En tant que système informatique à grande échelle, la complexité actuelle du système de la blockchain a largement dépassé le niveau d'il y a 5 ans, le degré de modularisation de l'infrastructure est plus affiné, la logique de contrat intelligent de la couche applicative devient de plus en plus abondante, et l'interaction entre les contrats est très fréquente, plus important encore, le nombre d'actifs gérés par le système blockchain est déjà très important, il y a donc eu plus de discussions sur le cycle de sécurité dans la communauté de sécurité blockchain récemment (la situation est la même qu'en 2017 , quand les gens pensent à la sécurité, ils ne pensent qu'aux développeurs C'est très différent d'écrire le contrat et de le jeter aux amis de la Fondation Ethereum pour y jeter un coup d'œil et faire quelques tests de base).
Tout au long du cycle de vie de la sécurité des programmes de blockchain (des tests, en invitant des audits tiers à la surveillance post-événement, en passant par les audits de mise à jour), la communauté bug bounty est comme un coussin de sécurité pour attirer les chapeaux blancs vers la blockchain grâce à la théorie des jeux et au travail en cluster. Le code de la fête du projet sera revu pour la dernière fois, et certains agents de sécurité sous contrat intelligent estiment que la prime de bogue ressemble plus à la dernière personne dans la ligne de défense, mais je pense que la prime de bogue et les concours d'audit ont le potentiel de jouer un plus grand rôle à l'avenir, en servant de système qui s'exécute sur l'ensemble du cycle de vie de la sécurité. Le rôle améliore la sécurité globale du système.
Bien sûr, il existe également des programmes de primes de bogues (Bug Bounty ou Vulnerabilty Rewards) dans le domaine de la sécurité des réseaux traditionnels. Premièrement, les grandes entreprises technologiques telles que Facebook, Google, Microsoft, etc. déploieront des programmes de primes pour leurs propres équipes de sécurité internes et Deuxièmement, les plates-formes tierces Bug Bounty représentées par HackerOne et Bugcrowd ont vu le jour depuis 2015 environ. respectivement près de 50 millions de dollars US et 20 millions de dollars. Dans le monde de la blockchain, la prime est un sujet plus intéressant qui est souvent discuté dans le cercle de la sécurité. La raison principale est que l'open source du code blockchain rend en fait le coût du piratage et de la mise à niveau des stratégies d'attaque moins cher. De plus, le monde de la cryptographie fortement préconise de regrouper les économies du travail, des créateurs et de la propriété ouvertes aux modèles de contribution qui rendent une économie chapeau blanc plus ouverte encore plus précieuse.
Que sont les primes de bogue et les concours d'audit ? Pourquoi en avons-nous besoin ?
La sécurité est un jeu dynamique entre l'attaquant et le défenseur, tout comme l'a dit l'expert en sécurité informatique et cryptographe Bruce Schneier : « La sécurité est un processus, pas un produit. C'est une façon de penser qui doit traverser le processus de développement logiciel dans tous ses aspects. " Dans le monde de la blockchain, une forêt sombre où tous les codes sont open source et transparents, un projet blockchain qui veut survivre longtemps doit avoir une exigence éternelle pour la sécurité de ses produits/contrats. Les produits de la chaîne ont tous plus ou moins d'attributs financiers. L'atout le plus important en finance est la confiance, et la confiance de l'utilisateur n'est qu'une fois.
Où sont les lacunes et les problèmes de l'audit traditionnel ? Quels sont les avantages des primes de bogues et des concours d'audit communautaires pour compenser ces problèmes ?
Les développeurs utilisant des services d'audit constatent souvent que :
Même après avoir acheté les services d'une société d'audit tierce, il y a toujours des problèmes avec le code après l'audit. Bien que les raisons de ces problèmes soient différentes (techniques et non techniques), il ne semble pas totalement fiable de se fier sur une société d'audit en fin de compte. Cependant, la qualité de l'audit de code dépend toujours du niveau de l'auditeur, et les clients n'ont souvent pas la capacité de discerner "qui est le meilleur".
La plate-forme de primes et le concours d'audit sont un "bac à sable" plus ouvert. Le code du projet peut être examiné par des chapeaux blancs à volonté, et l'arrière-plan n'est pas limité (il peut y avoir du personnel de sociétés d'audit professionnelles, et il peut y avoir des analystes de sécurité indépendants ), l'arsenal est illimité, et tout ce que les clients ont à faire est de fixer une prime raisonnable et de payer leur contribution lorsque le chapeau blanc trouve un problème.
Habituellement, les clients soumettent d'abord leur code qui doit être examiné par le chapeau blanc, définissent le niveau de sécurité de la vulnérabilité (généralement lié à la perte économique possible, plus la vulnérabilité qui cause directement la perte économique est facile, plus le niveau de gravité est élevé) , le budget des primes, la portée du code de test et même les étapes de test.
Le marché est-il grand?
Le modèle commercial des plates-formes de primes et des concours d'audit consiste généralement à tirer une partie de la prime payée par les clients ou du pool de bonus total mis en place en tant que frais de service de la plate-forme. Les clients (parties du projet) qui ont besoin d'audits de sécurité du code annonceront leurs plans sur la plateforme de primes en fonction de leurs propres besoins (quels codes doivent être audités, comment définir la gravité des vulnérabilités et combien de récompense ils sont prêts à payer), et white hats Les vulnérabilités seront trouvées en fonction des besoins du côté du projet Une fois que les failles sont trouvées par les white hats et répondent aux besoins du côté du projet, la prime sera distribuée aux white hats, et la plate-forme de primes attirera une commission à titre de frais de service.
Dans le domaine de la sécurité des réseaux traditionnels Web2, la plateforme de bug bounty est également une direction relativement jeune (apparue après 2012), et actuellement les plus grandes plateformes de bug bounty sont HackerOne et Bugcrowd. En 2022, le chiffre d'affaires annuel de HackerOne atteindra 58 millions de dollars américains, la valorisation de l'entreprise atteindra environ 500 millions de dollars américains et la prime cumulée versée dans l'histoire sera de 230 millions de dollars américains (150 millions de dollars américains en 2021 et 2022). , compte plus d'un million de pirates enregistrés et plus de 1 000 clients qui utilisent les services HackerOne chaque mois. Son concurrent, Bugcrowd, devrait gagner plus de 20 millions de dollars en 2022.
Dans le domaine de la sécurité Web3, en 2022, toutes les plateformes de concours de bug bounty et d'audit du web3 émettront un total de 50 millions de dollars américains de primes aux pirates informatiques, et le niveau de facturation moyen de ces plateformes est d'environ 10% à 30%, il est donc estimé de manière prudente. La taille actuelle du marché est d'environ 5 millions de dollars à 15 millions de dollars, et il s'agit toujours d'un marché très émergent.
Une autre chose intéressante est que de plus en plus de clients sont prêts à utiliser directement les services d'audit de code fournis par la communauté de sécurité décentralisée.Au lieu de cela, la société d'audit tierce a choisi Code 4 Rena, la plus grande plateforme de concours d'audit décentralisé à l'heure actuelle, et a mis en place un prizepool de 1 million de dollars US Aujourd'hui, le marché traditionnel de l'audit de sécurité est de plus en plus impliqué (volume ressources humaines, volume outils techniques, volume Market BD), les services de sécurité décentralisés seront-ils une croissance importante sur ce marché ? (Actuellement, il y a 56 sociétés d'audit sur le marché, et le chiffre d'affaires des principales sociétés au cours de l'année écoulée se situait entre 10 et 40 millions de dollars US. Je pense qu'il y a beaucoup de place pour l'imagination sur le marché de la sécurité décentralisée).
Plateformes Bug Bounty vs plateformes de concours d'audit
Bien que la plateforme de bug bounty ait une histoire de développement de dix ans dans le web2, la plateforme de concours d'audit est une nouveauté dans le web3 natif. La prestation concours d'audit a pour objet les porteurs de projets qui s'apprêtent à lancer des produits ou de nouvelles fonctionnalités, et qui utilisent le pouvoir de la communauté décentralisée pour les aider à réaliser la prestation d'audit dans un délai précis (plus de 2 semaines). Dans cette perspective, le concours d'audit n'apportera aucune menace aux petites entreprises pour les sociétés d'audit traditionnelles.
Ci-dessous, je montrerai les différences entre les deux plates-formes en termes de méthodes de participation, de structure de récompense et de couverture des tests :
mode de participation
Les plateformes de primes de bogues telles que Immunefi sont généralement des projets ouverts auxquels tout le monde peut participer à tout moment. Les participants explorent et signalent généralement de manière indépendante les vulnérabilités en échange de récompenses. Si deux personnes trouvent la même vulnérabilité répétée, le principe du premier arrivé, premier servi sera suivi, et celui qui soumet le rapport en premier recevra la récompense en premier.
Les plateformes de concours d'audit communautaires (par exemple, Code 4 rena, Sherlock) sont souvent limitées dans le temps et rivalisent avec les participants pour trouver et signaler les vulnérabilités dans un certain délai. Par rapport à la plateforme de primes, il y aura un travail d'équipe (par exemple, chaque projet aura une affectation claire de Lead Senior Auditor et Lead Judge, et enfin examinera et résumera tous les résultats d'audit dans un rapport d'audit au client, et ces deux leaders suivre également le principe de décentralisation des élections et concours communautaires). De plus, si deux concurrents d'audit trouvent des failles répétées dans le délai imparti, ils peuvent tous les deux obtenir des récompenses.
structure de récompense
Les récompenses réelles émises par les deux prendront principalement en compte la gravité de la vulnérabilité découverte.
La seule différence est qu'une plateforme de concours d'audit communautaire comme Code 4 Rena aura une part fixe (5% ~ 10%) de la cagnotte pour chaque projet alloué à Lead Senior Auditor et Lead Judge, car ils entreprennent en fait un audit traditionnel. projets d'entreprise Le rôle du responsable.
Un autre point intéressant est que la partie projet sur la plate-forme bug bounty place parfois des jetons de projet comme récompenses, mais j'ai également constaté que certains hackers au chapeau blanc de la communauté préfèrent obtenir des pièces stables comme l'USDC et l'USDT plutôt que les fluctuations de prix des jetons de projet.
portée et orientation
Les projets de plate-forme Bug Bounty ont généralement une large portée, tandis que les projets sur les concours d'audit ont généralement une portée plus ciblée, ciblant une fonction ou un aspect spécifique du logiciel, tout en exigeant que les chapeaux blancs se concentrent sur l'achèvement du travail dans un délai plus court.
Projets axés sur les concours d'audit
Code 4 Rena - Une plate-forme de compétition d'audit communautaire de type esports
Code 4 Rena a trois types de caractères :
Les auditeurs (directeurs) examinent le code. Toute personne, d'un ingénieur en sécurité professionnel à un développeur novice essayant d'acquérir plus d'expérience, peut s'inscrire en tant qu'auditeur pour participer au concours d'audit public.
Les juges sont généralement les meilleurs ingénieurs de la communauté C 4. Ils déterminent la gravité, l'efficacité et la qualité des vulnérabilités et évaluent les performances d'audit.
Les sponsors sont des parties de projet, telles que Opensea, Blur, ENS, Chainlink, etc. Ils créent des pools de bonus pour attirer des auditeurs pour auditer le code de leurs projets. Les sponsors ont également la possibilité d'organiser des compétitions privées sur invitation uniquement pour plus de confidentialité.
L'un des points les plus intéressants est la culture que Code 4 Rena construit : la collaboration et le travail d'équipe sont encouragés. Contrairement aux programmes de primes de bogues traditionnels, Code 4 Rena rémunère tous les auditeurs qui signalent une vulnérabilité valide même si la vulnérabilité a déjà été signalée. Cela encourage une saine concurrence entre les auditeurs, car ils sont motivés pour trouver des vulnérabilités communes et de grande gravité. Sur cette plateforme, certains auditeurs formeront des équipes temporaires pour trouver ensemble des failles.
modèle d'affaires:
Tout projet peut aller à Code 4 rena pour démarrer un programme de concours d'audit et fournir à l'USDC ou à l'ETH la mise en place d'une cagnotte de base (généralement la taille de la cagnotte est de 40 000 $ à 100 000 $), Code 4 rena facturera 20% de la base cagnotte en tant que plate-forme Revenu de service pour l'organisation de concours, la fourniture de critiques et le tri des rapports de sortie d'audit. Le groupe de projet peut également fournir des jetons de projet en plus de la cagnotte de base pour créer une cagnotte supplémentaire, et Code 4 rena facturera 40 % de cette cagnotte supplémentaire.
Sherlock - Audit piloté par la communauté avec assurance contractuelle intelligente
Semblable à Code 4 rena, Sherlock a également des rôles tels que les auditeurs, les sponsors et les juges. La particularité de Sherlock réside dans les services d'assurance fournis par la plate-forme. N'importe qui peut investir dans le pool d'assurance sur la plate-forme Sherlock.Les investisseurs déposent l'USDC dans le pool d'assurance et les clients sous contrat peuvent acheter des services pour se prémunir contre le risque de piratage de contrats intelligents. Les sources de revenus pour les investisseurs en assurance comprennent : les primes payées par les clients sous contrat + les intérêts gagnés en déposant des fonds de pool d'assurance dans d'autres pools DeFi (Aave, Compound, etc.) + les incitations en jetons Sherlock. Mais l'investisseur supporte le risque de rembourser la politique tout en récoltant les bénéfices.
Un autre point qui diffère de Code 4 rena est le mécanisme de répartition des revenus de la prestation d'audit fournis par la plateforme. Par rapport au code 4 rena, Sherlock a des règles qui permettent au chef de l'audit principal de la sécurité et au juge en chef d'obtenir un montant fixe (5 % ~ 10 %) du pool de bonus pour compenser et motiver correctement l'auditeur principal à temps plein. En outre, il existe des systèmes de sélection et de compétition pour la sélection des postes de direction.
Comment créer une communauté de hackers ? Quelle est la plus grande préoccupation des white hats Web3 ?
Après avoir observé différentes communautés de sécurité décentralisées (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, etc.) et discuté avec quelques entrepreneurs de la sécurité, nous pensons que ce que toutes les plateformes décentralisées s'engagent à faire, c'est : construire un environnement plus sain et efficace plate-forme de communication et de collaboration. La plate-forme de bounty est comme une place de marché entre les Hackers et les projets. Ils doivent considérer leurs besoins du point de vue des hackers (comme indiqué dans le tableau ci-dessous), et en même temps considérer les meilleurs Concerned about (audit qualité) .
Source : 《Points de vue des chasseurs de bogues sur les défis et les avantages de l'éco Bug Bounty》
En plus de certains besoins communs, j'ai également vu des sujets intéressants dans la communauté des chapeaux blancs Immunefi (la communauté discorde des chapeaux blancs la plus animée que j'ai vue).
Par exemple:
Un chapeau blanc nommé Rappie veut divulguer certaines failles du projet qu'il a découvertes auparavant et demande quelles règles de la communauté doivent être suivies. (1. Ne divulguez que les bogues qui ont été corrigés. 2. Assurez-vous que toute information publique n'a aucun impact négatif sur le protocole ou ses utilisateurs. Gardez les informations confidentielles, par exemple : après avoir corrigé votre vulnérabilité d'injection SQL, ne divulguez pas d'informations sur leur 3. Assurez-vous que vous devez envoyer un message privé à l'équipe du projet avant de le rendre public).
Un chapeau blanc nommé Noam Yakov a des doutes sur la définition d'un projet de prime (cela arrive souvent, car généralement seules les vulnérabilités de sécurité graves peuvent être récompensées. Comment le projet définit-il le niveau de sécurité de la vulnérabilité ? Quelque chose dont les chapeaux blancs se soucient profondément , et la communauté entend beaucoup parler de ces conflits). Dans le projet de primes Uniwhales, il avait des doutes sur leur définition de l'impact du MEV comme une grave vulnérabilité de sécurité. Au final, tout le monde a discuté que ce type de description ne s'applique pas à toutes les situations de MEV. Par exemple, pour certains flux d'ordres toxiques, le Le pool de protocoles peut La situation d'épuisement des actifs est certainement un incident de sécurité grave (il n'est donc souvent pas suffisant de définir un ensemble de cadres de niveau de sécurité, et généralement un rôle similaire d'arbitre dans la plate-forme est nécessaire pour intervenir dans différents cas réels).
Et pour un sujet très intéressant, "Quelles sont vos demandes et attentes pour une plateforme de primes comme Immunefi ?" Un white hat nommé ckksec a donné sa réponse : 1) Aider ces white hats cryptés anonymes à gagner leur travail Faire quelques clarifications juridiques comme la facturation. 2) La plateforme doit non seulement avoir un système de notation pour les white hats, mais aussi noter la qualité du projet car les white hats ont souvent besoin de passer du temps à distinguer la qualité du projet. 3) Pour les white hats qui souhaitent ouvrir leur profil, la plateforme peut montrer leur flux de travail.En même temps, il est préférable que la plateforme affiche de manière plus transparente les informations du rapport d'analyse de sécurité reçues par la partie projet.
Quels outils peuvent aider les chapeaux blancs ?
Avec l'incendie des LLM GPT, j'ai récemment entendu des gens discuter fréquemment de la possibilité de remplacer les audits de sécurité par l'IA. Les praticiens de la sécurité expérimentés à qui j'ai parlé pensent généralement que GPT est difficile à remplacer directement par l'intelligence humaine. Certains fruits à portée de main (problèmes faciles à trouver) peuvent être détectés par des modèles de langage, mais ces problèmes à risques moyens et élevés nécessitent toujours des experts. participation. Par exemple, selon le retour d'expérience d'un expert senior en sécurité, pour une analyse de données et une analyse dynamique similaires, ces tests plus complexes doivent être artificiellement combinés avec la logique métier réelle du protocole pour effectuer des tests d'analyse de sécurité à l'avance et définir la cible attendue. attributs du test à l'avance. La partie la plus difficile est d'écrire de bonnes propriétés et de définir le bon champ de test. Selon leurs expériences sur le GPT, ils pensent que le GPT ne peut pas remplacer complètement les humains à ce stade.
Bien sûr, il existe actuellement des résultats plus optimistes montrant que LLM peut grandement améliorer l'efficacité d'analyse des outils d'analyse de sécurité et réduire le taux de faux positifs.
Réfléchissons à ce sujet d'un autre point de vue non technique intéressant. C'est un jeu dynamique entre les attaquants et les défenseurs de la sécurité. La hauteur magique est un pied plus haut que l'autre. L'IA apportera-t-elle des défis de sécurité aux attaquants ?
La sécurité est axée sur les personnes
Les gens penseront habituellement que le logiciel est une chose froide, mécanique et logique, et l'amélioration de la sécurité du système ne nécessite qu'une amélioration de la technologie d'analyse et du niveau de défense du système. Cependant, les gens ne réfléchissent pas aux problèmes de sécurité du point de vue des incitations économiques et de la nature humaine. Dans la sombre forêt du code source ouvert, nous avons besoin d'un système de distribution plus conforme aux hypothèses des personnes rationnelles. Des incitations économiques positives et bénignes attirer plus de personnes qui sont prêtes à investir dans la blockchain pendant longtemps.Les personnes qui apportent leur sagesse à la sécurité du système se joignent.
La structure actuelle du marché des audits de sécurité traditionnels est stable et la réputation de la marque est l'actif incorporel le plus important des entreprises dans ce domaine. Au fil du temps, l'influence des grandes marques de sécurité et la confiance des clients n'ont cessé d'augmenter, mais les audits de sécurité traditionnels ont également leur propres problèmes (le modèle économique repose uniquement sur la main-d'œuvre et il est difficile de se développer en taille, et les entreprises leaders doivent équilibrer croissance et qualité de l'audit. Certaines entreprises ont rencontré un tel goulot d'étranglement et ont même affecté la valeur de la marque).
Le concours d'audit de sécurité communautaire est un modèle économique innovant. A l'heure actuelle, plus de 300 clients des deux plateformes ont progressivement trouvé PMF, et la plateforme bounty est un bon complément au cycle de vie de la sécurité. Bien que ces plateformes décentralisées soient encore We n'avons pas trouvé de modèle de jeton particulièrement efficace, mais nous sommes très optimistes quant à la croissance à grande échelle de ce marché à l'avenir (car la sagesse de la foule convient très bien aux scénarios de jeu offensifs et défensifs sur le marché de la sécurité).
Les plateformes d'audit communautaires constitueront-elles une menace pour les cabinets d'audit centralisés ? Nous pensons qu'ils auront une saine concurrence mutuelle et une relation complémentaire.A court terme, lorsqu'une plateforme comme Code 4 rena forme un certain effet de réseau et a un bon historique (la proportion de projets audités étant piratés est faible), elle peut certaines entreprises centralisées au milieu et à la queue apporteront certaines pressions concurrentielles, mais à long terme, cela peut également forcer la plate-forme d'audit centralisée à former une coopération commerciale avec la plate-forme communautaire, car cela peut également élargir la clientèle de la plate-forme d'audit de sécurité centralisée et améliorer la qualité de l'audit (un peu comme le projet initial de prime de sécurité exploité indépendamment par une grande entreprise du web2 et formé plus tard une logique de coopération avec des plates-formes tierces telles que HackerOne).
Bien que la direction de la plate-forme de sécurité pilotée par la communauté soit davantage orientée DAO (Forta peut en fait être inclus dans cette catégorie), dans le fonctionnement réel du projet actuel, il reste des problèmes tels que : comment rendre le flux de travail et processus de distribution économique plus transparent et ouvert, comment peser les considérations de confidentialité et de sécurité de la partie projet, comment définir plus clairement la relation entre le travail d'équipe et la contribution personnelle, comment résoudre le problème dans une perspective relativement juste et professionnelle en cas de conflits d'intérêts surgissent, etc. Ce sont les choses que les DAO de sécurité doivent relever.
Référence:
《Annuaire HackerOne》
《Bounty Everything - Les pirates et la création du marché mondial des bogues》
《Une étude empirique des programmes de récompense de la vulnérabilité》
《Le rapport sur les pirates 2022》
《Productivité et modèles d'activité dans les programmes de primes de bogues》
dix.
11.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures : Une interprétation complète du marché communautaire des primes et de l'audit
Auteur original : Ray, IOSG Ventures
Préface
En tant que système informatique à grande échelle, la complexité actuelle du système de la blockchain a largement dépassé le niveau d'il y a 5 ans, le degré de modularisation de l'infrastructure est plus affiné, la logique de contrat intelligent de la couche applicative devient de plus en plus abondante, et l'interaction entre les contrats est très fréquente, plus important encore, le nombre d'actifs gérés par le système blockchain est déjà très important, il y a donc eu plus de discussions sur le cycle de sécurité dans la communauté de sécurité blockchain récemment (la situation est la même qu'en 2017 , quand les gens pensent à la sécurité, ils ne pensent qu'aux développeurs C'est très différent d'écrire le contrat et de le jeter aux amis de la Fondation Ethereum pour y jeter un coup d'œil et faire quelques tests de base).
Tout au long du cycle de vie de la sécurité des programmes de blockchain (des tests, en invitant des audits tiers à la surveillance post-événement, en passant par les audits de mise à jour), la communauté bug bounty est comme un coussin de sécurité pour attirer les chapeaux blancs vers la blockchain grâce à la théorie des jeux et au travail en cluster. Le code de la fête du projet sera revu pour la dernière fois, et certains agents de sécurité sous contrat intelligent estiment que la prime de bogue ressemble plus à la dernière personne dans la ligne de défense, mais je pense que la prime de bogue et les concours d'audit ont le potentiel de jouer un plus grand rôle à l'avenir, en servant de système qui s'exécute sur l'ensemble du cycle de vie de la sécurité. Le rôle améliore la sécurité globale du système.
Bien sûr, il existe également des programmes de primes de bogues (Bug Bounty ou Vulnerabilty Rewards) dans le domaine de la sécurité des réseaux traditionnels. Premièrement, les grandes entreprises technologiques telles que Facebook, Google, Microsoft, etc. déploieront des programmes de primes pour leurs propres équipes de sécurité internes et Deuxièmement, les plates-formes tierces Bug Bounty représentées par HackerOne et Bugcrowd ont vu le jour depuis 2015 environ. respectivement près de 50 millions de dollars US et 20 millions de dollars. Dans le monde de la blockchain, la prime est un sujet plus intéressant qui est souvent discuté dans le cercle de la sécurité. La raison principale est que l'open source du code blockchain rend en fait le coût du piratage et de la mise à niveau des stratégies d'attaque moins cher. De plus, le monde de la cryptographie fortement préconise de regrouper les économies du travail, des créateurs et de la propriété ouvertes aux modèles de contribution qui rendent une économie chapeau blanc plus ouverte encore plus précieuse.
Que sont les primes de bogue et les concours d'audit ? Pourquoi en avons-nous besoin ?
La sécurité est un jeu dynamique entre l'attaquant et le défenseur, tout comme l'a dit l'expert en sécurité informatique et cryptographe Bruce Schneier : « La sécurité est un processus, pas un produit. C'est une façon de penser qui doit traverser le processus de développement logiciel dans tous ses aspects. " Dans le monde de la blockchain, une forêt sombre où tous les codes sont open source et transparents, un projet blockchain qui veut survivre longtemps doit avoir une exigence éternelle pour la sécurité de ses produits/contrats. Les produits de la chaîne ont tous plus ou moins d'attributs financiers. L'atout le plus important en finance est la confiance, et la confiance de l'utilisateur n'est qu'une fois.
Où sont les lacunes et les problèmes de l'audit traditionnel ? Quels sont les avantages des primes de bogues et des concours d'audit communautaires pour compenser ces problèmes ?
Les développeurs utilisant des services d'audit constatent souvent que :
Le marché est-il grand?
Le modèle commercial des plates-formes de primes et des concours d'audit consiste généralement à tirer une partie de la prime payée par les clients ou du pool de bonus total mis en place en tant que frais de service de la plate-forme. Les clients (parties du projet) qui ont besoin d'audits de sécurité du code annonceront leurs plans sur la plateforme de primes en fonction de leurs propres besoins (quels codes doivent être audités, comment définir la gravité des vulnérabilités et combien de récompense ils sont prêts à payer), et white hats Les vulnérabilités seront trouvées en fonction des besoins du côté du projet Une fois que les failles sont trouvées par les white hats et répondent aux besoins du côté du projet, la prime sera distribuée aux white hats, et la plate-forme de primes attirera une commission à titre de frais de service.
Dans le domaine de la sécurité des réseaux traditionnels Web2, la plateforme de bug bounty est également une direction relativement jeune (apparue après 2012), et actuellement les plus grandes plateformes de bug bounty sont HackerOne et Bugcrowd. En 2022, le chiffre d'affaires annuel de HackerOne atteindra 58 millions de dollars américains, la valorisation de l'entreprise atteindra environ 500 millions de dollars américains et la prime cumulée versée dans l'histoire sera de 230 millions de dollars américains (150 millions de dollars américains en 2021 et 2022). , compte plus d'un million de pirates enregistrés et plus de 1 000 clients qui utilisent les services HackerOne chaque mois. Son concurrent, Bugcrowd, devrait gagner plus de 20 millions de dollars en 2022.
Dans le domaine de la sécurité Web3, en 2022, toutes les plateformes de concours de bug bounty et d'audit du web3 émettront un total de 50 millions de dollars américains de primes aux pirates informatiques, et le niveau de facturation moyen de ces plateformes est d'environ 10% à 30%, il est donc estimé de manière prudente. La taille actuelle du marché est d'environ 5 millions de dollars à 15 millions de dollars, et il s'agit toujours d'un marché très émergent.
Une autre chose intéressante est que de plus en plus de clients sont prêts à utiliser directement les services d'audit de code fournis par la communauté de sécurité décentralisée.Au lieu de cela, la société d'audit tierce a choisi Code 4 Rena, la plus grande plateforme de concours d'audit décentralisé à l'heure actuelle, et a mis en place un prizepool de 1 million de dollars US Aujourd'hui, le marché traditionnel de l'audit de sécurité est de plus en plus impliqué (volume ressources humaines, volume outils techniques, volume Market BD), les services de sécurité décentralisés seront-ils une croissance importante sur ce marché ? (Actuellement, il y a 56 sociétés d'audit sur le marché, et le chiffre d'affaires des principales sociétés au cours de l'année écoulée se situait entre 10 et 40 millions de dollars US. Je pense qu'il y a beaucoup de place pour l'imagination sur le marché de la sécurité décentralisée).
Plateformes Bug Bounty vs plateformes de concours d'audit
Bien que la plateforme de bug bounty ait une histoire de développement de dix ans dans le web2, la plateforme de concours d'audit est une nouveauté dans le web3 natif. La prestation concours d'audit a pour objet les porteurs de projets qui s'apprêtent à lancer des produits ou de nouvelles fonctionnalités, et qui utilisent le pouvoir de la communauté décentralisée pour les aider à réaliser la prestation d'audit dans un délai précis (plus de 2 semaines). Dans cette perspective, le concours d'audit n'apportera aucune menace aux petites entreprises pour les sociétés d'audit traditionnelles.
Ci-dessous, je montrerai les différences entre les deux plates-formes en termes de méthodes de participation, de structure de récompense et de couverture des tests :
mode de participation
Les plateformes de primes de bogues telles que Immunefi sont généralement des projets ouverts auxquels tout le monde peut participer à tout moment. Les participants explorent et signalent généralement de manière indépendante les vulnérabilités en échange de récompenses. Si deux personnes trouvent la même vulnérabilité répétée, le principe du premier arrivé, premier servi sera suivi, et celui qui soumet le rapport en premier recevra la récompense en premier.
Les plateformes de concours d'audit communautaires (par exemple, Code 4 rena, Sherlock) sont souvent limitées dans le temps et rivalisent avec les participants pour trouver et signaler les vulnérabilités dans un certain délai. Par rapport à la plateforme de primes, il y aura un travail d'équipe (par exemple, chaque projet aura une affectation claire de Lead Senior Auditor et Lead Judge, et enfin examinera et résumera tous les résultats d'audit dans un rapport d'audit au client, et ces deux leaders suivre également le principe de décentralisation des élections et concours communautaires). De plus, si deux concurrents d'audit trouvent des failles répétées dans le délai imparti, ils peuvent tous les deux obtenir des récompenses.
structure de récompense
Les récompenses réelles émises par les deux prendront principalement en compte la gravité de la vulnérabilité découverte.
La seule différence est qu'une plateforme de concours d'audit communautaire comme Code 4 Rena aura une part fixe (5% ~ 10%) de la cagnotte pour chaque projet alloué à Lead Senior Auditor et Lead Judge, car ils entreprennent en fait un audit traditionnel. projets d'entreprise Le rôle du responsable.
Un autre point intéressant est que la partie projet sur la plate-forme bug bounty place parfois des jetons de projet comme récompenses, mais j'ai également constaté que certains hackers au chapeau blanc de la communauté préfèrent obtenir des pièces stables comme l'USDC et l'USDT plutôt que les fluctuations de prix des jetons de projet.
portée et orientation
Les projets de plate-forme Bug Bounty ont généralement une large portée, tandis que les projets sur les concours d'audit ont généralement une portée plus ciblée, ciblant une fonction ou un aspect spécifique du logiciel, tout en exigeant que les chapeaux blancs se concentrent sur l'achèvement du travail dans un délai plus court.
Projets axés sur les concours d'audit
Code 4 Rena - Une plate-forme de compétition d'audit communautaire de type esports
Code 4 Rena a trois types de caractères :
Les auditeurs (directeurs) examinent le code. Toute personne, d'un ingénieur en sécurité professionnel à un développeur novice essayant d'acquérir plus d'expérience, peut s'inscrire en tant qu'auditeur pour participer au concours d'audit public.
Les juges sont généralement les meilleurs ingénieurs de la communauté C 4. Ils déterminent la gravité, l'efficacité et la qualité des vulnérabilités et évaluent les performances d'audit.
Les sponsors sont des parties de projet, telles que Opensea, Blur, ENS, Chainlink, etc. Ils créent des pools de bonus pour attirer des auditeurs pour auditer le code de leurs projets. Les sponsors ont également la possibilité d'organiser des compétitions privées sur invitation uniquement pour plus de confidentialité.
L'un des points les plus intéressants est la culture que Code 4 Rena construit : la collaboration et le travail d'équipe sont encouragés. Contrairement aux programmes de primes de bogues traditionnels, Code 4 Rena rémunère tous les auditeurs qui signalent une vulnérabilité valide même si la vulnérabilité a déjà été signalée. Cela encourage une saine concurrence entre les auditeurs, car ils sont motivés pour trouver des vulnérabilités communes et de grande gravité. Sur cette plateforme, certains auditeurs formeront des équipes temporaires pour trouver ensemble des failles.
modèle d'affaires:
Tout projet peut aller à Code 4 rena pour démarrer un programme de concours d'audit et fournir à l'USDC ou à l'ETH la mise en place d'une cagnotte de base (généralement la taille de la cagnotte est de 40 000 $ à 100 000 $), Code 4 rena facturera 20% de la base cagnotte en tant que plate-forme Revenu de service pour l'organisation de concours, la fourniture de critiques et le tri des rapports de sortie d'audit. Le groupe de projet peut également fournir des jetons de projet en plus de la cagnotte de base pour créer une cagnotte supplémentaire, et Code 4 rena facturera 40 % de cette cagnotte supplémentaire.
Sherlock - Audit piloté par la communauté avec assurance contractuelle intelligente
Semblable à Code 4 rena, Sherlock a également des rôles tels que les auditeurs, les sponsors et les juges. La particularité de Sherlock réside dans les services d'assurance fournis par la plate-forme. N'importe qui peut investir dans le pool d'assurance sur la plate-forme Sherlock.Les investisseurs déposent l'USDC dans le pool d'assurance et les clients sous contrat peuvent acheter des services pour se prémunir contre le risque de piratage de contrats intelligents. Les sources de revenus pour les investisseurs en assurance comprennent : les primes payées par les clients sous contrat + les intérêts gagnés en déposant des fonds de pool d'assurance dans d'autres pools DeFi (Aave, Compound, etc.) + les incitations en jetons Sherlock. Mais l'investisseur supporte le risque de rembourser la politique tout en récoltant les bénéfices.
Un autre point qui diffère de Code 4 rena est le mécanisme de répartition des revenus de la prestation d'audit fournis par la plateforme. Par rapport au code 4 rena, Sherlock a des règles qui permettent au chef de l'audit principal de la sécurité et au juge en chef d'obtenir un montant fixe (5 % ~ 10 %) du pool de bonus pour compenser et motiver correctement l'auditeur principal à temps plein. En outre, il existe des systèmes de sélection et de compétition pour la sélection des postes de direction.
Comment créer une communauté de hackers ? Quelle est la plus grande préoccupation des white hats Web3 ?
Après avoir observé différentes communautés de sécurité décentralisées (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, etc.) et discuté avec quelques entrepreneurs de la sécurité, nous pensons que ce que toutes les plateformes décentralisées s'engagent à faire, c'est : construire un environnement plus sain et efficace plate-forme de communication et de collaboration. La plate-forme de bounty est comme une place de marché entre les Hackers et les projets. Ils doivent considérer leurs besoins du point de vue des hackers (comme indiqué dans le tableau ci-dessous), et en même temps considérer les meilleurs Concerned about (audit qualité) .
Source : 《Points de vue des chasseurs de bogues sur les défis et les avantages de l'éco Bug Bounty》
En plus de certains besoins communs, j'ai également vu des sujets intéressants dans la communauté des chapeaux blancs Immunefi (la communauté discorde des chapeaux blancs la plus animée que j'ai vue).
Par exemple:
Un chapeau blanc nommé Rappie veut divulguer certaines failles du projet qu'il a découvertes auparavant et demande quelles règles de la communauté doivent être suivies. (1. Ne divulguez que les bogues qui ont été corrigés. 2. Assurez-vous que toute information publique n'a aucun impact négatif sur le protocole ou ses utilisateurs. Gardez les informations confidentielles, par exemple : après avoir corrigé votre vulnérabilité d'injection SQL, ne divulguez pas d'informations sur leur 3. Assurez-vous que vous devez envoyer un message privé à l'équipe du projet avant de le rendre public).
Un chapeau blanc nommé Noam Yakov a des doutes sur la définition d'un projet de prime (cela arrive souvent, car généralement seules les vulnérabilités de sécurité graves peuvent être récompensées. Comment le projet définit-il le niveau de sécurité de la vulnérabilité ? Quelque chose dont les chapeaux blancs se soucient profondément , et la communauté entend beaucoup parler de ces conflits). Dans le projet de primes Uniwhales, il avait des doutes sur leur définition de l'impact du MEV comme une grave vulnérabilité de sécurité. Au final, tout le monde a discuté que ce type de description ne s'applique pas à toutes les situations de MEV. Par exemple, pour certains flux d'ordres toxiques, le Le pool de protocoles peut La situation d'épuisement des actifs est certainement un incident de sécurité grave (il n'est donc souvent pas suffisant de définir un ensemble de cadres de niveau de sécurité, et généralement un rôle similaire d'arbitre dans la plate-forme est nécessaire pour intervenir dans différents cas réels).
Et pour un sujet très intéressant, "Quelles sont vos demandes et attentes pour une plateforme de primes comme Immunefi ?" Un white hat nommé ckksec a donné sa réponse : 1) Aider ces white hats cryptés anonymes à gagner leur travail Faire quelques clarifications juridiques comme la facturation. 2) La plateforme doit non seulement avoir un système de notation pour les white hats, mais aussi noter la qualité du projet car les white hats ont souvent besoin de passer du temps à distinguer la qualité du projet. 3) Pour les white hats qui souhaitent ouvrir leur profil, la plateforme peut montrer leur flux de travail.En même temps, il est préférable que la plateforme affiche de manière plus transparente les informations du rapport d'analyse de sécurité reçues par la partie projet.
Quels outils peuvent aider les chapeaux blancs ?
Avec l'incendie des LLM GPT, j'ai récemment entendu des gens discuter fréquemment de la possibilité de remplacer les audits de sécurité par l'IA. Les praticiens de la sécurité expérimentés à qui j'ai parlé pensent généralement que GPT est difficile à remplacer directement par l'intelligence humaine. Certains fruits à portée de main (problèmes faciles à trouver) peuvent être détectés par des modèles de langage, mais ces problèmes à risques moyens et élevés nécessitent toujours des experts. participation. Par exemple, selon le retour d'expérience d'un expert senior en sécurité, pour une analyse de données et une analyse dynamique similaires, ces tests plus complexes doivent être artificiellement combinés avec la logique métier réelle du protocole pour effectuer des tests d'analyse de sécurité à l'avance et définir la cible attendue. attributs du test à l'avance. La partie la plus difficile est d'écrire de bonnes propriétés et de définir le bon champ de test. Selon leurs expériences sur le GPT, ils pensent que le GPT ne peut pas remplacer complètement les humains à ce stade.
Bien sûr, il existe actuellement des résultats plus optimistes montrant que LLM peut grandement améliorer l'efficacité d'analyse des outils d'analyse de sécurité et réduire le taux de faux positifs.
Réfléchissons à ce sujet d'un autre point de vue non technique intéressant. C'est un jeu dynamique entre les attaquants et les défenseurs de la sécurité. La hauteur magique est un pied plus haut que l'autre. L'IA apportera-t-elle des défis de sécurité aux attaquants ?
La sécurité est axée sur les personnes
Les gens penseront habituellement que le logiciel est une chose froide, mécanique et logique, et l'amélioration de la sécurité du système ne nécessite qu'une amélioration de la technologie d'analyse et du niveau de défense du système. Cependant, les gens ne réfléchissent pas aux problèmes de sécurité du point de vue des incitations économiques et de la nature humaine. Dans la sombre forêt du code source ouvert, nous avons besoin d'un système de distribution plus conforme aux hypothèses des personnes rationnelles. Des incitations économiques positives et bénignes attirer plus de personnes qui sont prêtes à investir dans la blockchain pendant longtemps.Les personnes qui apportent leur sagesse à la sécurité du système se joignent.
La structure actuelle du marché des audits de sécurité traditionnels est stable et la réputation de la marque est l'actif incorporel le plus important des entreprises dans ce domaine. Au fil du temps, l'influence des grandes marques de sécurité et la confiance des clients n'ont cessé d'augmenter, mais les audits de sécurité traditionnels ont également leur propres problèmes (le modèle économique repose uniquement sur la main-d'œuvre et il est difficile de se développer en taille, et les entreprises leaders doivent équilibrer croissance et qualité de l'audit. Certaines entreprises ont rencontré un tel goulot d'étranglement et ont même affecté la valeur de la marque).
Le concours d'audit de sécurité communautaire est un modèle économique innovant. A l'heure actuelle, plus de 300 clients des deux plateformes ont progressivement trouvé PMF, et la plateforme bounty est un bon complément au cycle de vie de la sécurité. Bien que ces plateformes décentralisées soient encore We n'avons pas trouvé de modèle de jeton particulièrement efficace, mais nous sommes très optimistes quant à la croissance à grande échelle de ce marché à l'avenir (car la sagesse de la foule convient très bien aux scénarios de jeu offensifs et défensifs sur le marché de la sécurité).
Les plateformes d'audit communautaires constitueront-elles une menace pour les cabinets d'audit centralisés ? Nous pensons qu'ils auront une saine concurrence mutuelle et une relation complémentaire.A court terme, lorsqu'une plateforme comme Code 4 rena forme un certain effet de réseau et a un bon historique (la proportion de projets audités étant piratés est faible), elle peut certaines entreprises centralisées au milieu et à la queue apporteront certaines pressions concurrentielles, mais à long terme, cela peut également forcer la plate-forme d'audit centralisée à former une coopération commerciale avec la plate-forme communautaire, car cela peut également élargir la clientèle de la plate-forme d'audit de sécurité centralisée et améliorer la qualité de l'audit (un peu comme le projet initial de prime de sécurité exploité indépendamment par une grande entreprise du web2 et formé plus tard une logique de coopération avec des plates-formes tierces telles que HackerOne).
Bien que la direction de la plate-forme de sécurité pilotée par la communauté soit davantage orientée DAO (Forta peut en fait être inclus dans cette catégorie), dans le fonctionnement réel du projet actuel, il reste des problèmes tels que : comment rendre le flux de travail et processus de distribution économique plus transparent et ouvert, comment peser les considérations de confidentialité et de sécurité de la partie projet, comment définir plus clairement la relation entre le travail d'équipe et la contribution personnelle, comment résoudre le problème dans une perspective relativement juste et professionnelle en cas de conflits d'intérêts surgissent, etc. Ce sont les choses que les DAO de sécurité doivent relever.
Référence:
dix. 11.