Como un sistema informático a gran escala, la complejidad del sistema actual de la cadena de bloques ha superado con creces el nivel de hace 5 años, el grado de modularización de la infraestructura es más refinado, la lógica de contrato inteligente de la capa de aplicación es cada vez más abundante y la interacción entre contratos es muy frecuente, más importante aún, la cantidad de activos administrados por el sistema blockchain ya es muy grande, por lo que recientemente ha habido más discusiones sobre el ciclo de seguridad en la comunidad de seguridad blockchain (la situación es la misma que en 2017 , cuando la gente piensa en seguridad, solo piensa en desarrolladores. Es muy diferente escribir el contrato y arrojárselo a los amigos de la Fundación Ethereum para que le echen un vistazo y hagan algunas pruebas básicas).
A lo largo del ciclo de vida de seguridad de un programa de cadena de bloques (desde las pruebas, invitando a auditorías de terceros hasta el monitoreo posterior al evento y las auditorías de actualización), la comunidad de recompensas por errores es como una plataforma de seguridad para atraer sombreros blancos a través de la teoría de juegos y el trabajo en clúster. del grupo del proyecto se revisará por última vez, y algunos trabajadores de seguridad de contratos inteligentes sienten que la recompensa por errores es más como la última persona en la línea de defensa, pero creo que las competencias de recompensas por errores y auditoría tienen el potencial de desempeñar un papel mayor papel en el futuro, sirviendo como un sistema que se ejecuta a través de todo El ciclo de vida de seguridad papel mejora la seguridad general del sistema.
Por supuesto, también existen programas de recompensas por errores (Bug Bounty o Vulnerabilty Rewards) en el campo de la seguridad de red tradicional. Primero, las principales empresas de tecnología como Facebook, Google, Microsoft, etc. implementarán programas de recompensas para sus propios equipos de seguridad internos y sus propias líneas de productos En segundo lugar, las plataformas de terceros Bug bounty representadas por HackerOne y Bugcrowd han surgido alrededor de 2015. En la actualidad, estas dos empresas de seguridad líderes dependen de la distribución de comisiones de recompensas como su principal ingreso, y su ingreso anual puede alcanzar cerca de 50 millones de dólares americanos y 20 millones de dólares respectivamente. En el mundo de la cadena de bloques, la recompensa es un tema más interesante que a menudo se discute en el círculo de seguridad. La razón principal es que el código abierto de la cadena de bloques en realidad hace que el costo de piratear y actualizar las estrategias de ataque sea más barato. Además, el mundo de las criptomonedas fuertemente aboga por agrupar economías de trabajo, creación y propiedad abiertas a modelos de contribución que hacen que una economía de sombrero blanco más abierta sea aún más valiosa.
¿Qué son las recompensas por errores y los concursos de auditoría? ¿Por qué los necesitamos?
La seguridad es un juego dinámico entre el atacante y el defensor, tal como dijo el experto en seguridad informática y criptógrafo Bruce Schneier: "La seguridad es un proceso, no un producto. Es una forma de pensar que debe atravesar el proceso de desarrollo de software en todos los aspectos. ." En el mundo de la cadena de bloques, un bosque oscuro donde todos los códigos son de código abierto y transparentes, un proyecto de cadena de bloques que quiera sobrevivir durante mucho tiempo debe tener una demanda eterna por la seguridad de sus productos/contratos. Todos los productos de la cadena tienen más o menos atributos financieros El activo más importante en las finanzas es la confianza, y la confianza del usuario es solo una vez.
¿Dónde están las deficiencias y los problemas de la auditoría tradicional? ¿Qué ventajas pueden tener las recompensas de errores impulsadas por la comunidad y las competencias de auditoría para compensar estos problemas?
Los desarrolladores que usan servicios de auditoría a menudo encuentran que:
Incluso después de comprar los servicios de una empresa de auditoría de terceros, todavía hay problemas con el código después de la auditoría. Aunque las razones de estos problemas son diferentes (técnicas y no técnicas), no parece ser completamente confiable confiar en una empresa auditora al final.Sin embargo, la calidad de la auditoría de código todavía depende del nivel del auditor, y los clientes a menudo carecen de la capacidad de discernir "quién es mejor".
La plataforma de recompensas y la competencia de auditoría son una "caja de arena" más abierta. El código del proyecto puede ser revisado por sombreros blancos a voluntad, y los antecedentes no están limitados (puede haber personal de compañías de auditoría profesionales y puede haber analistas de seguridad independientes ), el arsenal es ilimitado, y todo lo que los clientes tienen que hacer es establecer una recompensa razonable y pagar su contribución cuando el sombrero blanco encuentra un problema.
Por lo general, los clientes primero envían su código que debe ser revisado por el white hat, definen el nivel de seguridad de la vulnerabilidad (generalmente relacionado con la posible pérdida económica, cuanto más fácil sea la vulnerabilidad que causa directamente la pérdida económica, mayor será el nivel de gravedad) , presupuesto de recompensas, alcance del código de prueba e incluso pasos de prueba.
¿Qué tan grande es el mercado?
El modelo comercial de las plataformas de recompensas y los concursos de auditoría generalmente consiste en extraer una parte de la recompensa pagada por los clientes o el fondo de bonificación total establecido como tarifa de servicio de la plataforma. Los clientes (partes del proyecto) que necesitan auditorías de seguridad de código anunciarán sus planes en la plataforma de recompensas de acuerdo con sus propias necesidades (qué códigos deben auditarse, cómo definir la gravedad de las vulnerabilidades y cuánta recompensa están dispuestos a pagar), y sombreros blancos Las vulnerabilidades se encontrarán de acuerdo con las necesidades del lado del proyecto. Una vez que los sombreros blancos encuentren las lagunas y satisfagan las necesidades del lado del proyecto, la recompensa se distribuirá a los sombreros blancos y la plataforma de recompensas dibujará una comisión de ella como una tarifa de servicio.
En el campo de la seguridad de red tradicional Web2, la plataforma de recompensas por errores también es una dirección relativamente joven (apareció después de 2012), y actualmente las plataformas de recompensas por errores más grandes son HackerOne y Bugcrowd. En 2022, los ingresos anuales de HackerOne alcanzarán los 58 millones de dólares estadounidenses, la valoración de la empresa alcanzará los 500 millones de dólares estadounidenses y la recompensa acumulada pagada en la historia será de 230 millones de dólares estadounidenses (150 millones de dólares estadounidenses en 2021 y 2022). , tiene más de 1 millón de piratas informáticos registrados y más de 1,000 clientes que usan los servicios de HackerOne todos los meses. Se espera que su competidor, Bugcrowd, gane más de $20 millones en 2022.
En el campo de la seguridad de Web3, en 2022, todas las plataformas de competencia de auditoría y recompensas por errores de web3 emitirán un total de 50 millones de dólares estadounidenses en recompensas para los piratas informáticos de sombrero blanco, y el nivel de cobro promedio de dichas plataformas es de alrededor del 10% al 30%. por lo que se estima de manera conservadora El tamaño actual del mercado es de alrededor de $ 5 millones ~ $ 15 millones, y todavía es un mercado muy emergente.
Otra cosa interesante es que cada vez más clientes están dispuestos a utilizar directamente los servicios de auditoría de código proporcionados por la comunidad de seguridad descentralizada. En cambio, la empresa de auditoría de terceros eligió Code 4 Rena, la plataforma de competencia de auditoría descentralizada más grande en la actualidad, y estableció un pozo de premios de 1 millón de dólares EE. UU. Hoy en día, el mercado tradicional de auditoría de seguridad está cada vez más involucrado (volumen de recursos humanos, volumen de herramientas técnicas, volumen de mercado BD), ¿los servicios de seguridad descentralizados serán un crecimiento importante en este mercado? (Actualmente hay 56 empresas de auditoría en el mercado, y los ingresos de las empresas líderes en el último año fueron de entre US$10 millones y US$40 millones. Creo que hay mucho espacio para la imaginación en el mercado de la seguridad descentralizada).
Plataformas de recompensas por errores frente a plataformas de concursos de auditoría
Aunque la plataforma de recompensas por errores tiene un historial de desarrollo de diez años en web2, la plataforma de competencia de auditoría es algo nuevo en web3 nativo. El objeto del servicio de competencia de auditoría son aquellas partes del proyecto que están a punto de lanzar productos o algunas funciones nuevas, y utilizan el poder de la comunidad descentralizada para ayudarlos a completar el servicio de auditoría dentro de un tiempo específico (más de 2 semanas). perspectiva, la competencia de auditoría traerá ninguna amenaza a las empresas de auditoría tradicionales.
A continuación, mostraré las diferencias entre las dos plataformas en términos de métodos de participación, estructura de recompensas y cobertura de la prueba:
forma de participación
Las plataformas de recompensas por errores como Immunefi suelen ser proyectos abiertos en los que cualquiera puede participar en cualquier momento. Los participantes suelen explorar y reportar vulnerabilidades de forma independiente a cambio de recompensas. Si dos personas encuentran la misma vulnerabilidad repetida, se seguirá el principio de primero en llegar, primero en ser atendido, y quien envíe el informe primero obtendrá la recompensa primero.
Las plataformas de competencia de auditoría impulsadas por la comunidad (por ejemplo, Code 4 rena, Sherlock) a menudo tienen un límite de tiempo y compiten con los participantes para encontrar e informar vulnerabilidades dentro de un período de tiempo determinado. En comparación con la plataforma de recompensas, habrá algo de trabajo en equipo (por ejemplo, cada proyecto tendrá una asignación clara de Auditor senior líder y Juez líder, y finalmente revisará y resumirá todos los resultados de auditoría en un informe de auditoría para el cliente, y estos dos líderes siguen también el principio de descentralización de las elecciones y concursos comunitarios). Además, si dos competidores de auditoría encuentran lagunas repetidas dentro del tiempo especificado, ambos pueden obtener recompensas.
estructura de recompensa
Las recompensas reales emitidas por ambos considerarán principalmente la gravedad de la vulnerabilidad descubierta.
La única diferencia es que una plataforma de competencia de auditoría impulsada por la comunidad como Code 4 Rena tendrá una parte fija (5 % ~ 10 %) del fondo de bonificación para cada proyecto asignado al Auditor sénior principal y al Juez principal, porque en realidad realizan auditorías tradicionales. proyectos de empresa El papel del responsable.
Otro punto interesante es que la fiesta del proyecto en la plataforma de recompensas por errores a veces coloca tokens de proyectos como recompensas, pero también he visto que algunos hackers de sombrero blanco en la comunidad prefieren obtener monedas estables como USDC y USDT en lugar de las fluctuaciones de precios de los tokens de proyectos.
alcance y enfoque
Los proyectos de plataforma de recompensas por errores suelen tener un alcance amplio, mientras que los proyectos de concursos de auditoría suelen tener un alcance más centrado, dirigido a una función o aspecto específico del software, mientras que requieren sombreros blancos para centrarse en completar el trabajo en un período de tiempo más corto.
Proyectos enfocados a concursos de auditoria
Code 4 Rena: una plataforma de competencia de auditoría impulsada por la comunidad similar a los deportes electrónicos
Code 4 Rena tiene tres tipos de personajes:
Los auditores (Guardianes) revisan el código. Cualquiera, desde un ingeniero de seguridad profesional hasta un desarrollador novato que intente adquirir más experiencia, puede registrarse como auditor para participar en la competencia pública de auditoría.
Los jueces suelen ser los mejores ingenieros de la comunidad C 4. Determinan la gravedad, la eficacia y la calidad de las vulnerabilidades y evalúan el rendimiento de la auditoría.
Los patrocinadores son partes de proyectos, como Opensea, Blur, ENS, Chainlink, etc. Crean fondos de bonificación para atraer auditores para auditar el código de sus proyectos. Los patrocinadores también tienen la opción de organizar competencias privadas solo por invitación para mayor privacidad.
Uno de los puntos más interesantes es la cultura que está construyendo Code 4 Rena: se fomenta la colaboración y el trabajo en equipo. A diferencia de los programas tradicionales de recompensas por errores, Code 4 Rena paga a todos los auditores que reportan una vulnerabilidad válida, incluso si la vulnerabilidad ya ha sido reportada. Esto fomenta una sana competencia entre los auditores, ya que están motivados para encontrar vulnerabilidades comunes y de alta gravedad. En esta plataforma, algunos auditores formarán equipos temporales para encontrar lagunas en conjunto.
modelo de negocio:
Cualquier proyecto puede ir a Code 4 rena para iniciar un programa de competencia de auditoría y proporcionar USDC o ETH para configurar un fondo de premios básico (por lo general, el tamaño del fondo de premios es de $ 40,000 ~ $ 100,000), Code 4 rena cobrará el 20% del fondo básico bolsa de premios como plataforma Ingresos por servicios para organizar concursos, proporcionar revisiones y clasificar informes de resultados de auditoría. El grupo del proyecto también puede proporcionar tokens de proyecto además del premio acumulado básico para configurar un premio acumulado adicional, y Code 4 rena cobrará el 40 % de este premio acumulado adicional.
Sherlock - Auditoría impulsada por la comunidad con seguro de contrato inteligente
Similar a Code 4 rena, Sherlock también tiene funciones como auditores, patrocinadores y jueces. La singularidad de Sherlock radica en los servicios de seguros proporcionados por la plataforma. Cualquiera puede invertir en el grupo de seguros en la plataforma Sherlock. Los inversores depositan USDC en el grupo de seguros, y los clientes del acuerdo pueden comprar servicios para cubrir el riesgo de piratería de contratos inteligentes. Las fuentes de ingresos para los inversores de seguros incluyen: primas pagadas por los clientes del acuerdo + intereses ganados al depositar fondos del fondo de seguros en otros fondos de DeFi (Aave, Compound, etc.) + incentivos de token Sherlock. Pero el inversionista corre el riesgo de pagar la póliza mientras obtiene los beneficios.
Otro punto que lo diferencia de Code 4 rena es el mecanismo de distribución de los ingresos por servicios de auditoría que brinda la plataforma. En comparación con Code 4 rena, Sherlock tiene reglas que permiten que el auditor senior de seguridad y el juez principal obtengan una cantidad fija (5% ~ 10%) del fondo de bonificación para compensar y motivar adecuadamente al auditor senior de tiempo completo. Además, existen sistemas de selección y competencia para la selección de roles de liderazgo.
¿Cómo construir una comunidad de hackers? ¿Cuál es la mayor preocupación de los sombreros blancos de Web3?
Después de observar diferentes comunidades de seguridad descentralizadas (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, etc.) y conversar con algunos empresarios de seguridad, pensamos que lo que todas las plataformas descentralizadas se comprometen a hacer es: construir un entorno más saludable y eficiente. plataforma de comunicación y colaboración. La plataforma de recompensas es como un mercado entre los piratas informáticos y los proyectos. No solo deben considerar sus necesidades desde la perspectiva de los piratas informáticos (como se muestra en la tabla a continuación), sino también considerar lo que más les preocupa (calidad de la auditoría).
Fuente: 《Perspectivas de los cazadores de insectos sobre los desafíos y beneficios de Bug Bounty Eco》
Además de algunas necesidades comunes, también vi algunos temas interesantes en la comunidad de sombrero blanco de Immunefi (la comunidad de discord de sombrero blanco más animada que vi).
Por ejemplo:
Un sombrero blanco llamado Rappie quiere revelar algunas lagunas del proyecto que descubrió antes y pregunta qué reglas de la comunidad deben seguirse. (1. Solo divulgue los errores que se hayan solucionado. 2. Asegúrese de que cualquier información pública no tenga un impacto negativo en el protocolo o sus usuarios. Mantenga la información confidencial, por ejemplo: después de que solucionen su vulnerabilidad de inyección SQL, no divulgue información sobre su base de datos completa 3. Asegúrese de que necesita enviar un mensaje privado al equipo del proyecto antes de hacerlo público).
Un sombrero blanco llamado Noam Yakov cuestionó la definición de un proyecto de recompensas (esto sucede a menudo porque, por lo general, solo se pueden recompensar las vulnerabilidades de seguridad graves. ¿Cómo define el proyecto el nivel de seguridad de una vulnerabilidad? Algo que preocupa mucho a los sombreros blancos, y la comunidad escucha mucho sobre tales disputas). En el proyecto de recompensas de Uniwhales, tenía dudas sobre su definición del impacto de MEV como una vulnerabilidad de seguridad grave. Al final, todos discutieron que este tipo de descripción no se aplica a todas las situaciones de MEV. Por ejemplo, para algunos flujos de pedidos tóxicos, el El grupo de protocolos puede La situación de drenaje de activos es definitivamente un incidente de seguridad grave (por lo que a menudo no es suficiente definir un conjunto de marcos de nivel de seguridad y, por lo general, se requiere un rol similar de árbitro en la plataforma para intervenir en diferentes casos reales).
Y para un tema muy interesante, "¿Cuáles son sus demandas y expectativas para una plataforma de recompensas como Immunefi?", un white hat llamado ckksec dio su respuesta: 1) Ayudar a estos white hats cifrados y anónimos a obtener sus ingresos laborales. Hacer algunas aclaraciones legales como la facturación. 2) La plataforma no solo debe tener un sistema de calificación para los sombreros blancos, sino también calificar la calidad del proyecto porque los sombreros blancos a menudo necesitan dedicar tiempo a distinguir la calidad del proyecto. 3) Para los sombreros blancos que están dispuestos a abrir su perfil, la plataforma puede mostrar su flujo de trabajo. Al mismo tiempo, es mejor que la plataforma muestre de manera más transparente la información del informe de análisis de seguridad recibida por la parte del proyecto.
¿Qué herramientas pueden ayudar a los sombreros blancos?
Con el fuego de LLM GPT, recientemente escuché a personas discutir con frecuencia si las auditorías de seguridad también pueden ser reemplazadas por IA. Los profesionales de seguridad experimentados con los que he hablado generalmente creen que GPT es difícil de reemplazar directamente a la inteligencia humana. Algunas frutas maduras (problemas que son fáciles de encontrar) pueden ser detectadas por modelos de lenguaje, pero esos problemas con riesgos medios y altos aún requieren expertos. participación. Por ejemplo, según los comentarios de un experto en seguridad sénior, para análisis de datos y análisis dinámicos similares, estas pruebas más complejas deben combinarse artificialmente con la lógica comercial real del protocolo para realizar pruebas de análisis de seguridad por adelantado y definir el objetivo esperado. atributos de la prueba por adelantado. La parte más difícil es escribir buenas propiedades y definir el campo de prueba correcto. Según sus experimentos con GPT, creen que GPT no puede reemplazar completamente a los humanos en esta etapa.
Por supuesto, actualmente hay resultados más optimistas que muestran que LLM puede mejorar en gran medida la eficiencia del análisis de las herramientas de análisis de seguridad y reducir la tasa de falsos positivos.
Pensemos en este tema desde otra perspectiva no técnica interesante. Es un juego dinámico entre atacantes y defensores de la seguridad. La altura mágica es un pie más alta que la otra. ¿La IA brindará seguridad relativa a los atacantes de la seguridad? ¿Ayuda?
La seguridad está orientada a las personas
La gente habitualmente pensará que el software es algo frío, mecánico y lógico, y mejorar la seguridad del sistema solo necesita mejorar la tecnología de análisis y el nivel de defensa del sistema. Sin embargo, la gente no piensa en cuestiones de seguridad desde la perspectiva de los incentivos económicos y la naturaleza humana. En el bosque oscuro del código fuente abierto, necesitamos un sistema de distribución que esté más en línea con las suposiciones de las personas racionales. Incentivos económicos positivos y benignos atraer a más personas que estén dispuestas a invertir en blockchain durante mucho tiempo. Se unen personas que aportan sabiduría a la seguridad del sistema.
La estructura del mercado de auditoría de seguridad tradicional actual es estable, y la reputación de la marca es el activo intangible más importante de las empresas en este campo.Con el tiempo, la influencia de las principales marcas de seguridad y la confianza de los clientes han aumentado constantemente, pero las auditorías de seguridad tradicionales también tienen su propios problemas (el modelo de negocio se basa únicamente en la mano de obra y es difícil crecer en escala, y las empresas líderes necesitan equilibrar el crecimiento y la calidad de la auditoría. Algunas empresas se han encontrado con un cuello de botella de este tipo e incluso han afectado el valor de la marca).
La competencia de auditoría de seguridad impulsada por la comunidad es un modelo de negocio innovador. En la actualidad, más de 300 clientes de las dos plataformas han encontrado gradualmente PMF, y la plataforma de recompensas es un buen complemento para el ciclo de vida de la seguridad. Aunque estas plataformas descentralizadas todavía son No hemos encontrado un modelo de token particularmente efectivo, pero somos muy optimistas sobre el crecimiento a gran escala de este mercado en el futuro (porque la sabiduría de la multitud es muy adecuada para los escenarios de juegos ofensivos y defensivos en el mercado de seguridad).
¿Las plataformas de auditoría impulsadas por la comunidad supondrán una amenaza para las empresas de auditoría centralizadas? Creemos que tendrán una sana competencia mutua y una relación complementaria En el corto plazo, cuando una plataforma como Code 4 rena forma un cierto efecto de red y tiene un buen historial (la proporción de proyectos auditados que son pirateados es baja), puede de hecho, dar algunas empresas centralizadas en el medio y la cola traerá ciertas presiones competitivas, pero a la larga, esto también puede obligar a la plataforma de auditoría centralizada a formar alguna cooperación comercial con la plataforma impulsada por la comunidad, porque esto también puede ampliar la base de clientes de la plataforma de auditoría de seguridad centralizada y mejorar la calidad de la auditoría (un poco como el proyecto de recompensas de seguridad original operado de forma independiente por una gran empresa web2 y luego formó una lógica de cooperación con plataformas de terceros como HackerOne).
Aunque la dirección de la plataforma de seguridad impulsada por la comunidad debe estar más orientada a DAO (Forta en realidad puede incluirse en esta categoría), en la operación real del proyecto actual, todavía existen problemas tales como: cómo hacer que el flujo de trabajo y proceso de distribución económica más transparente y abierto, cómo sopesar las consideraciones de privacidad y seguridad del lado del proyecto, cómo definir más claramente la relación entre el trabajo en equipo y la contribución personal, cómo resolver problemas de una manera relativamente justa y profesional cuando surgen conflictos de interés , etc. Desafío correcto.
Referencia:
《Anuario de HackerOne》
《Bounty Everything: los piratas informáticos y la creación del mercado global de errores》
《Un estudio empírico de programas de recompensas por vulnerabilidad》
《El informe de hackers de 2022》
《Productividad y patrones de actividad en los programas Bug Bounty》
10
11
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures: una interpretación integral del mercado de auditoría y recompensas impulsado por la comunidad
Autor original: Ray, IOSG Ventures
Prefacio
Como un sistema informático a gran escala, la complejidad del sistema actual de la cadena de bloques ha superado con creces el nivel de hace 5 años, el grado de modularización de la infraestructura es más refinado, la lógica de contrato inteligente de la capa de aplicación es cada vez más abundante y la interacción entre contratos es muy frecuente, más importante aún, la cantidad de activos administrados por el sistema blockchain ya es muy grande, por lo que recientemente ha habido más discusiones sobre el ciclo de seguridad en la comunidad de seguridad blockchain (la situación es la misma que en 2017 , cuando la gente piensa en seguridad, solo piensa en desarrolladores. Es muy diferente escribir el contrato y arrojárselo a los amigos de la Fundación Ethereum para que le echen un vistazo y hagan algunas pruebas básicas).
A lo largo del ciclo de vida de seguridad de un programa de cadena de bloques (desde las pruebas, invitando a auditorías de terceros hasta el monitoreo posterior al evento y las auditorías de actualización), la comunidad de recompensas por errores es como una plataforma de seguridad para atraer sombreros blancos a través de la teoría de juegos y el trabajo en clúster. del grupo del proyecto se revisará por última vez, y algunos trabajadores de seguridad de contratos inteligentes sienten que la recompensa por errores es más como la última persona en la línea de defensa, pero creo que las competencias de recompensas por errores y auditoría tienen el potencial de desempeñar un papel mayor papel en el futuro, sirviendo como un sistema que se ejecuta a través de todo El ciclo de vida de seguridad papel mejora la seguridad general del sistema.
Por supuesto, también existen programas de recompensas por errores (Bug Bounty o Vulnerabilty Rewards) en el campo de la seguridad de red tradicional. Primero, las principales empresas de tecnología como Facebook, Google, Microsoft, etc. implementarán programas de recompensas para sus propios equipos de seguridad internos y sus propias líneas de productos En segundo lugar, las plataformas de terceros Bug bounty representadas por HackerOne y Bugcrowd han surgido alrededor de 2015. En la actualidad, estas dos empresas de seguridad líderes dependen de la distribución de comisiones de recompensas como su principal ingreso, y su ingreso anual puede alcanzar cerca de 50 millones de dólares americanos y 20 millones de dólares respectivamente. En el mundo de la cadena de bloques, la recompensa es un tema más interesante que a menudo se discute en el círculo de seguridad. La razón principal es que el código abierto de la cadena de bloques en realidad hace que el costo de piratear y actualizar las estrategias de ataque sea más barato. Además, el mundo de las criptomonedas fuertemente aboga por agrupar economías de trabajo, creación y propiedad abiertas a modelos de contribución que hacen que una economía de sombrero blanco más abierta sea aún más valiosa.
¿Qué son las recompensas por errores y los concursos de auditoría? ¿Por qué los necesitamos?
La seguridad es un juego dinámico entre el atacante y el defensor, tal como dijo el experto en seguridad informática y criptógrafo Bruce Schneier: "La seguridad es un proceso, no un producto. Es una forma de pensar que debe atravesar el proceso de desarrollo de software en todos los aspectos. ." En el mundo de la cadena de bloques, un bosque oscuro donde todos los códigos son de código abierto y transparentes, un proyecto de cadena de bloques que quiera sobrevivir durante mucho tiempo debe tener una demanda eterna por la seguridad de sus productos/contratos. Todos los productos de la cadena tienen más o menos atributos financieros El activo más importante en las finanzas es la confianza, y la confianza del usuario es solo una vez.
¿Dónde están las deficiencias y los problemas de la auditoría tradicional? ¿Qué ventajas pueden tener las recompensas de errores impulsadas por la comunidad y las competencias de auditoría para compensar estos problemas?
Los desarrolladores que usan servicios de auditoría a menudo encuentran que:
¿Qué tan grande es el mercado?
El modelo comercial de las plataformas de recompensas y los concursos de auditoría generalmente consiste en extraer una parte de la recompensa pagada por los clientes o el fondo de bonificación total establecido como tarifa de servicio de la plataforma. Los clientes (partes del proyecto) que necesitan auditorías de seguridad de código anunciarán sus planes en la plataforma de recompensas de acuerdo con sus propias necesidades (qué códigos deben auditarse, cómo definir la gravedad de las vulnerabilidades y cuánta recompensa están dispuestos a pagar), y sombreros blancos Las vulnerabilidades se encontrarán de acuerdo con las necesidades del lado del proyecto. Una vez que los sombreros blancos encuentren las lagunas y satisfagan las necesidades del lado del proyecto, la recompensa se distribuirá a los sombreros blancos y la plataforma de recompensas dibujará una comisión de ella como una tarifa de servicio.
En el campo de la seguridad de red tradicional Web2, la plataforma de recompensas por errores también es una dirección relativamente joven (apareció después de 2012), y actualmente las plataformas de recompensas por errores más grandes son HackerOne y Bugcrowd. En 2022, los ingresos anuales de HackerOne alcanzarán los 58 millones de dólares estadounidenses, la valoración de la empresa alcanzará los 500 millones de dólares estadounidenses y la recompensa acumulada pagada en la historia será de 230 millones de dólares estadounidenses (150 millones de dólares estadounidenses en 2021 y 2022). , tiene más de 1 millón de piratas informáticos registrados y más de 1,000 clientes que usan los servicios de HackerOne todos los meses. Se espera que su competidor, Bugcrowd, gane más de $20 millones en 2022.
En el campo de la seguridad de Web3, en 2022, todas las plataformas de competencia de auditoría y recompensas por errores de web3 emitirán un total de 50 millones de dólares estadounidenses en recompensas para los piratas informáticos de sombrero blanco, y el nivel de cobro promedio de dichas plataformas es de alrededor del 10% al 30%. por lo que se estima de manera conservadora El tamaño actual del mercado es de alrededor de $ 5 millones ~ $ 15 millones, y todavía es un mercado muy emergente.
Otra cosa interesante es que cada vez más clientes están dispuestos a utilizar directamente los servicios de auditoría de código proporcionados por la comunidad de seguridad descentralizada. En cambio, la empresa de auditoría de terceros eligió Code 4 Rena, la plataforma de competencia de auditoría descentralizada más grande en la actualidad, y estableció un pozo de premios de 1 millón de dólares EE. UU. Hoy en día, el mercado tradicional de auditoría de seguridad está cada vez más involucrado (volumen de recursos humanos, volumen de herramientas técnicas, volumen de mercado BD), ¿los servicios de seguridad descentralizados serán un crecimiento importante en este mercado? (Actualmente hay 56 empresas de auditoría en el mercado, y los ingresos de las empresas líderes en el último año fueron de entre US$10 millones y US$40 millones. Creo que hay mucho espacio para la imaginación en el mercado de la seguridad descentralizada).
Plataformas de recompensas por errores frente a plataformas de concursos de auditoría
Aunque la plataforma de recompensas por errores tiene un historial de desarrollo de diez años en web2, la plataforma de competencia de auditoría es algo nuevo en web3 nativo. El objeto del servicio de competencia de auditoría son aquellas partes del proyecto que están a punto de lanzar productos o algunas funciones nuevas, y utilizan el poder de la comunidad descentralizada para ayudarlos a completar el servicio de auditoría dentro de un tiempo específico (más de 2 semanas). perspectiva, la competencia de auditoría traerá ninguna amenaza a las empresas de auditoría tradicionales.
A continuación, mostraré las diferencias entre las dos plataformas en términos de métodos de participación, estructura de recompensas y cobertura de la prueba:
forma de participación
Las plataformas de recompensas por errores como Immunefi suelen ser proyectos abiertos en los que cualquiera puede participar en cualquier momento. Los participantes suelen explorar y reportar vulnerabilidades de forma independiente a cambio de recompensas. Si dos personas encuentran la misma vulnerabilidad repetida, se seguirá el principio de primero en llegar, primero en ser atendido, y quien envíe el informe primero obtendrá la recompensa primero.
Las plataformas de competencia de auditoría impulsadas por la comunidad (por ejemplo, Code 4 rena, Sherlock) a menudo tienen un límite de tiempo y compiten con los participantes para encontrar e informar vulnerabilidades dentro de un período de tiempo determinado. En comparación con la plataforma de recompensas, habrá algo de trabajo en equipo (por ejemplo, cada proyecto tendrá una asignación clara de Auditor senior líder y Juez líder, y finalmente revisará y resumirá todos los resultados de auditoría en un informe de auditoría para el cliente, y estos dos líderes siguen también el principio de descentralización de las elecciones y concursos comunitarios). Además, si dos competidores de auditoría encuentran lagunas repetidas dentro del tiempo especificado, ambos pueden obtener recompensas.
estructura de recompensa
Las recompensas reales emitidas por ambos considerarán principalmente la gravedad de la vulnerabilidad descubierta.
La única diferencia es que una plataforma de competencia de auditoría impulsada por la comunidad como Code 4 Rena tendrá una parte fija (5 % ~ 10 %) del fondo de bonificación para cada proyecto asignado al Auditor sénior principal y al Juez principal, porque en realidad realizan auditorías tradicionales. proyectos de empresa El papel del responsable.
Otro punto interesante es que la fiesta del proyecto en la plataforma de recompensas por errores a veces coloca tokens de proyectos como recompensas, pero también he visto que algunos hackers de sombrero blanco en la comunidad prefieren obtener monedas estables como USDC y USDT en lugar de las fluctuaciones de precios de los tokens de proyectos.
alcance y enfoque
Los proyectos de plataforma de recompensas por errores suelen tener un alcance amplio, mientras que los proyectos de concursos de auditoría suelen tener un alcance más centrado, dirigido a una función o aspecto específico del software, mientras que requieren sombreros blancos para centrarse en completar el trabajo en un período de tiempo más corto.
Proyectos enfocados a concursos de auditoria
Code 4 Rena: una plataforma de competencia de auditoría impulsada por la comunidad similar a los deportes electrónicos
Code 4 Rena tiene tres tipos de personajes:
Los auditores (Guardianes) revisan el código. Cualquiera, desde un ingeniero de seguridad profesional hasta un desarrollador novato que intente adquirir más experiencia, puede registrarse como auditor para participar en la competencia pública de auditoría.
Los jueces suelen ser los mejores ingenieros de la comunidad C 4. Determinan la gravedad, la eficacia y la calidad de las vulnerabilidades y evalúan el rendimiento de la auditoría.
Los patrocinadores son partes de proyectos, como Opensea, Blur, ENS, Chainlink, etc. Crean fondos de bonificación para atraer auditores para auditar el código de sus proyectos. Los patrocinadores también tienen la opción de organizar competencias privadas solo por invitación para mayor privacidad.
Uno de los puntos más interesantes es la cultura que está construyendo Code 4 Rena: se fomenta la colaboración y el trabajo en equipo. A diferencia de los programas tradicionales de recompensas por errores, Code 4 Rena paga a todos los auditores que reportan una vulnerabilidad válida, incluso si la vulnerabilidad ya ha sido reportada. Esto fomenta una sana competencia entre los auditores, ya que están motivados para encontrar vulnerabilidades comunes y de alta gravedad. En esta plataforma, algunos auditores formarán equipos temporales para encontrar lagunas en conjunto.
modelo de negocio:
Cualquier proyecto puede ir a Code 4 rena para iniciar un programa de competencia de auditoría y proporcionar USDC o ETH para configurar un fondo de premios básico (por lo general, el tamaño del fondo de premios es de $ 40,000 ~ $ 100,000), Code 4 rena cobrará el 20% del fondo básico bolsa de premios como plataforma Ingresos por servicios para organizar concursos, proporcionar revisiones y clasificar informes de resultados de auditoría. El grupo del proyecto también puede proporcionar tokens de proyecto además del premio acumulado básico para configurar un premio acumulado adicional, y Code 4 rena cobrará el 40 % de este premio acumulado adicional.
Sherlock - Auditoría impulsada por la comunidad con seguro de contrato inteligente
Similar a Code 4 rena, Sherlock también tiene funciones como auditores, patrocinadores y jueces. La singularidad de Sherlock radica en los servicios de seguros proporcionados por la plataforma. Cualquiera puede invertir en el grupo de seguros en la plataforma Sherlock. Los inversores depositan USDC en el grupo de seguros, y los clientes del acuerdo pueden comprar servicios para cubrir el riesgo de piratería de contratos inteligentes. Las fuentes de ingresos para los inversores de seguros incluyen: primas pagadas por los clientes del acuerdo + intereses ganados al depositar fondos del fondo de seguros en otros fondos de DeFi (Aave, Compound, etc.) + incentivos de token Sherlock. Pero el inversionista corre el riesgo de pagar la póliza mientras obtiene los beneficios.
Otro punto que lo diferencia de Code 4 rena es el mecanismo de distribución de los ingresos por servicios de auditoría que brinda la plataforma. En comparación con Code 4 rena, Sherlock tiene reglas que permiten que el auditor senior de seguridad y el juez principal obtengan una cantidad fija (5% ~ 10%) del fondo de bonificación para compensar y motivar adecuadamente al auditor senior de tiempo completo. Además, existen sistemas de selección y competencia para la selección de roles de liderazgo.
¿Cómo construir una comunidad de hackers? ¿Cuál es la mayor preocupación de los sombreros blancos de Web3?
Después de observar diferentes comunidades de seguridad descentralizadas (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, etc.) y conversar con algunos empresarios de seguridad, pensamos que lo que todas las plataformas descentralizadas se comprometen a hacer es: construir un entorno más saludable y eficiente. plataforma de comunicación y colaboración. La plataforma de recompensas es como un mercado entre los piratas informáticos y los proyectos. No solo deben considerar sus necesidades desde la perspectiva de los piratas informáticos (como se muestra en la tabla a continuación), sino también considerar lo que más les preocupa (calidad de la auditoría).
Fuente: 《Perspectivas de los cazadores de insectos sobre los desafíos y beneficios de Bug Bounty Eco》
Además de algunas necesidades comunes, también vi algunos temas interesantes en la comunidad de sombrero blanco de Immunefi (la comunidad de discord de sombrero blanco más animada que vi).
Por ejemplo:
Un sombrero blanco llamado Rappie quiere revelar algunas lagunas del proyecto que descubrió antes y pregunta qué reglas de la comunidad deben seguirse. (1. Solo divulgue los errores que se hayan solucionado. 2. Asegúrese de que cualquier información pública no tenga un impacto negativo en el protocolo o sus usuarios. Mantenga la información confidencial, por ejemplo: después de que solucionen su vulnerabilidad de inyección SQL, no divulgue información sobre su base de datos completa 3. Asegúrese de que necesita enviar un mensaje privado al equipo del proyecto antes de hacerlo público).
Un sombrero blanco llamado Noam Yakov cuestionó la definición de un proyecto de recompensas (esto sucede a menudo porque, por lo general, solo se pueden recompensar las vulnerabilidades de seguridad graves. ¿Cómo define el proyecto el nivel de seguridad de una vulnerabilidad? Algo que preocupa mucho a los sombreros blancos, y la comunidad escucha mucho sobre tales disputas). En el proyecto de recompensas de Uniwhales, tenía dudas sobre su definición del impacto de MEV como una vulnerabilidad de seguridad grave. Al final, todos discutieron que este tipo de descripción no se aplica a todas las situaciones de MEV. Por ejemplo, para algunos flujos de pedidos tóxicos, el El grupo de protocolos puede La situación de drenaje de activos es definitivamente un incidente de seguridad grave (por lo que a menudo no es suficiente definir un conjunto de marcos de nivel de seguridad y, por lo general, se requiere un rol similar de árbitro en la plataforma para intervenir en diferentes casos reales).
Y para un tema muy interesante, "¿Cuáles son sus demandas y expectativas para una plataforma de recompensas como Immunefi?", un white hat llamado ckksec dio su respuesta: 1) Ayudar a estos white hats cifrados y anónimos a obtener sus ingresos laborales. Hacer algunas aclaraciones legales como la facturación. 2) La plataforma no solo debe tener un sistema de calificación para los sombreros blancos, sino también calificar la calidad del proyecto porque los sombreros blancos a menudo necesitan dedicar tiempo a distinguir la calidad del proyecto. 3) Para los sombreros blancos que están dispuestos a abrir su perfil, la plataforma puede mostrar su flujo de trabajo. Al mismo tiempo, es mejor que la plataforma muestre de manera más transparente la información del informe de análisis de seguridad recibida por la parte del proyecto.
¿Qué herramientas pueden ayudar a los sombreros blancos?
Con el fuego de LLM GPT, recientemente escuché a personas discutir con frecuencia si las auditorías de seguridad también pueden ser reemplazadas por IA. Los profesionales de seguridad experimentados con los que he hablado generalmente creen que GPT es difícil de reemplazar directamente a la inteligencia humana. Algunas frutas maduras (problemas que son fáciles de encontrar) pueden ser detectadas por modelos de lenguaje, pero esos problemas con riesgos medios y altos aún requieren expertos. participación. Por ejemplo, según los comentarios de un experto en seguridad sénior, para análisis de datos y análisis dinámicos similares, estas pruebas más complejas deben combinarse artificialmente con la lógica comercial real del protocolo para realizar pruebas de análisis de seguridad por adelantado y definir el objetivo esperado. atributos de la prueba por adelantado. La parte más difícil es escribir buenas propiedades y definir el campo de prueba correcto. Según sus experimentos con GPT, creen que GPT no puede reemplazar completamente a los humanos en esta etapa.
Por supuesto, actualmente hay resultados más optimistas que muestran que LLM puede mejorar en gran medida la eficiencia del análisis de las herramientas de análisis de seguridad y reducir la tasa de falsos positivos.
Pensemos en este tema desde otra perspectiva no técnica interesante. Es un juego dinámico entre atacantes y defensores de la seguridad. La altura mágica es un pie más alta que la otra. ¿La IA brindará seguridad relativa a los atacantes de la seguridad? ¿Ayuda?
La seguridad está orientada a las personas
La gente habitualmente pensará que el software es algo frío, mecánico y lógico, y mejorar la seguridad del sistema solo necesita mejorar la tecnología de análisis y el nivel de defensa del sistema. Sin embargo, la gente no piensa en cuestiones de seguridad desde la perspectiva de los incentivos económicos y la naturaleza humana. En el bosque oscuro del código fuente abierto, necesitamos un sistema de distribución que esté más en línea con las suposiciones de las personas racionales. Incentivos económicos positivos y benignos atraer a más personas que estén dispuestas a invertir en blockchain durante mucho tiempo. Se unen personas que aportan sabiduría a la seguridad del sistema.
La estructura del mercado de auditoría de seguridad tradicional actual es estable, y la reputación de la marca es el activo intangible más importante de las empresas en este campo.Con el tiempo, la influencia de las principales marcas de seguridad y la confianza de los clientes han aumentado constantemente, pero las auditorías de seguridad tradicionales también tienen su propios problemas (el modelo de negocio se basa únicamente en la mano de obra y es difícil crecer en escala, y las empresas líderes necesitan equilibrar el crecimiento y la calidad de la auditoría. Algunas empresas se han encontrado con un cuello de botella de este tipo e incluso han afectado el valor de la marca).
La competencia de auditoría de seguridad impulsada por la comunidad es un modelo de negocio innovador. En la actualidad, más de 300 clientes de las dos plataformas han encontrado gradualmente PMF, y la plataforma de recompensas es un buen complemento para el ciclo de vida de la seguridad. Aunque estas plataformas descentralizadas todavía son No hemos encontrado un modelo de token particularmente efectivo, pero somos muy optimistas sobre el crecimiento a gran escala de este mercado en el futuro (porque la sabiduría de la multitud es muy adecuada para los escenarios de juegos ofensivos y defensivos en el mercado de seguridad).
¿Las plataformas de auditoría impulsadas por la comunidad supondrán una amenaza para las empresas de auditoría centralizadas? Creemos que tendrán una sana competencia mutua y una relación complementaria En el corto plazo, cuando una plataforma como Code 4 rena forma un cierto efecto de red y tiene un buen historial (la proporción de proyectos auditados que son pirateados es baja), puede de hecho, dar algunas empresas centralizadas en el medio y la cola traerá ciertas presiones competitivas, pero a la larga, esto también puede obligar a la plataforma de auditoría centralizada a formar alguna cooperación comercial con la plataforma impulsada por la comunidad, porque esto también puede ampliar la base de clientes de la plataforma de auditoría de seguridad centralizada y mejorar la calidad de la auditoría (un poco como el proyecto de recompensas de seguridad original operado de forma independiente por una gran empresa web2 y luego formó una lógica de cooperación con plataformas de terceros como HackerOne).
Aunque la dirección de la plataforma de seguridad impulsada por la comunidad debe estar más orientada a DAO (Forta en realidad puede incluirse en esta categoría), en la operación real del proyecto actual, todavía existen problemas tales como: cómo hacer que el flujo de trabajo y proceso de distribución económica más transparente y abierto, cómo sopesar las consideraciones de privacidad y seguridad del lado del proyecto, cómo definir más claramente la relación entre el trabajo en equipo y la contribución personal, cómo resolver problemas de una manera relativamente justa y profesional cuando surgen conflictos de interés , etc. Desafío correcto.
Referencia:
10 11