En tant que système informatique à grande échelle, la complexité actuelle du système de blockchain a largement dépassé le niveau d'il y a 5 ans, le degré de modularisation de l'infrastructure est plus raffiné, la logique des contrats intelligents au niveau de la couche applicative devient de plus en plus abondante, et l'interaction entre les contrats est très fréquente, plus important encore, le nombre d'actifs gérés par le système blockchain est déjà très important, il y a donc eu plus de discussions sur le cycle de sécurité dans la communauté de sécurité blockchain récemment (la situation est la même qu'en 2017 , quand les gens parlent de sécurité, ils ne pensent qu'aux développeurs. C'est très différent d'écrire le contrat et de le jeter aux amis de la Fondation Ethereum pour y jeter un œil et faire quelques tests de base).
Tout au long du cycle de vie de la sécurité des programmes blockchain (des tests, en invitant des audits tiers à la surveillance post-événement, en passant par les audits de mise à jour), la communauté bug bounty est comme un coussin de sécurité pour attirer les white hats grâce à la théorie des jeux et au travail en cluster. examen du code de la fête du projet, et certains travailleurs de la sécurité des contrats intelligents estiment que la prime de bogue ressemble plus au dernier homme sur la ligne de défense, mais je pense que la prime de bogue et la compétition d'audit ont le potentiel de jouer un plus grand rôle dans l'avenir, agissant en tant que Les rôles tout au long du cycle de vie de la sécurité améliorent la sécurité du système dans son ensemble. **
Bien sûr, il existe également des programmes de primes de bogues (Bug Bounty ou Vulnerabilty Rewards) dans le domaine de la sécurité des réseaux traditionnels. Premièrement, les grandes entreprises technologiques telles que Facebook, Google, Microsoft, etc. déploieront des programmes de primes pour leurs propres équipes de sécurité internes et Deuxièmement, les plates-formes tierces Bug Bounty représentées par HackerOne et Bugcrowd ont vu le jour depuis 2015 environ. dollars et 20 millions de dollars américains respectivement. Dans le monde de la blockchain, la prime est un sujet plus intéressant qui est souvent discuté dans le cercle de la sécurité. La raison principale est que l'open source du code blockchain rend en fait le coût du piratage et de l'amélioration des stratégies d'attaque moins cher. De plus, le monde de la crypto préconise regrouper les économies du travail, des créateurs et de la propriété ouvertes aux modèles de contribution qui rendent une économie chapeau blanc plus ouverte encore plus précieuse.
# **Qu'est-ce que les primes de bogue et les concours d'audit ? Pourquoi en avons-nous besoin ? **
La sécurité est un jeu dynamique entre l'attaquant et le défenseur, tout comme l'a dit l'expert en sécurité informatique et cryptographe Bruce Schneier : « La sécurité est un processus, pas un produit. C'est une façon de penser qui doit traverser le processus de développement logiciel dans tous ses aspects. " Dans le monde de la blockchain, une forêt sombre où tous les codes sont open source et transparents, un projet blockchain qui veut survivre longtemps doit avoir des besoins éternels pour la sécurité de ses produits/contrats. Les produits de la chaîne ont tous plus ou moins attributs financiers. L'atout le plus important en finance est la confiance, et la confiance de l'utilisateur n'est qu'une seule fois.
Où sont les lacunes et les problèmes de l'audit traditionnel ? Quels sont les avantages des primes de bogues et des concours d'audit communautaires pour compenser ces problèmes ?
Les développeurs utilisant des services d'audit constatent souvent que :
Même après avoir acheté les services d'une société d'audit tierce, il y a toujours des problèmes avec le code après l'audit. Bien que les raisons de ces problèmes soient différentes (techniques et non techniques), il ne semble pas totalement fiable de se fier sur une société d'audit en fin de compte. Cependant, la qualité de l'audit de code dépend toujours du niveau des auditeurs, et les clients n'ont souvent pas la capacité de discerner "qui est le meilleur".
La plate-forme de primes et le concours d'audit sont un "bac à sable" plus ouvert, et le code du projet peut être examiné par des white hats à volonté, sans restriction de fond (il peut y avoir du personnel de sociétés d'audit professionnelles, et il peut y avoir des analystes de sécurité indépendants) , l'arsenal est illimité, et tout ce que les clients ont à faire est de fixer une prime raisonnable et de payer leur contribution lorsque le chapeau blanc trouve un problème.
Habituellement, les clients soumettent d'abord leur code qui doit être examiné par le chapeau blanc, définissent le niveau de sécurité de la vulnérabilité (généralement lié à la perte économique possible, plus la vulnérabilité qui cause directement la perte économique est facile, plus le niveau de gravité est élevé) , le budget des primes, la portée du code de test et même les étapes de test.
Quelle est la taille du marché ?
Le modèle commercial des plates-formes de primes et des concours d'audit consiste généralement à tirer une partie de la prime payée par les clients ou du pool de bonus total mis en place en tant que frais de service de la plate-forme. Les clients (parties du projet) qui ont besoin d'audits de sécurité du code annonceront leurs plans sur la plateforme de primes en fonction de leurs propres besoins (quels codes doivent être audités, comment définir la gravité des vulnérabilités et combien de récompense ils sont prêts à payer), et white hats Les vulnérabilités seront trouvées en fonction des besoins du côté du projet Une fois que les failles sont trouvées par les white hats et répondent aux besoins du côté du projet, la prime sera distribuée aux white hats, et la plate-forme de primes attirera une commission à titre de frais de service.
Dans le domaine de la sécurité des réseaux traditionnels Web2, la plateforme de bug bounty est également une direction relativement jeune (apparue après 2012), et actuellement les plus grandes plateformes de bug bounty sont HackerOne et Bugcrowd. En 2022, le chiffre d'affaires annuel de HackerOne atteindra 58 millions de dollars américains, la valorisation de l'entreprise atteindra environ 500 millions de dollars américains et la prime cumulée versée dans l'histoire sera de 230 millions de dollars américains (150 millions de dollars américains en 2021 et 2022), et plus plus de 65 000 logiciels seront découverts Vulnérabilités, avec plus d'un million de pirates enregistrés et plus de 1 000 clients utilisant les services HackerOne chaque mois. Son concurrent, Bugcrowd, devrait générer plus de 20 millions de dollars de revenus en 2022.
Dans le domaine de la sécurité Web3, en 2022, toutes les plateformes de concours de bug bounty et d'audit du web3 distribueront un total de 50 millions de dollars américains de primes aux pirates informatiques, et le niveau de redevance moyen de ces plateformes est d'environ 10 % à 30 %, il est donc estimé de manière prudente. La taille actuelle du marché est d'environ 5 à 15 millions de dollars, et il s'agit toujours d'un marché très émergent.
Une autre chose intéressante est que de plus en plus de clients sont prêts à utiliser directement les services d'audit de code fournis par cette communauté de sécurité décentralisée.L'exemple le plus célèbre est qu'Opensea n'a pas directement trouvé le service d'audit de second rang avant de lancer sa nouvelle plateforme Seaport. société d'audit tripartite a choisi Code4Rena, la plus grande plateforme de concours d'audit décentralisée à l'heure actuelle, et a mis en place un prize pool de 1 million de dollars US.Aujourd'hui, le marché traditionnel de l'audit de sécurité est de plus en plus impliqué (ressources humaines en volume, outils technologiques en volume, marché en volume BD ), les services de sécurité décentralisés seront-ils une croissance importante sur ce marché ? (Actuellement, il y a 56 sociétés d'audit sur le marché, et le chiffre d'affaires des principales sociétés au cours de l'année écoulée était de 10 à 40 millions de dollars US. Je pense qu'il y a beaucoup de place pour l'imagination sur le marché de la sécurité décentralisée).
Plateforme Bug Bounty contre plate-forme de concours d'audit
Bien que la plateforme de bug bounty ait une histoire de développement de dix ans dans le web2, la plateforme de concours d'audit est une nouveauté dans le web3 natif. La prestation concours d'audit a pour objet les porteurs de projets qui s'apprêtent à lancer des produits ou de nouvelles fonctionnalités, et qui utilisent le pouvoir de la communauté décentralisée pour les aider à réaliser la prestation d'audit dans un délai précis (plus de 2 semaines). Dans cette perspective, le concours d'audit n'apportera aucune menace aux petites entreprises pour les sociétés d'audit traditionnelles.
Ci-dessous, je montrerai les différences entre les deux plates-formes en termes de méthodes de participation, de structure de récompense et de couverture des tests :
mode de participation
Les plateformes de primes de bogues telles qu'Immunefi sont généralement des projets ouverts auxquels tout le monde peut participer à tout moment. Les participants explorent et signalent généralement de manière indépendante les vulnérabilités en échange de récompenses. Si deux personnes trouvent la même vulnérabilité répétée, le principe du premier arrivé, premier servi sera suivi, et celui qui soumet le rapport en premier recevra la récompense en premier.
Les plateformes de concours d'audit communautaires (par exemple Code4rena, Sherlock) sont souvent limitées dans le temps, en concurrence avec les participants pour trouver et signaler les vulnérabilités dans un certain laps de temps. Par rapport à la plateforme de primes, il y aura un travail d'équipe (par exemple, chaque projet aura une affectation claire de Lead Senior Auditor et Lead Judge, et enfin examinera et résumera tous les résultats d'audit dans un rapport d'audit au client, et ces deux leaders suivre également le principe de décentralisation des élections et concours communautaires). De plus, si deux concurrents d'audit trouvent des failles répétées dans le délai imparti, ils peuvent tous les deux obtenir des récompenses.
Structure des récompenses
Les récompenses réelles émises par les deux prendront principalement en compte la gravité de la vulnérabilité découverte.
La seule différence est qu'une plateforme de concours d'audit communautaire comme Code4Rena aura une part fixe (5% ~ 10%) du pool de bonus pour chaque projet alloué au Lead Senior Auditor et au Lead Judge, car ils assument en fait le rôle de projet dirigeants de sociétés d'audit traditionnelles.
Un autre point intéressant est que la partie projet sur la plate-forme bug bounty place parfois des jetons de projet comme récompenses, mais je vois aussi que certains pirates informatiques de la communauté préfèrent obtenir des pièces stables USDC, USDT plutôt que des fluctuations de prix. Jetons de projet.
** Portée et objectif **
Les projets de plate-forme Bug Bounty ont généralement une large portée, tandis que les projets sur les concours d'audit ont généralement une portée plus ciblée, ciblant une fonction ou un aspect spécifique du logiciel, tout en exigeant que les chapeaux blancs se concentrent sur l'achèvement du travail dans un délai plus court.
Projets axés sur les concours d'audit
Code4Rena - Une plate-forme de compétition d'audit communautaire de type e-sport
Code4Rena a trois types de caractères :
1 code de révision Auditeur (Gardiens). Toute personne, d'un ingénieur en sécurité professionnel à un développeur novice essayant d'acquérir plus d'expérience, peut s'inscrire en tant qu'auditeur pour participer au concours d'audit public.
2 Juges (Juges) sont généralement les meilleurs ingénieurs de la communauté C4. Ils déterminent la gravité, l'efficacité et la qualité des vulnérabilités et évaluent les performances d'audit.
3 Sponsors (Sponsors) sont des parties de projet, telles que Opensea, Blur, ENS, Chainlink, etc. Ils créent des pools de bonus pour attirer des auditeurs pour auditer le code de leurs projets. Les sponsors ont également la possibilité d'organiser des compétitions privées sur invitation uniquement pour plus de confidentialité.
L'un des points les plus intéressants est la culture que Code4Rena construit : la collaboration et le travail d'équipe sont encouragés. Contrairement aux programmes de primes de bogues traditionnels, Code4Rena paie tous les auditeurs qui signalent une vulnérabilité valide même si la vulnérabilité a déjà été signalée. Cela encourage une saine concurrence entre les auditeurs, car ils sont motivés pour trouver des vulnérabilités communes et de grande gravité. Sur cette plateforme, certains auditeurs formeront des équipes temporaires pour trouver ensemble des failles.
modèle d'affaires:
Tout projet peut aller à Code4rena pour démarrer un programme de concours d'audit et fournir à l'USDC ou à l'ETH la mise en place d'une cagnotte de base (généralement la taille de la cagnotte est de 40 000 $ à 100 000 $), et Code4rena facturera 20 % de la cagnotte de base comme une plate-forme pour organiser des concours, fournir des avis et organiser les résultats d'audit Revenus de service pour la communication des résultats. La partie projet peut également fournir des jetons de projet en plus de la cagnotte de base pour créer une cagnotte supplémentaire, et Code4rena facturera 40 % de cette cagnotte supplémentaire.
Sherlock - Audit piloté par la communauté avec assurance contractuelle intelligente
Semblable à Code4rena, Sherlock a également des rôles tels que les auditeurs, les sponsors et les juges.L'unicité de Sherlock réside dans les services d'assurance fournis par la plate-forme. Tout le monde peut investir dans le pool d'assurance sur la plate-forme Sherlock.Les investisseurs déposent l'USDC dans le pool d'assurance et les clients sous contrat peuvent acheter des services pour se prémunir contre le risque de piratage de contrats intelligents. Les sources de revenus pour les investisseurs en assurance comprennent : les primes payées par les clients sous contrat + les intérêts gagnés en déposant des fonds de pool d'assurance dans d'autres pools DeFi (Aave, Compound, etc.) + les incitations en jetons Sherlock. Mais l'investisseur supporte le risque de rembourser la politique tout en récoltant les bénéfices.
Un autre point qui diffère de Code4rena est le mécanisme de répartition des revenus de la prestation d'audit fournis par la plateforme. Par rapport à Code4rena, Sherlock a des règles qui permettent au chef de l'audit principal de la sécurité et au juge en chef d'obtenir un montant fixe (5 % ~ 10 %) du pool de bonus pour rémunérer et motiver correctement les auditeurs seniors à temps plein. En outre, il existe des systèmes de sélection et de compétition pour la sélection des postes de direction.
**Comment créer une communauté de hackers ? Quelle est la plus grande préoccupation des white hats Web3 ? **
Après avoir observé différentes communautés de sécurité décentralisées (ImmuneFi, Hats Finance, Code4Rena, Sherlock, etc.) et discuté avec des entrepreneurs en sécurité, nous pensons que ce que toutes les plateformes décentralisées se consacrent à faire est de construire une plateforme de communication et de collaboration plus saine et plus efficace. , la plate-forme de primes est comme un marché entre les hackers et les projets, ils doivent considérer leurs besoins du point de vue des hackers (comme indiqué dans le tableau ci-dessous), et en même temps considérer ce que la partie projet se soucie le plus du point de vue du projet (Audit Qualité).
Source : 《Points de vue des chasseurs de bogues sur les défis et les avantages de l'éco Bug Bounty》
En plus de certains besoins communs, j'ai également vu des sujets intéressants dans la communauté des chapeaux blancs Immunefi (la communauté discorde des chapeaux blancs la plus animée que j'ai vue).
Par exemple:
Il y a un chapeau blanc nommé Rappie qui veut divulguer certaines failles du projet qu'il a déjà découvertes et demande quelles règles de la communauté doivent être suivies. (1. Ne publiez que les bogues qui ont été corrigés. 2. Assurez-vous que toute information publique n'a aucun impact négatif sur le protocole ou ses utilisateurs. Gardez les informations confidentielles, par exemple après avoir corrigé votre vulnérabilité d'injection SQL, ne publiez pas d'informations sur leur pleine 3. Assurez-vous que vous devez envoyer un message privé à l'équipe du projet avant de le rendre public).
Un chapeau blanc nommé Noam Yakov a des doutes sur la définition d'un projet de prime (cela arrive souvent, car généralement seules les vulnérabilités de sécurité graves peuvent être récompensées. Comment le projet définit-il le niveau de sécurité de la vulnérabilité ? Quelque chose dont les chapeaux blancs se soucient profondément , et la communauté entend beaucoup parler de tels conflits). Dans le projet de primes Uniwhales, il avait des doutes sur leur définition de l'impact du MEV comme une grave vulnérabilité de sécurité. Au final, tout le monde a discuté que ce type de description ne s'applique pas à toutes les situations de MEV. Par exemple, pour certains flux d'ordres toxiques, le pool de protocoles La situation d'épuisement des actifs est définitivement un incident de sécurité grave (la définition d'un ensemble de cadres de niveau de sécurité n'est donc souvent pas suffisante et nécessite généralement l'implication de rôles similaires d'arbitres dans la plate-forme dans des cas réels différents).
Et pour un sujet très intéressant, "Quelles sont vos demandes et attentes pour une plateforme de primes comme Immunefi ?" Un white hat nommé ckksec a donné sa réponse : 1) Aidez ces white hats de chiffrement anonymes à gagner leur travail Faites quelques clarifications juridiques comme la facturation. 2) La plateforme doit non seulement avoir un système de notation pour les white hats, mais aussi noter la qualité du projet car les white hats ont souvent besoin de passer du temps à distinguer la qualité du projet. 3) Pour les white hats qui souhaitent ouvrir leur profil, la plateforme peut montrer leur flux de travail.En même temps, il est préférable que la plateforme affiche de manière plus transparente les informations du rapport d'analyse de sécurité reçues par la partie projet.
Quels outils peuvent aider les white hats ?
Avec l'incendie des LLM GPT, j'ai récemment entendu des gens discuter fréquemment de la possibilité de remplacer les audits de sécurité par l'IA. Les praticiens de la sécurité expérimentés avec qui j'ai parlé croient généralement que GPT est difficile à remplacer directement la sagesse humaine. Certains fruits à portée de main (problèmes faciles à trouver) peuvent être détectés par des modèles de langage, mais ces problèmes avec des risques moyens et élevés nécessitent toujours des experts participation. Par exemple, selon le retour d'expérience d'un expert senior en sécurité, pour une analyse de données et une analyse dynamique similaires, ces tests plus complexes doivent être artificiellement combinés avec la logique métier réelle du protocole pour effectuer des tests d'analyse de sécurité à l'avance et définir la cible attendue. attributs du test à l'avance. La partie la plus difficile est d'écrire de bonnes propriétés et de définir le bon champ de test. Selon leurs expériences sur le GPT, ils pensent que le GPT ne peut pas remplacer complètement les humains à ce stade.
Bien sûr, il existe actuellement des résultats plus optimistes montrant que LLM peut grandement améliorer l'efficacité d'analyse des outils d'analyse de sécurité et réduire le taux de faux positifs :
Réfléchissons à ce sujet d'un autre point de vue non technique intéressant. C'est un jeu dynamique entre les attaquants et les défenseurs de la sécurité. La hauteur magique est un pied plus haut que l'autre. L'IA apportera-t-elle des défis de sécurité aux attaquants ?
La sécurité est axée sur les personnes
Les gens penseront habituellement que le logiciel est une chose froide, mécanique et logique, et l'amélioration de la sécurité du système ne nécessite qu'une amélioration de la technologie d'analyse et du niveau de défense du système. Cependant, les gens ne réfléchissent pas aux problèmes de sécurité du point de vue des incitations économiques et de la nature humaine. Dans la sombre forêt du code source ouvert, nous avons besoin d'un système de distribution plus conforme aux hypothèses des personnes rationnelles. Des incitations économiques positives et bénignes attirer plus de personnes qui sont prêtes à investir dans la blockchain pendant longtemps.Les personnes qui apportent leur sagesse à la sécurité du système se joignent.
La structure actuelle du marché des audits de sécurité traditionnels est stable et la réputation de la marque est l'actif incorporel le plus important des entreprises dans ce domaine. Au fil du temps, l'influence des grandes marques de sécurité et la confiance des clients n'ont cessé d'augmenter, mais les audits de sécurité traditionnels ont également leur propres problèmes (le modèle économique repose uniquement sur la main-d'œuvre et il est difficile de se développer en taille, et les entreprises leaders doivent équilibrer croissance et qualité de l'audit. Certaines entreprises ont rencontré un tel goulot d'étranglement et ont même affecté la valeur de la marque).
**Le concours d'audit de sécurité communautaire est un modèle commercial innovant. **Actuellement, le nombre de clients des deux plates-formes a dépassé les 300 et a progressivement trouvé PMF. *La plate-forme Bounty est un bon complément au cycle de vie de la sécurité. * Bien que ces plateformes décentralisées n'aient pas encore trouvé de modèle de jeton particulièrement efficace, nous sommes très optimistes quant à la croissance à grande échelle de ce marché dans le futur (car la sagesse de la foule est très adaptée aux scénarios de jeu offensifs et défensifs dans le marché de la sécurité).
** Les plateformes d'audit communautaires constitueront-elles une menace pour les sociétés d'audit centralisées ? Nous pensons qu'ils auront une concurrence mutuelle bénigne et une relation complémentaire.A court terme, lorsqu'une plateforme comme Code4rena forme un certain effet de réseau et a un bon historique (la proportion de projets audités étant piratés est faible), elle peut en effet donner Certaines entreprises centralisées au milieu et à la queue apporteront une certaine pression concurrentielle, mais à long terme, cela peut également forcer la plate-forme d'audit centralisée à former une coopération commerciale avec la plate-forme communautaire, car cela peut également élargir les clients de la plate-forme centralisée d'audit de sécurité Grouper et améliorer la qualité de l'audit (un peu comme le projet initial de bounty de sécurité qui était géré de manière indépendante par une grande société du web2 et qui a ensuite formé une logique de coopération avec des plates-formes tierces telles que HackerOne).
Bien que la direction de la plate-forme de sécurité pilotée par la communauté soit davantage orientée DAO (Forta peut en fait être inclus dans cette catégorie), dans le fonctionnement réel du projet actuel, il reste des problèmes tels que : comment rendre le flux de travail et processus de distribution économique plus transparent et ouvert, comment peser les considérations de confidentialité et de sécurité de la partie du projet, comment définir plus clairement la relation entre le travail d'équipe et la contribution personnelle, comment résoudre le problème de manière plus juste et professionnelle en cas de conflits d'intérêts surgissent, etc. Ce sont les choses que les DAO de sécurité doivent relever.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Crowd Intelligence in Security - Un marché communautaire de primes et d'audits
Par Ray, IOSG Ventures
En tant que système informatique à grande échelle, la complexité actuelle du système de blockchain a largement dépassé le niveau d'il y a 5 ans, le degré de modularisation de l'infrastructure est plus raffiné, la logique des contrats intelligents au niveau de la couche applicative devient de plus en plus abondante, et l'interaction entre les contrats est très fréquente, plus important encore, le nombre d'actifs gérés par le système blockchain est déjà très important, il y a donc eu plus de discussions sur le cycle de sécurité dans la communauté de sécurité blockchain récemment (la situation est la même qu'en 2017 , quand les gens parlent de sécurité, ils ne pensent qu'aux développeurs. C'est très différent d'écrire le contrat et de le jeter aux amis de la Fondation Ethereum pour y jeter un œil et faire quelques tests de base).
Tout au long du cycle de vie de la sécurité des programmes blockchain (des tests, en invitant des audits tiers à la surveillance post-événement, en passant par les audits de mise à jour), la communauté bug bounty est comme un coussin de sécurité pour attirer les white hats grâce à la théorie des jeux et au travail en cluster. examen du code de la fête du projet, et certains travailleurs de la sécurité des contrats intelligents estiment que la prime de bogue ressemble plus au dernier homme sur la ligne de défense, mais je pense que la prime de bogue et la compétition d'audit ont le potentiel de jouer un plus grand rôle dans l'avenir, agissant en tant que Les rôles tout au long du cycle de vie de la sécurité améliorent la sécurité du système dans son ensemble. **
Bien sûr, il existe également des programmes de primes de bogues (Bug Bounty ou Vulnerabilty Rewards) dans le domaine de la sécurité des réseaux traditionnels. Premièrement, les grandes entreprises technologiques telles que Facebook, Google, Microsoft, etc. déploieront des programmes de primes pour leurs propres équipes de sécurité internes et Deuxièmement, les plates-formes tierces Bug Bounty représentées par HackerOne et Bugcrowd ont vu le jour depuis 2015 environ. dollars et 20 millions de dollars américains respectivement. Dans le monde de la blockchain, la prime est un sujet plus intéressant qui est souvent discuté dans le cercle de la sécurité. La raison principale est que l'open source du code blockchain rend en fait le coût du piratage et de l'amélioration des stratégies d'attaque moins cher. De plus, le monde de la crypto préconise regrouper les économies du travail, des créateurs et de la propriété ouvertes aux modèles de contribution qui rendent une économie chapeau blanc plus ouverte encore plus précieuse.
# **Qu'est-ce que les primes de bogue et les concours d'audit ? Pourquoi en avons-nous besoin ? **
La sécurité est un jeu dynamique entre l'attaquant et le défenseur, tout comme l'a dit l'expert en sécurité informatique et cryptographe Bruce Schneier : « La sécurité est un processus, pas un produit. C'est une façon de penser qui doit traverser le processus de développement logiciel dans tous ses aspects. " Dans le monde de la blockchain, une forêt sombre où tous les codes sont open source et transparents, un projet blockchain qui veut survivre longtemps doit avoir des besoins éternels pour la sécurité de ses produits/contrats. Les produits de la chaîne ont tous plus ou moins attributs financiers. L'atout le plus important en finance est la confiance, et la confiance de l'utilisateur n'est qu'une seule fois.
Où sont les lacunes et les problèmes de l'audit traditionnel ? Quels sont les avantages des primes de bogues et des concours d'audit communautaires pour compenser ces problèmes ?
Les développeurs utilisant des services d'audit constatent souvent que :
Quelle est la taille du marché ?
Le modèle commercial des plates-formes de primes et des concours d'audit consiste généralement à tirer une partie de la prime payée par les clients ou du pool de bonus total mis en place en tant que frais de service de la plate-forme. Les clients (parties du projet) qui ont besoin d'audits de sécurité du code annonceront leurs plans sur la plateforme de primes en fonction de leurs propres besoins (quels codes doivent être audités, comment définir la gravité des vulnérabilités et combien de récompense ils sont prêts à payer), et white hats Les vulnérabilités seront trouvées en fonction des besoins du côté du projet Une fois que les failles sont trouvées par les white hats et répondent aux besoins du côté du projet, la prime sera distribuée aux white hats, et la plate-forme de primes attirera une commission à titre de frais de service.
Dans le domaine de la sécurité des réseaux traditionnels Web2, la plateforme de bug bounty est également une direction relativement jeune (apparue après 2012), et actuellement les plus grandes plateformes de bug bounty sont HackerOne et Bugcrowd. En 2022, le chiffre d'affaires annuel de HackerOne atteindra 58 millions de dollars américains, la valorisation de l'entreprise atteindra environ 500 millions de dollars américains et la prime cumulée versée dans l'histoire sera de 230 millions de dollars américains (150 millions de dollars américains en 2021 et 2022), et plus plus de 65 000 logiciels seront découverts Vulnérabilités, avec plus d'un million de pirates enregistrés et plus de 1 000 clients utilisant les services HackerOne chaque mois. Son concurrent, Bugcrowd, devrait générer plus de 20 millions de dollars de revenus en 2022.
Dans le domaine de la sécurité Web3, en 2022, toutes les plateformes de concours de bug bounty et d'audit du web3 distribueront un total de 50 millions de dollars américains de primes aux pirates informatiques, et le niveau de redevance moyen de ces plateformes est d'environ 10 % à 30 %, il est donc estimé de manière prudente. La taille actuelle du marché est d'environ 5 à 15 millions de dollars, et il s'agit toujours d'un marché très émergent.
Une autre chose intéressante est que de plus en plus de clients sont prêts à utiliser directement les services d'audit de code fournis par cette communauté de sécurité décentralisée.L'exemple le plus célèbre est qu'Opensea n'a pas directement trouvé le service d'audit de second rang avant de lancer sa nouvelle plateforme Seaport. société d'audit tripartite a choisi Code4Rena, la plus grande plateforme de concours d'audit décentralisée à l'heure actuelle, et a mis en place un prize pool de 1 million de dollars US.Aujourd'hui, le marché traditionnel de l'audit de sécurité est de plus en plus impliqué (ressources humaines en volume, outils technologiques en volume, marché en volume BD ), les services de sécurité décentralisés seront-ils une croissance importante sur ce marché ? (Actuellement, il y a 56 sociétés d'audit sur le marché, et le chiffre d'affaires des principales sociétés au cours de l'année écoulée était de 10 à 40 millions de dollars US. Je pense qu'il y a beaucoup de place pour l'imagination sur le marché de la sécurité décentralisée).
Plateforme Bug Bounty contre plate-forme de concours d'audit
Bien que la plateforme de bug bounty ait une histoire de développement de dix ans dans le web2, la plateforme de concours d'audit est une nouveauté dans le web3 natif. La prestation concours d'audit a pour objet les porteurs de projets qui s'apprêtent à lancer des produits ou de nouvelles fonctionnalités, et qui utilisent le pouvoir de la communauté décentralisée pour les aider à réaliser la prestation d'audit dans un délai précis (plus de 2 semaines). Dans cette perspective, le concours d'audit n'apportera aucune menace aux petites entreprises pour les sociétés d'audit traditionnelles.
Ci-dessous, je montrerai les différences entre les deux plates-formes en termes de méthodes de participation, de structure de récompense et de couverture des tests :
mode de participation
Les plateformes de primes de bogues telles qu'Immunefi sont généralement des projets ouverts auxquels tout le monde peut participer à tout moment. Les participants explorent et signalent généralement de manière indépendante les vulnérabilités en échange de récompenses. Si deux personnes trouvent la même vulnérabilité répétée, le principe du premier arrivé, premier servi sera suivi, et celui qui soumet le rapport en premier recevra la récompense en premier.
Les plateformes de concours d'audit communautaires (par exemple Code4rena, Sherlock) sont souvent limitées dans le temps, en concurrence avec les participants pour trouver et signaler les vulnérabilités dans un certain laps de temps. Par rapport à la plateforme de primes, il y aura un travail d'équipe (par exemple, chaque projet aura une affectation claire de Lead Senior Auditor et Lead Judge, et enfin examinera et résumera tous les résultats d'audit dans un rapport d'audit au client, et ces deux leaders suivre également le principe de décentralisation des élections et concours communautaires). De plus, si deux concurrents d'audit trouvent des failles répétées dans le délai imparti, ils peuvent tous les deux obtenir des récompenses.
Structure des récompenses
Les récompenses réelles émises par les deux prendront principalement en compte la gravité de la vulnérabilité découverte.
La seule différence est qu'une plateforme de concours d'audit communautaire comme Code4Rena aura une part fixe (5% ~ 10%) du pool de bonus pour chaque projet alloué au Lead Senior Auditor et au Lead Judge, car ils assument en fait le rôle de projet dirigeants de sociétés d'audit traditionnelles.
Un autre point intéressant est que la partie projet sur la plate-forme bug bounty place parfois des jetons de projet comme récompenses, mais je vois aussi que certains pirates informatiques de la communauté préfèrent obtenir des pièces stables USDC, USDT plutôt que des fluctuations de prix. Jetons de projet.
** Portée et objectif **
Les projets de plate-forme Bug Bounty ont généralement une large portée, tandis que les projets sur les concours d'audit ont généralement une portée plus ciblée, ciblant une fonction ou un aspect spécifique du logiciel, tout en exigeant que les chapeaux blancs se concentrent sur l'achèvement du travail dans un délai plus court.
Projets axés sur les concours d'audit
Code4Rena - Une plate-forme de compétition d'audit communautaire de type e-sport
Code4Rena a trois types de caractères :
1 code de révision Auditeur (Gardiens). Toute personne, d'un ingénieur en sécurité professionnel à un développeur novice essayant d'acquérir plus d'expérience, peut s'inscrire en tant qu'auditeur pour participer au concours d'audit public.
2 Juges (Juges) sont généralement les meilleurs ingénieurs de la communauté C4. Ils déterminent la gravité, l'efficacité et la qualité des vulnérabilités et évaluent les performances d'audit.
3 Sponsors (Sponsors) sont des parties de projet, telles que Opensea, Blur, ENS, Chainlink, etc. Ils créent des pools de bonus pour attirer des auditeurs pour auditer le code de leurs projets. Les sponsors ont également la possibilité d'organiser des compétitions privées sur invitation uniquement pour plus de confidentialité.
L'un des points les plus intéressants est la culture que Code4Rena construit : la collaboration et le travail d'équipe sont encouragés. Contrairement aux programmes de primes de bogues traditionnels, Code4Rena paie tous les auditeurs qui signalent une vulnérabilité valide même si la vulnérabilité a déjà été signalée. Cela encourage une saine concurrence entre les auditeurs, car ils sont motivés pour trouver des vulnérabilités communes et de grande gravité. Sur cette plateforme, certains auditeurs formeront des équipes temporaires pour trouver ensemble des failles.
modèle d'affaires:
Tout projet peut aller à Code4rena pour démarrer un programme de concours d'audit et fournir à l'USDC ou à l'ETH la mise en place d'une cagnotte de base (généralement la taille de la cagnotte est de 40 000 $ à 100 000 $), et Code4rena facturera 20 % de la cagnotte de base comme une plate-forme pour organiser des concours, fournir des avis et organiser les résultats d'audit Revenus de service pour la communication des résultats. La partie projet peut également fournir des jetons de projet en plus de la cagnotte de base pour créer une cagnotte supplémentaire, et Code4rena facturera 40 % de cette cagnotte supplémentaire.
Sherlock - Audit piloté par la communauté avec assurance contractuelle intelligente
Semblable à Code4rena, Sherlock a également des rôles tels que les auditeurs, les sponsors et les juges.L'unicité de Sherlock réside dans les services d'assurance fournis par la plate-forme. Tout le monde peut investir dans le pool d'assurance sur la plate-forme Sherlock.Les investisseurs déposent l'USDC dans le pool d'assurance et les clients sous contrat peuvent acheter des services pour se prémunir contre le risque de piratage de contrats intelligents. Les sources de revenus pour les investisseurs en assurance comprennent : les primes payées par les clients sous contrat + les intérêts gagnés en déposant des fonds de pool d'assurance dans d'autres pools DeFi (Aave, Compound, etc.) + les incitations en jetons Sherlock. Mais l'investisseur supporte le risque de rembourser la politique tout en récoltant les bénéfices.
Un autre point qui diffère de Code4rena est le mécanisme de répartition des revenus de la prestation d'audit fournis par la plateforme. Par rapport à Code4rena, Sherlock a des règles qui permettent au chef de l'audit principal de la sécurité et au juge en chef d'obtenir un montant fixe (5 % ~ 10 %) du pool de bonus pour rémunérer et motiver correctement les auditeurs seniors à temps plein. En outre, il existe des systèmes de sélection et de compétition pour la sélection des postes de direction.
**Comment créer une communauté de hackers ? Quelle est la plus grande préoccupation des white hats Web3 ? **
Après avoir observé différentes communautés de sécurité décentralisées (ImmuneFi, Hats Finance, Code4Rena, Sherlock, etc.) et discuté avec des entrepreneurs en sécurité, nous pensons que ce que toutes les plateformes décentralisées se consacrent à faire est de construire une plateforme de communication et de collaboration plus saine et plus efficace. , la plate-forme de primes est comme un marché entre les hackers et les projets, ils doivent considérer leurs besoins du point de vue des hackers (comme indiqué dans le tableau ci-dessous), et en même temps considérer ce que la partie projet se soucie le plus du point de vue du projet (Audit Qualité).
Source : 《Points de vue des chasseurs de bogues sur les défis et les avantages de l'éco Bug Bounty》
En plus de certains besoins communs, j'ai également vu des sujets intéressants dans la communauté des chapeaux blancs Immunefi (la communauté discorde des chapeaux blancs la plus animée que j'ai vue).
Par exemple:
Il y a un chapeau blanc nommé Rappie qui veut divulguer certaines failles du projet qu'il a déjà découvertes et demande quelles règles de la communauté doivent être suivies. (1. Ne publiez que les bogues qui ont été corrigés. 2. Assurez-vous que toute information publique n'a aucun impact négatif sur le protocole ou ses utilisateurs. Gardez les informations confidentielles, par exemple après avoir corrigé votre vulnérabilité d'injection SQL, ne publiez pas d'informations sur leur pleine 3. Assurez-vous que vous devez envoyer un message privé à l'équipe du projet avant de le rendre public).
Un chapeau blanc nommé Noam Yakov a des doutes sur la définition d'un projet de prime (cela arrive souvent, car généralement seules les vulnérabilités de sécurité graves peuvent être récompensées. Comment le projet définit-il le niveau de sécurité de la vulnérabilité ? Quelque chose dont les chapeaux blancs se soucient profondément , et la communauté entend beaucoup parler de tels conflits). Dans le projet de primes Uniwhales, il avait des doutes sur leur définition de l'impact du MEV comme une grave vulnérabilité de sécurité. Au final, tout le monde a discuté que ce type de description ne s'applique pas à toutes les situations de MEV. Par exemple, pour certains flux d'ordres toxiques, le pool de protocoles La situation d'épuisement des actifs est définitivement un incident de sécurité grave (la définition d'un ensemble de cadres de niveau de sécurité n'est donc souvent pas suffisante et nécessite généralement l'implication de rôles similaires d'arbitres dans la plate-forme dans des cas réels différents).
Et pour un sujet très intéressant, "Quelles sont vos demandes et attentes pour une plateforme de primes comme Immunefi ?" Un white hat nommé ckksec a donné sa réponse : 1) Aidez ces white hats de chiffrement anonymes à gagner leur travail Faites quelques clarifications juridiques comme la facturation. 2) La plateforme doit non seulement avoir un système de notation pour les white hats, mais aussi noter la qualité du projet car les white hats ont souvent besoin de passer du temps à distinguer la qualité du projet. 3) Pour les white hats qui souhaitent ouvrir leur profil, la plateforme peut montrer leur flux de travail.En même temps, il est préférable que la plateforme affiche de manière plus transparente les informations du rapport d'analyse de sécurité reçues par la partie projet.
Quels outils peuvent aider les white hats ?
Avec l'incendie des LLM GPT, j'ai récemment entendu des gens discuter fréquemment de la possibilité de remplacer les audits de sécurité par l'IA. Les praticiens de la sécurité expérimentés avec qui j'ai parlé croient généralement que GPT est difficile à remplacer directement la sagesse humaine. Certains fruits à portée de main (problèmes faciles à trouver) peuvent être détectés par des modèles de langage, mais ces problèmes avec des risques moyens et élevés nécessitent toujours des experts participation. Par exemple, selon le retour d'expérience d'un expert senior en sécurité, pour une analyse de données et une analyse dynamique similaires, ces tests plus complexes doivent être artificiellement combinés avec la logique métier réelle du protocole pour effectuer des tests d'analyse de sécurité à l'avance et définir la cible attendue. attributs du test à l'avance. La partie la plus difficile est d'écrire de bonnes propriétés et de définir le bon champ de test. Selon leurs expériences sur le GPT, ils pensent que le GPT ne peut pas remplacer complètement les humains à ce stade.
Bien sûr, il existe actuellement des résultats plus optimistes montrant que LLM peut grandement améliorer l'efficacité d'analyse des outils d'analyse de sécurité et réduire le taux de faux positifs :
Réfléchissons à ce sujet d'un autre point de vue non technique intéressant. C'est un jeu dynamique entre les attaquants et les défenseurs de la sécurité. La hauteur magique est un pied plus haut que l'autre. L'IA apportera-t-elle des défis de sécurité aux attaquants ?
La sécurité est axée sur les personnes
Les gens penseront habituellement que le logiciel est une chose froide, mécanique et logique, et l'amélioration de la sécurité du système ne nécessite qu'une amélioration de la technologie d'analyse et du niveau de défense du système. Cependant, les gens ne réfléchissent pas aux problèmes de sécurité du point de vue des incitations économiques et de la nature humaine. Dans la sombre forêt du code source ouvert, nous avons besoin d'un système de distribution plus conforme aux hypothèses des personnes rationnelles. Des incitations économiques positives et bénignes attirer plus de personnes qui sont prêtes à investir dans la blockchain pendant longtemps.Les personnes qui apportent leur sagesse à la sécurité du système se joignent.
La structure actuelle du marché des audits de sécurité traditionnels est stable et la réputation de la marque est l'actif incorporel le plus important des entreprises dans ce domaine. Au fil du temps, l'influence des grandes marques de sécurité et la confiance des clients n'ont cessé d'augmenter, mais les audits de sécurité traditionnels ont également leur propres problèmes (le modèle économique repose uniquement sur la main-d'œuvre et il est difficile de se développer en taille, et les entreprises leaders doivent équilibrer croissance et qualité de l'audit. Certaines entreprises ont rencontré un tel goulot d'étranglement et ont même affecté la valeur de la marque).
**Le concours d'audit de sécurité communautaire est un modèle commercial innovant. **Actuellement, le nombre de clients des deux plates-formes a dépassé les 300 et a progressivement trouvé PMF. *La plate-forme Bounty est un bon complément au cycle de vie de la sécurité. * Bien que ces plateformes décentralisées n'aient pas encore trouvé de modèle de jeton particulièrement efficace, nous sommes très optimistes quant à la croissance à grande échelle de ce marché dans le futur (car la sagesse de la foule est très adaptée aux scénarios de jeu offensifs et défensifs dans le marché de la sécurité).
** Les plateformes d'audit communautaires constitueront-elles une menace pour les sociétés d'audit centralisées ? Nous pensons qu'ils auront une concurrence mutuelle bénigne et une relation complémentaire.A court terme, lorsqu'une plateforme comme Code4rena forme un certain effet de réseau et a un bon historique (la proportion de projets audités étant piratés est faible), elle peut en effet donner Certaines entreprises centralisées au milieu et à la queue apporteront une certaine pression concurrentielle, mais à long terme, cela peut également forcer la plate-forme d'audit centralisée à former une coopération commerciale avec la plate-forme communautaire, car cela peut également élargir les clients de la plate-forme centralisée d'audit de sécurité Grouper et améliorer la qualité de l'audit (un peu comme le projet initial de bounty de sécurité qui était géré de manière indépendante par une grande société du web2 et qui a ensuite formé une logique de coopération avec des plates-formes tierces telles que HackerOne).
Bien que la direction de la plate-forme de sécurité pilotée par la communauté soit davantage orientée DAO (Forta peut en fait être inclus dans cette catégorie), dans le fonctionnement réel du projet actuel, il reste des problèmes tels que : comment rendre le flux de travail et processus de distribution économique plus transparent et ouvert, comment peser les considérations de confidentialité et de sécurité de la partie du projet, comment définir plus clairement la relation entre le travail d'équipe et la contribution personnelle, comment résoudre le problème de manière plus juste et professionnelle en cas de conflits d'intérêts surgissent, etc. Ce sont les choses que les DAO de sécurité doivent relever.