de pedidos tóxicos, el grupo de protocolos La situación de drenaje de activos es definitivamente un incidente de seguridad grave (por lo que definir un conjunto de marcos de nivel de seguridad a menudo no es suficiente y, por lo general, requiere la participación de roles similares de árbitros en la plataforma en casos reales diferentes).
Y para un tema muy interesante, "¿Cuáles son sus demandas y expectativas para una plataforma de recompensas como Immunefi?" Un sombrero blanco llamado ckksec dio su respuesta: 1) Ayude a estos sombreros blancos de encriptación anónima a obtener sus ingresos laborales Haga algunas aclaraciones legales como la facturación. 2) La plataforma no solo debe tener un sistema de calificación para los sombreros blancos, sino también calificar la calidad del proyecto porque los sombreros blancos a menudo necesitan dedicar tiempo a distinguir la calidad del proyecto. 3) Para los sombreros blancos que están dispuestos a abrir su perfil, la plataforma puede mostrar su flujo de trabajo. Al mismo tiempo, es mejor que la plataforma muestre de manera más transparente la información del informe de análisis de seguridad recibida por la parte del proyecto.
¿Qué herramientas pueden ayudar a los sombreros blancos?
Con el fuego de LLM GPT, recientemente escuché a personas discutir con frecuencia si las auditorías de seguridad también pueden ser reemplazadas por IA. Los profesionales de seguridad experimentados con los que he hablado generalmente creen que GPT es difícil de reemplazar directamente la sabiduría humana. Algunas frutas maduras (problemas que son fáciles de encontrar) pueden ser detectadas por modelos de lenguaje, pero esos problemas con riesgos medios y altos aún requieren expertos. participación. Por ejemplo, según los comentarios de un experto en seguridad sénior, para análisis de datos y análisis dinámicos similares, estas pruebas más complejas deben combinarse artificialmente con la lógica comercial real del protocolo para realizar pruebas de análisis de seguridad por adelantado y definir el objetivo esperado. atributos de la prueba por adelantado. La parte más difícil es escribir buenas propiedades y definir el campo de prueba correcto. Según sus experimentos con GPT, creen que GPT no puede reemplazar completamente a los humanos en esta etapa.
Por supuesto, actualmente hay resultados más optimistas que muestran que LLM puede mejorar en gran medida la eficiencia del análisis de las herramientas de análisis de seguridad y reducir la tasa de falsos positivos:
Pensemos en este tema desde otra perspectiva no técnica interesante. Es un juego dinámico entre atacantes y defensores de seguridad. La altura mágica es un pie más alta que la otra. ¿La IA traerá desafíos de seguridad a los atacantes de seguridad? ¿Ayuda?
La seguridad está orientada a las personas
La gente habitualmente pensará que el software es algo frío, mecánico y lógico, y mejorar la seguridad del sistema solo necesita mejorar la tecnología de análisis y el nivel de defensa del sistema. Sin embargo, la gente no piensa en cuestiones de seguridad desde la perspectiva de los incentivos económicos y la naturaleza humana. En el bosque oscuro del código fuente abierto, necesitamos un sistema de distribución que esté más en línea con las suposiciones de las personas racionales. Incentivos económicos positivos y benignos atraer a más personas que estén dispuestas a invertir en blockchain durante mucho tiempo. Se unen personas que aportan sabiduría a la seguridad del sistema.
La estructura del mercado de auditoría de seguridad tradicional actual es estable, y la reputación de la marca es el activo intangible más importante de las empresas en este campo. Con el tiempo, la influencia de las principales marcas de seguridad y la confianza de los clientes han aumentado constantemente, pero las auditorías de seguridad tradicionales también tienen su propios problemas (el modelo de negocio se basa únicamente en la mano de obra y es difícil crecer en escala, y las empresas líderes necesitan equilibrar el crecimiento y la calidad de la auditoría. Algunas empresas se han encontrado con un cuello de botella de este tipo e incluso han afectado el valor de la marca).
**La competencia de auditoría de seguridad impulsada por la comunidad es un modelo de negocio innovador. **Actualmente, la cantidad de clientes de las dos plataformas ha superado los 300 y gradualmente encontraron PMF. *La plataforma de recompensas es un buen complemento para el ciclo de vida de la seguridad. * Aunque estas plataformas descentralizadas aún no han encontrado un modelo de token particularmente efectivo, somos muy optimistas sobre el crecimiento a gran escala de este mercado en el futuro (porque la sabiduría de la multitud es muy adecuada para los escenarios de juego ofensivo y defensivo en el mercado de valores).
** ¿Las plataformas de auditoría impulsadas por la comunidad supondrán una amenaza para las empresas de auditoría centralizadas? Creemos que tendrán una sana competencia mutua y una relación complementaria. En el corto plazo, cuando una plataforma como Code4rena crea cierto efecto de red y tiene un buen historial (la proporción de proyectos auditados que son pirateados es baja), puede de hecho, dar algunas empresas centralizadas en el medio y la cola traerá cierta presión competitiva, pero a la larga, esto también puede obligar a la plataforma de auditoría centralizada a formar alguna cooperación comercial con la plataforma impulsada por la comunidad, porque esto también puede ampliar los clientes de la plataforma de auditoría de seguridad centralizada Group y mejorar la calidad de la auditoría (un poco como el proyecto de recompensas de seguridad original que fue operado de forma independiente por una importante empresa web2 y luego formó una lógica de cooperación con plataformas de terceros como HackerOne).
Aunque la dirección de la plataforma de seguridad impulsada por la comunidad debe estar más orientada a DAO (Forta en realidad puede incluirse en esta categoría), en la operación real del proyecto actual, todavía existen problemas tales como: cómo hacer que el flujo de trabajo y proceso de distribución económica más transparente y abierto, cómo sopesar las consideraciones de privacidad y seguridad de la parte del proyecto, cómo definir más claramente la relación entre el trabajo en equipo y la contribución personal, cómo resolver el problema de una manera más justa y profesional cuando hay conflictos de interés surgir, etc. Estas son las cosas que los DAO de seguridad necesitan para enfrentar el desafío de Right.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Crowd Intelligence en seguridad: un mercado de auditoría y recompensas impulsado por la comunidad
Por Ray, IOSG Ventures
Como un sistema informático a gran escala, la complejidad del sistema actual de blockchain ha superado con creces el nivel de hace 5 años, el grado de modularización de la infraestructura es más refinado, la lógica de los contratos inteligentes en la capa de aplicación es cada vez más abundante y la interacción entre contratos es muy frecuente, más importante aún, la cantidad de activos administrados por el sistema blockchain ya es muy grande, por lo que recientemente ha habido más discusiones sobre el ciclo de seguridad en la comunidad de seguridad blockchain (la situación es la misma que en 2017 , cuando la gente menciona la seguridad, solo piensan en los desarrolladores. Es muy diferente escribir el contrato y arrojárselo a los amigos de la Fundación Ethereum para que le echen un vistazo y hagan algunas pruebas básicas).
A lo largo del ciclo de vida de seguridad de los programas de cadena de bloques (desde las pruebas, invitando a auditorías de terceros hasta el monitoreo posterior al evento, las auditorías de actualización), la comunidad de recompensas por errores es como un colchón de seguridad para atraer sombreros blancos a través de la teoría de juegos y el trabajo en grupo. revisión del código de la parte del proyecto, y algunos trabajadores de seguridad de contratos inteligentes sienten que la recompensa por errores es más como el último hombre en la línea de defensa, pero creo que la recompensa por errores y la competencia de auditoría tienen el potencial de desempeñar un papel más importante en el futuro, actuando como Las funciones a lo largo de todo el ciclo de vida de la seguridad mejoran la seguridad del sistema en su conjunto. **
Por supuesto, también existen programas de recompensas por errores (Bug Bounty o Vulnerabilty Rewards) en el campo de la seguridad de red tradicional. Primero, las principales empresas de tecnología como Facebook, Google, Microsoft, etc. implementarán programas de recompensas para sus propios equipos de seguridad internos y sus propias líneas de productos En segundo lugar, las plataformas de terceros Bug bounty representadas por HackerOne y Bugcrowd han surgido desde alrededor de 2015. Actualmente, estas dos compañías de seguridad líderes dependen de los sorteos de recompensas como su principal ingreso, y sus ingresos anuales pueden alcanzar casi los 50 millones de dólares estadounidenses. dólares y 20 millones de dólares americanos respectivamente. En el mundo de la cadena de bloques, la recompensa es un tema más interesante que a menudo se discute en el círculo de seguridad. La razón principal es que el código abierto de la cadena de bloques en realidad hace que el costo de piratear y mejorar las estrategias de ataque sea más barato. Además, los defensores del mundo criptográfico Agrupación de economías de trabajo, creación y propiedad abiertas a modelos de contribución que hacen que una economía de sombrero blanco más abierta sea aún más valiosa.
**¿Qué son las recompensas por errores y los concursos de auditoría? ¿Por qué los necesitamos? **
La seguridad es un juego dinámico entre el atacante y el defensor, tal como dijo el experto en seguridad informática y criptógrafo Bruce Schneier: “La seguridad es un proceso, no un producto. Es una forma de pensar que debe atravesar el proceso de desarrollo de software en todos los aspectos. "En el mundo de la cadena de bloques, un bosque oscuro donde todos los códigos son de código abierto y transparentes, un proyecto de cadena de bloques que quiera sobrevivir durante mucho tiempo debe tener necesidades eternas para la seguridad de sus productos/contratos. Todos los productos de la cadena tienen más o menos atributos El activo más importante en las finanzas es la confianza, y la confianza del usuario es solo una vez.
¿Dónde están las deficiencias y los problemas de la auditoría tradicional? ¿Qué ventajas pueden tener las recompensas de errores impulsadas por la comunidad y las competencias de auditoría para compensar estos problemas?
Los desarrolladores que usan servicios de auditoría a menudo encuentran que:
¿Qué tan grande es el mercado?
El modelo comercial de las plataformas de recompensas y los concursos de auditoría generalmente consiste en extraer una parte de la recompensa pagada por los clientes o el fondo de bonificación total establecido como tarifa de servicio de la plataforma. Los clientes (partes del proyecto) que necesitan auditorías de seguridad de código anunciarán sus planes en la plataforma de recompensas de acuerdo con sus propias necesidades (qué códigos deben auditarse, cómo definir la gravedad de las vulnerabilidades y cuánta recompensa están dispuestos a pagar), y sombreros blancos Las vulnerabilidades se encontrarán de acuerdo con las necesidades del lado del proyecto. Una vez que los sombreros blancos encuentren las lagunas y satisfagan las necesidades del lado del proyecto, la recompensa se distribuirá a los sombreros blancos y la plataforma de recompensas dibujará una comisión de ella como una tarifa de servicio.
En el campo de la seguridad de red tradicional Web2, la plataforma de recompensas por errores también es una dirección relativamente joven (apareció después de 2012), y actualmente las plataformas de recompensas por errores más grandes son HackerOne y Bugcrowd. En 2022, los ingresos anuales de HackerOne alcanzarán los 58 millones de dólares estadounidenses, la valoración de la empresa alcanzará los 500 millones de dólares estadounidenses y la recompensa acumulada pagada en la historia será de 230 millones de dólares estadounidenses (2021 y 2022 pagarán 150 millones de dólares estadounidenses en recompensas) , y se descubrirán más de 65 000 softwares y vulnerabilidades, con más de 1 millón de piratas informáticos registrados y más de 1000 clientes que utilizan los servicios de HackerOne cada mes. Se espera que su competidor, Bugcrowd, genere más de $20 millones en ingresos en 2022.
En el campo de la seguridad de Web3, en 2022, todas las plataformas de competencia de auditoría y recompensas de errores de web3 distribuirán un total de 50 millones de dólares estadounidenses en recompensas a los hackers de sombrero blanco, y el nivel de tarifa promedio de dichas plataformas es de alrededor del 10% al 30%, por lo que se estima de manera conservadora El tamaño actual del mercado es de alrededor de $ 5 millones ~ $ 15 millones, y todavía es un mercado muy emergente.
Otra cosa interesante es que cada vez más clientes están dispuestos a utilizar directamente los servicios de auditoría de código proporcionados por esta comunidad de seguridad descentralizada.El ejemplo más famoso es que Opensea no encontró directamente el servicio de auditoría de segundo nivel antes de lanzar su nueva plataforma Seaport. La compañía de auditoría tripartita eligió Code4Rena, la plataforma de competencia de auditoría descentralizada más grande en la actualidad, y estableció un premio acumulado de 1 millón de dólares EE. UU. Hoy en día, el mercado de auditoría de seguridad tradicional está cada vez más involucrado (volumen de recursos humanos, herramientas de tecnología de volumen, BD), ¿supondrán los servicios de seguridad descentralizados un crecimiento importante en este mercado? (Actualmente hay 56 empresas de auditoría en el mercado, y los ingresos de las empresas líderes en el último año fueron de US$10 millones a US$40 millones. Creo que hay mucho espacio para la imaginación en el mercado de la seguridad descentralizada).
Plataforma de recompensas por errores frente a plataforma de concursos de auditoría
Aunque la plataforma de recompensas por errores tiene un historial de desarrollo de diez años en web2, la plataforma de competencia de auditoría es algo nuevo en web3 nativo. El objeto del servicio de competencia de auditoría son aquellas partes del proyecto que están a punto de lanzar productos o algunas funciones nuevas, y utilizan el poder de la comunidad descentralizada para ayudarlos a completar el servicio de auditoría dentro de un tiempo específico (más de 2 semanas). perspectiva, la competencia de auditoría traerá ninguna amenaza a las empresas de auditoría tradicionales.
A continuación, mostraré las diferencias entre las dos plataformas en términos de métodos de participación, estructura de recompensas y cobertura de la prueba:
forma de participación
Las plataformas de recompensas por errores como Immunefi suelen ser proyectos abiertos en los que cualquiera puede participar en cualquier momento. Los participantes suelen explorar y reportar vulnerabilidades de forma independiente a cambio de recompensas. Si dos personas encuentran la misma vulnerabilidad repetida, se seguirá el principio de primero en llegar, primero en ser atendido, y quien envíe el informe primero obtendrá la recompensa primero.
Las plataformas de competencia de auditoría impulsadas por la comunidad (por ejemplo, Code4rena, Sherlock) a menudo tienen un límite de tiempo y compiten con los participantes para encontrar e informar vulnerabilidades dentro de un período de tiempo determinado. En comparación con la plataforma de recompensas, habrá algo de trabajo en equipo (por ejemplo, cada proyecto tendrá una asignación clara de Auditor senior principal y Juez principal, y finalmente revisará y resumirá todos los resultados de auditoría en un informe de auditoría para el cliente, y estos dos líderes siguen también el principio de descentralización de las elecciones y concursos comunitarios). Además, si dos competidores de auditoría encuentran lagunas repetidas dentro del tiempo especificado, ambos pueden obtener recompensas.
Estructura de recompensas
Las recompensas reales emitidas por ambos considerarán principalmente la gravedad de la vulnerabilidad descubierta.
La única diferencia es que una plataforma de competencia de auditoría impulsada por la comunidad como Code4Rena tendrá una porción fija (5% ~ 10%) del fondo de bonificación para cada proyecto asignado al Auditor senior líder y al Juez líder, porque en realidad asumen el rol de proyecto. líderes de empresas tradicionales de auditoría carácter de.
Otro punto interesante es que la fiesta del proyecto en la plataforma de recompensas por errores a veces coloca tokens de proyecto como recompensas, pero también veo que algunos hackers de sombrero blanco en la comunidad prefieren obtener monedas estables de USDC, USDT en lugar de tokens de proyectos de fluctuaciones de precios.
Alcance y enfoque
Los proyectos de plataforma de recompensas por errores suelen tener un alcance amplio, mientras que los proyectos de concursos de auditoría suelen tener un alcance más centrado, dirigido a una función o aspecto específico del software, mientras que requieren sombreros blancos para centrarse en completar el trabajo en un período de tiempo más corto.
Proyectos enfocados a concursos de auditoría
Code4Rena: una plataforma de competencia de auditoría impulsada por la comunidad similar a los deportes electrónicos
Code4Rena tiene tres tipos de caracteres:
1 Código de revisión de Auditor (Guardianes). Cualquiera, desde un ingeniero de seguridad profesional hasta un desarrollador novato que intente adquirir más experiencia, puede registrarse como auditor para participar en la competencia pública de auditoría.
2 Jueces (Jueces) suelen ser los mejores ingenieros de la comunidad C4. Determinan la gravedad, la eficacia y la calidad de las vulnerabilidades y evalúan el rendimiento de la auditoría.
3 Patrocinadores (Patrocinadores) son partes de proyectos, como Opensea, Blur, ENS, Chainlink, etc. Crean fondos de bonificación para atraer auditores para auditar el código de sus proyectos. Los patrocinadores también tienen la opción de organizar competencias privadas solo por invitación para mayor privacidad.
Uno de los puntos más interesantes es la cultura que está construyendo Code4Rena: se fomenta la colaboración y el trabajo en equipo. A diferencia de los programas tradicionales de recompensas por errores, Code4Rena paga a todos los auditores que reportan una vulnerabilidad válida, incluso si la vulnerabilidad ya ha sido reportada. Esto fomenta una sana competencia entre los auditores, ya que están motivados para encontrar vulnerabilidades comunes y de alta gravedad. En esta plataforma, algunos auditores formarán equipos temporales para encontrar lagunas en conjunto.
modelo de negocio:
Cualquier proyecto puede ir a Code4rena para iniciar un programa de competencia de auditoría y proporcionar USDC o ETH para configurar un premio acumulado básico (generalmente el tamaño del premio acumulado es de $ 40,000 ~ $ 100,000), y Code4rena cobrará el 20% del premio acumulado básico como una plataforma para organizar concursos, proporcionar revisiones y organizar resultados de auditoría Ingresos por servicios para informar resultados. La fiesta del proyecto también puede proporcionar tokens de proyecto además del premio acumulado básico para configurar un premio acumulado adicional, y Code4rena cobrará el 40 % de este premio acumulado adicional.
Sherlock - Auditoría impulsada por la comunidad con seguro de contrato inteligente
Al igual que Code4rena, Sherlock también tiene funciones como auditores, patrocinadores y jueces. La singularidad de Sherlock radica en los servicios de seguros que brinda la plataforma. Cualquiera puede invertir en el grupo de seguros en la plataforma Sherlock. Los inversores depositan USDC en el grupo de seguros, y los clientes del acuerdo pueden comprar servicios para cubrir el riesgo de piratería de contratos inteligentes. Las fuentes de ingresos para los inversores de seguros incluyen: primas pagadas por los clientes del acuerdo + intereses ganados al depositar fondos del fondo de seguros en otros fondos de DeFi (Aave, Compound, etc.) + incentivos de token Sherlock. Pero el inversionista corre el riesgo de pagar la póliza mientras obtiene los beneficios.
Otro punto que lo diferencia de Code4rena es el mecanismo de distribución de los ingresos por servicios de auditoría que brinda la plataforma. En comparación con Code4rena, Sherlock tiene reglas que permiten que el auditor senior de seguridad y el juez principal obtengan una cantidad fija (5%~10%) del fondo de bonificación para compensar y motivar adecuadamente a los auditores senior de tiempo completo. Además, existen sistemas de selección y competencia para la selección de roles de liderazgo.
**¿Cómo construir una comunidad de hackers? ¿Cuál es la mayor preocupación de los sombreros blancos de Web3? **
Después de observar diferentes comunidades de seguridad descentralizadas (ImmuneFi, Hats Finance, Code4Rena, Sherlock, etc.) y charlar con algunos empresarios de seguridad, pensamos que lo que todas las plataformas descentralizadas se dedican a hacer es construir una plataforma de colaboración y comunicación más saludable y eficiente. , la plataforma de recompensas es como un mercado entre los piratas informáticos y los proyectos, deben considerar sus necesidades desde la perspectiva de los piratas informáticos (como se muestra en la tabla a continuación) y, al mismo tiempo, considerar lo que más le importa a la parte del proyecto desde la perspectiva del proyecto. (Calidad de Auditoría).
Fuente: 《Perspectivas de los cazadores de insectos sobre los desafíos y beneficios de Bug Bounty Eco》
Además de algunas necesidades comunes, también vi algunos temas interesantes en la comunidad de sombrero blanco de Immunefi (la comunidad de discord de sombrero blanco más animada que vi).
Por ejemplo:
Hay un sombrero blanco llamado Rapie que quiere revelar algunas lagunas en el proyecto que ha descubierto antes y pregunta qué reglas de la comunidad deben seguirse. (1. Solo divulgue los errores que se hayan solucionado. 2. Asegúrese de que cualquier información pública no tenga un impacto negativo en el protocolo o sus usuarios. Mantenga la información confidencial, por ejemplo: después de que solucionen su vulnerabilidad de inyección SQL, no divulgue información sobre su base de datos completa 3. Asegúrese de que necesita enviar un mensaje privado al equipo del proyecto antes de hacerlo público).
Un sombrero blanco llamado Noam Yakov tiene dudas sobre la definición de un proyecto de recompensas (esto sucede a menudo, porque generalmente solo se pueden recompensar las vulnerabilidades de seguridad graves. ¿Cómo define el proyecto el nivel de seguridad de la vulnerabilidad? Algo que preocupa profundamente a los sombreros blancos , y la comunidad escucha mucho sobre tales disputas). En el proyecto de recompensas de Uniwhales, tenía dudas sobre su definición del impacto de MEV como una vulnerabilidad de seguridad grave. Al final, todos discutieron que este tipo de descripción no se aplica a todas las situaciones de MEV. Por ejemplo, para algunos flujos de pedidos tóxicos, el grupo de protocolos La situación de drenaje de activos es definitivamente un incidente de seguridad grave (por lo que definir un conjunto de marcos de nivel de seguridad a menudo no es suficiente y, por lo general, requiere la participación de roles similares de árbitros en la plataforma en casos reales diferentes).
Y para un tema muy interesante, "¿Cuáles son sus demandas y expectativas para una plataforma de recompensas como Immunefi?" Un sombrero blanco llamado ckksec dio su respuesta: 1) Ayude a estos sombreros blancos de encriptación anónima a obtener sus ingresos laborales Haga algunas aclaraciones legales como la facturación. 2) La plataforma no solo debe tener un sistema de calificación para los sombreros blancos, sino también calificar la calidad del proyecto porque los sombreros blancos a menudo necesitan dedicar tiempo a distinguir la calidad del proyecto. 3) Para los sombreros blancos que están dispuestos a abrir su perfil, la plataforma puede mostrar su flujo de trabajo. Al mismo tiempo, es mejor que la plataforma muestre de manera más transparente la información del informe de análisis de seguridad recibida por la parte del proyecto.
¿Qué herramientas pueden ayudar a los sombreros blancos?
Con el fuego de LLM GPT, recientemente escuché a personas discutir con frecuencia si las auditorías de seguridad también pueden ser reemplazadas por IA. Los profesionales de seguridad experimentados con los que he hablado generalmente creen que GPT es difícil de reemplazar directamente la sabiduría humana. Algunas frutas maduras (problemas que son fáciles de encontrar) pueden ser detectadas por modelos de lenguaje, pero esos problemas con riesgos medios y altos aún requieren expertos. participación. Por ejemplo, según los comentarios de un experto en seguridad sénior, para análisis de datos y análisis dinámicos similares, estas pruebas más complejas deben combinarse artificialmente con la lógica comercial real del protocolo para realizar pruebas de análisis de seguridad por adelantado y definir el objetivo esperado. atributos de la prueba por adelantado. La parte más difícil es escribir buenas propiedades y definir el campo de prueba correcto. Según sus experimentos con GPT, creen que GPT no puede reemplazar completamente a los humanos en esta etapa.
Por supuesto, actualmente hay resultados más optimistas que muestran que LLM puede mejorar en gran medida la eficiencia del análisis de las herramientas de análisis de seguridad y reducir la tasa de falsos positivos:
Pensemos en este tema desde otra perspectiva no técnica interesante. Es un juego dinámico entre atacantes y defensores de seguridad. La altura mágica es un pie más alta que la otra. ¿La IA traerá desafíos de seguridad a los atacantes de seguridad? ¿Ayuda?
La seguridad está orientada a las personas
La gente habitualmente pensará que el software es algo frío, mecánico y lógico, y mejorar la seguridad del sistema solo necesita mejorar la tecnología de análisis y el nivel de defensa del sistema. Sin embargo, la gente no piensa en cuestiones de seguridad desde la perspectiva de los incentivos económicos y la naturaleza humana. En el bosque oscuro del código fuente abierto, necesitamos un sistema de distribución que esté más en línea con las suposiciones de las personas racionales. Incentivos económicos positivos y benignos atraer a más personas que estén dispuestas a invertir en blockchain durante mucho tiempo. Se unen personas que aportan sabiduría a la seguridad del sistema.
La estructura del mercado de auditoría de seguridad tradicional actual es estable, y la reputación de la marca es el activo intangible más importante de las empresas en este campo. Con el tiempo, la influencia de las principales marcas de seguridad y la confianza de los clientes han aumentado constantemente, pero las auditorías de seguridad tradicionales también tienen su propios problemas (el modelo de negocio se basa únicamente en la mano de obra y es difícil crecer en escala, y las empresas líderes necesitan equilibrar el crecimiento y la calidad de la auditoría. Algunas empresas se han encontrado con un cuello de botella de este tipo e incluso han afectado el valor de la marca).
**La competencia de auditoría de seguridad impulsada por la comunidad es un modelo de negocio innovador. **Actualmente, la cantidad de clientes de las dos plataformas ha superado los 300 y gradualmente encontraron PMF. *La plataforma de recompensas es un buen complemento para el ciclo de vida de la seguridad. * Aunque estas plataformas descentralizadas aún no han encontrado un modelo de token particularmente efectivo, somos muy optimistas sobre el crecimiento a gran escala de este mercado en el futuro (porque la sabiduría de la multitud es muy adecuada para los escenarios de juego ofensivo y defensivo en el mercado de valores).
** ¿Las plataformas de auditoría impulsadas por la comunidad supondrán una amenaza para las empresas de auditoría centralizadas? Creemos que tendrán una sana competencia mutua y una relación complementaria. En el corto plazo, cuando una plataforma como Code4rena crea cierto efecto de red y tiene un buen historial (la proporción de proyectos auditados que son pirateados es baja), puede de hecho, dar algunas empresas centralizadas en el medio y la cola traerá cierta presión competitiva, pero a la larga, esto también puede obligar a la plataforma de auditoría centralizada a formar alguna cooperación comercial con la plataforma impulsada por la comunidad, porque esto también puede ampliar los clientes de la plataforma de auditoría de seguridad centralizada Group y mejorar la calidad de la auditoría (un poco como el proyecto de recompensas de seguridad original que fue operado de forma independiente por una importante empresa web2 y luego formó una lógica de cooperación con plataformas de terceros como HackerOne).
Aunque la dirección de la plataforma de seguridad impulsada por la comunidad debe estar más orientada a DAO (Forta en realidad puede incluirse en esta categoría), en la operación real del proyecto actual, todavía existen problemas tales como: cómo hacer que el flujo de trabajo y proceso de distribución económica más transparente y abierto, cómo sopesar las consideraciones de privacidad y seguridad de la parte del proyecto, cómo definir más claramente la relación entre el trabajo en equipo y la contribución personal, cómo resolver el problema de una manera más justa y profesional cuando hay conflictos de interés surgir, etc. Estas son las cosas que los DAO de seguridad necesitan para enfrentar el desafío de Right.