Sebagai sistem komputer skala besar, kompleksitas sistem blockchain saat ini telah jauh melampaui level 5 tahun yang lalu, tingkat modularisasi infrastruktur lebih halus, logika kontrak pintar pada lapisan aplikasi menjadi semakin melimpah, dan interaksi antar kontrak sangat sering, yang lebih penting, jumlah aset yang dikelola oleh sistem blockchain sudah sangat besar, sehingga ada lebih banyak diskusi tentang siklus keamanan di komunitas keamanan blockchain baru-baru ini (situasinya sama dengan tahun 2017 , ketika orang menyebutkan keamanan, mereka hanya memikirkan pengembang. Sangat berbeda untuk menulis kontrak dan memberikannya kepada teman-teman Ethereum Foundation untuk melihat dan melakukan beberapa tes dasar).
Sepanjang siklus hidup keamanan program blockchain (dari pengujian, mengundang audit pihak ketiga hingga pemantauan pasca-acara, memperbarui audit), komunitas bug bounty seperti bantal pengaman untuk menarik topi putih melalui teori permainan dan kerja klaster Mereka melakukan yang terakhir meninjau kode pihak proyek, dan beberapa pekerja keamanan kontrak pintar merasa bahwa hadiah bug lebih seperti orang terakhir di garis pertahanan, tetapi menurut saya hadiah bug dan kompetisi audit memiliki potensi untuk memainkan peran yang lebih besar dalam masa depan, bertindak sebagai Peran di seluruh siklus hidup keamanan meningkatkan keamanan sistem secara keseluruhan. **
Tentu saja, ada juga program bug bounty (Bug Bounty atau Vulnerabilty Rewards) di bidang keamanan jaringan tradisional Pertama, perusahaan teknologi besar seperti Facebook, Google, Microsoft, dll. Kedua, platform pihak ketiga bounty Bug yang diwakili oleh HackerOne dan Bugcrowd telah muncul sejak sekitar tahun 2015. Saat ini, kedua perusahaan keamanan terkemuka ini mengandalkan bounty draw sebagai pendapatan utama mereka, dan pendapatan tahunan mereka bisa mencapai hampir 50 juta US. dolar dan 20 juta dolar AS masing-masing. Di dunia blockchain, bounty adalah topik yang lebih menarik yang sering dibahas di lingkaran keamanan. Alasan utamanya adalah karena open source kode blockchain justru membuat biaya peretasan dan peningkatan strategi serangan menjadi lebih murah. Selain itu, dunia crypto menganjurkan pengelompokan Ekonomi Kerja, Pencipta, dan Kepemilikan terbuka untuk model kontribusi yang membuat ekonomi topi putih yang lebih terbuka menjadi lebih bernilai.
**Apa yang dimaksud dengan hadiah bug dan kontes audit? Mengapa kami membutuhkannya? **
Keamanan adalah permainan dinamis antara penyerang dan pembela, seperti yang dikatakan pakar keamanan komputer dan kriptografer Bruce Schneier, “Keamanan adalah sebuah proses, bukan produk. Ini adalah cara berpikir yang harus dijalankan melalui proses pengembangan perangkat lunak di setiap aspek. " Di dunia blockchain, hutan gelap di mana semua kode open source dan transparan, proyek blockchain yang ingin bertahan lama harus memiliki kebutuhan abadi untuk keamanan produk / kontraknya. Semua produk rantai memiliki lebih banyak atau lebih sedikit finansial atribut Aset terpenting dalam keuangan adalah kepercayaan, dan kepercayaan pengguna hanya sekali.
Di manakah kekurangan dan masalah audit tradisional? Keuntungan apa yang dapat diberikan oleh hadiah bug berbasis komunitas dan kompetisi audit untuk mengatasi masalah ini?
Pengembang yang menggunakan layanan audit sering kali menemukan bahwa:
Bahkan setelah membeli layanan dari perusahaan audit pihak ketiga, masih ada masalah dengan kode setelah audit Meskipun penyebab masalah ini berbeda (teknis dan non-teknis), tampaknya tidak sepenuhnya dapat diandalkan untuk diandalkan pada perusahaan audit pada akhirnya.Namun, kualitas kode audit masih bergantung pada tingkat auditor, dan pelanggan seringkali tidak memiliki kemampuan untuk membedakan "siapa yang lebih baik".
Platform hadiah dan kompetisi audit adalah "kotak pasir" yang lebih terbuka, dan kode proyek dapat ditinjau oleh topi putih sesuka hati, tanpa batasan latar belakang (mungkin ada personel dari perusahaan audit profesional, dan mungkin ada analis keamanan lepas) , gudang senjata tidak terbatas, dan yang harus dilakukan pelanggan hanyalah menetapkan hadiah yang masuk akal dan membayar kontribusi mereka saat topi putih menemukan masalah.
Biasanya pelanggan akan terlebih dahulu mengirimkan kode mereka yang perlu ditinjau oleh white hat, tentukan tingkat keamanan kerentanan (biasanya terkait dengan kemungkinan kerugian ekonomi, semakin mudah kerentanan yang secara langsung menyebabkan kerugian ekonomi, semakin tinggi tingkat keparahannya) , anggaran hadiah, menguji cakupan kode, dan bahkan langkah-langkah pengujian.
Seberapa besar pasarnya?
Model bisnis platform bounty dan kompetisi audit biasanya menarik sebagian dari bounty yang dibayarkan oleh pelanggan atau total kumpulan bonus yang ditetapkan sebagai biaya layanan platform. Pelanggan (pihak proyek) yang membutuhkan audit keamanan kode akan mengumumkan rencana mereka di platform bounty sesuai dengan kebutuhan mereka sendiri (kode mana yang perlu diaudit, bagaimana menentukan tingkat keparahan kerentanan, dan berapa banyak hadiah yang bersedia mereka bayarkan), dan white hat Kerentanan akan ditemukan sesuai dengan kebutuhan sisi proyek. Setelah celah ditemukan oleh white hat dan memenuhi kebutuhan sisi proyek, bounty akan didistribusikan ke white hat, dan platform bounty akan menarik komisi dari itu sebagai biaya layanan.
Di bidang keamanan jaringan tradisional Web2, platform hadiah bug juga merupakan arah yang relatif muda (muncul setelah 2012), dan saat ini platform hadiah bug terbesar adalah HackerOne dan Bugcrowd. Pada tahun 2022, pendapatan tahunan HackerOne akan mencapai 58 juta dolar AS, penilaian perusahaan akan mencapai sekitar 500 juta dolar AS, dan hadiah kumulatif yang dibayarkan dalam sejarah akan menjadi 230 juta dolar AS (2021 dan 2022 akan membayar 150 juta dolar AS sebagai hadiah) , dan lebih dari 65.000 perangkat lunak akan ditemukan Kerentanan, dengan lebih dari 1 juta peretas terdaftar, dan lebih dari 1.000 pelanggan menggunakan layanan HackerOne setiap bulan. Pesaingnya, Bugcrowd, diharapkan menghasilkan pendapatan lebih dari $20 juta pada tahun 2022.
Di bidang keamanan Web3, pada tahun 2022, semua bounty bug web3 dan platform kompetisi audit akan mendistribusikan total hadiah 50 juta dolar AS kepada peretas topi putih, dan tingkat biaya rata-rata dari platform tersebut adalah sekitar 10% hingga 30%, jadi diperkirakan secara konservatif. Ukuran pasar saat ini adalah sekitar $5 juta~$15 juta, dan ini masih merupakan pasar yang sangat berkembang.
Hal menarik lainnya adalah semakin banyak pelanggan yang mau langsung menggunakan layanan audit kode yang disediakan oleh komunitas keamanan terdesentralisasi ini.Contoh yang paling terkenal adalah Opensea tidak secara langsung menemukan layanan audit lapis kedua sebelum meluncurkan platform Seaport baru mereka. perusahaan audit tiga pihak memilih Code4Rena, platform kompetisi audit terdesentralisasi terbesar saat ini, dan menyiapkan kumpulan hadiah sebesar 1 juta dolar AS. Saat ini, pasar audit keamanan tradisional semakin terlibat (volume sumber daya manusia, alat teknologi volume, pasar volume BD ), akankah layanan keamanan terdesentralisasi menjadi pertumbuhan penting di pasar ini? (Saat ini ada 56 perusahaan audit di pasar, dan pendapatan perusahaan terkemuka pada tahun lalu adalah US$10 juta hingga US$40 juta. Saya pikir ada banyak ruang untuk imajinasi di pasar keamanan terdesentralisasi).
Platform Bug Bounty vs Platform Kontes Audit
Meskipun platform bug bounty memiliki sejarah pengembangan sepuluh tahun di web2, platform kompetisi audit adalah hal baru di web3 asli. Objek dari layanan persaingan audit adalah para pihak proyek yang akan meluncurkan produk atau beberapa fungsi baru, dan menggunakan kekuatan komunitas terdesentralisasi untuk membantu mereka menyelesaikan layanan audit dalam waktu tertentu (lebih dari 2 minggu). Perspektif, persaingan audit tidak akan membawa ancaman bisnis kecil ke perusahaan audit tradisional.
Di bawah ini saya akan menunjukkan perbedaan antara kedua platform dalam hal metode partisipasi, struktur penghargaan, dan cakupan ujian:
cara partisipasi
Platform hadiah bug seperti Immunefi biasanya merupakan proyek terbuka di mana siapa saja dapat berpartisipasi kapan saja. Peserta biasanya secara mandiri mengeksplorasi dan melaporkan kerentanan dengan imbalan hadiah. Jika dua orang menemukan kerentanan berulang yang sama, prinsip pertama datang pertama dilayani akan diikuti, dan siapa pun yang melapor terlebih dahulu akan mendapatkan hadiah terlebih dahulu.
Platform kompetisi audit berbasis komunitas (misalnya Code4rena, Sherlock) seringkali dibatasi waktu dan bersaing dengan peserta untuk menemukan dan melaporkan kerentanan dalam jangka waktu tertentu. Dibandingkan dengan platform bounty, akan ada beberapa kerja tim (misalnya, setiap proyek akan memiliki penugasan yang jelas dari Lead Senior Auditor dan Lead Judge, dan akhirnya meninjau dan meringkas semua hasil audit menjadi laporan audit kepada pelanggan, dan kedua pemimpin ini juga mengikuti prinsip desentralisasi pemilihan dan kompetisi masyarakat). Selain itu, jika dua pesaing audit menemukan celah berulang dalam waktu yang ditentukan, keduanya bisa mendapatkan reward.
Struktur Penghargaan
Imbalan aktual yang dikeluarkan oleh keduanya terutama akan mempertimbangkan tingkat keparahan kerentanan yang ditemukan.
Satu-satunya perbedaan adalah platform kompetisi audit berbasis komunitas seperti Code4Rena akan memiliki porsi tetap (5%~10%) dari kumpulan bonus untuk setiap proyek yang dialokasikan kepada Lead Senior Auditor dan Lead Judge, karena mereka benar-benar mengambil peran proyek pemimpin perusahaan audit tradisional.karakter dari.
Poin menarik lainnya adalah bahwa pihak proyek di platform hadiah bug terkadang menempatkan token proyek sebagai hadiah, tetapi saya juga melihat bahwa beberapa peretas topi putih di komunitas lebih suka mendapatkan USDC, koin stabil USDT daripada fluktuasi harga Token proyek.
Cakupan dan Fokus
Proyek bug bounty platform biasanya memiliki cakupan yang luas, sedangkan proyek pada kompetisi audit biasanya memiliki cakupan yang lebih terfokus, menargetkan fungsi atau aspek tertentu dari perangkat lunak, sementara membutuhkan topi putih untuk fokus menyelesaikan pekerjaan dalam waktu yang lebih singkat.
Proyek yang berfokus pada kompetisi audit
Code4Rena - Platform kompetisi audit berbasis komunitas yang mirip esports
Code4Rena memiliki tiga tipe karakter:
1 kode ulasan Auditor (Wardens). Siapa pun dari insinyur keamanan profesional hingga pengembang pemula yang mencoba mendapatkan lebih banyak pengalaman dapat mendaftar sebagai auditor untuk berpartisipasi dalam kompetisi audit publik.
2 Juri (Juri) biasanya adalah engineer terbaik di komunitas C4. Mereka menentukan tingkat keparahan, efektivitas, dan kualitas kerentanan dan mengevaluasi kinerja audit.
3 Sponsor (Sponsor) adalah pihak proyek, seperti Opensea, Blur, ENS, Chainlink, dll. Mereka membuat kumpulan bonus untuk menarik auditor mengaudit kode proyek mereka. Sponsor juga memiliki opsi untuk menyelenggarakan kompetisi khusus undangan untuk privasi tambahan.
Salah satu poin paling menarik adalah budaya yang dibangun Code4Rena: kolaborasi dan kerja tim didorong. Tidak seperti program bounty bug tradisional, Code4Rena membayar semua auditor yang melaporkan kerentanan yang valid bahkan jika kerentanan tersebut telah dilaporkan. Hal ini mendorong persaingan yang sehat di antara auditor karena mereka termotivasi untuk menemukan kerentanan umum dan tingkat keparahan yang tinggi. Di platform ini, beberapa auditor akan membentuk tim sementara untuk mencari celah bersama.
model bisnis:
Setiap proyek dapat pergi ke Code4rena untuk memulai program kompetisi audit dan menyediakan USDC atau ETH untuk menyiapkan kumpulan hadiah dasar (biasanya ukuran kumpulan hadiah adalah $40.000 ~ $100.000), dan Code4rena akan mengenakan biaya 20% dari kumpulan hadiah dasar sebagai platform untuk mengatur kompetisi, memberikan ulasan, dan mengatur hasil audit Pendapatan layanan untuk melaporkan hasil. Pihak proyek juga dapat memberikan token proyek di atas kumpulan hadiah dasar untuk menyiapkan kumpulan hadiah tambahan, dan Code4rena akan mengenakan biaya 40% dari kumpulan hadiah tambahan ini.
Sherlock - Audit berbasis komunitas dengan asuransi kontrak pintar
Mirip dengan Code4rena, Sherlock juga berperan sebagai auditor, sponsor, dan juri.Keunikan Sherlock terletak pada layanan asuransi yang disediakan oleh platform. Siapa pun dapat berinvestasi di kumpulan asuransi di platform Sherlock. Investor menyetor USDC ke dalam kumpulan asuransi, dan pelanggan perjanjian dapat membeli layanan untuk melindungi risiko kontrak cerdas diretas. Sumber pendapatan bagi investor asuransi meliputi: premi yang dibayarkan berdasarkan kesepakatan pelanggan + bunga yang diperoleh dengan menyetorkan dana kumpulan asuransi di kumpulan DeFi lainnya (Aave, Compound, dll.) + Insentif token Sherlock. Tetapi investor menanggung risiko membayar kembali polis sambil menuai keuntungan.
Hal lain yang berbeda dari Code4rena adalah mekanisme distribusi pendapatan jasa audit yang disediakan oleh platform. Dibandingkan dengan Code4rena, Sherlock memiliki aturan yang memungkinkan kepala auditor keamanan senior dan hakim ketua untuk mendapatkan jumlah tetap (5%~10%) dari kumpulan bonus untuk memberikan kompensasi yang tepat dan memotivasi auditor senior penuh waktu. Selain itu, ada sistem seleksi dan kompetisi untuk pemilihan peran kepemimpinan.
**Bagaimana cara membangun komunitas peretas? Apa perhatian terbesar dari topi putih Web3? **
Setelah kami mengamati komunitas keamanan terdesentralisasi yang berbeda (ImmuneFi, Hats Finance, Code4Rena, Sherlock, dll.) Dan mengobrol dengan beberapa pengusaha keamanan, kami berpikir bahwa semua platform terdesentralisasi berdedikasi untuk membangun platform komunikasi dan kolaborasi yang lebih sehat dan efisien. , platform bounty seperti pasar antara Peretas dan proyek, mereka harus mempertimbangkan kebutuhan mereka dari perspektif peretas (seperti yang ditunjukkan pada tabel di bawah), dan pada saat yang sama mempertimbangkan apa yang paling diperhatikan oleh pihak proyek dari perspektif proyek (Kualitas Audit).
Sumber: 《Perspektif Pemburu Bug tentang Tantangan dan Manfaat Bug Bounty Eco》
Selain beberapa kebutuhan umum, saya juga melihat beberapa topik menarik di komunitas topi putih Immunefi (komunitas perselisihan topi putih paling ramai yang saya lihat).
Misalnya:
Ada topi putih bernama Rappie yang ingin mengungkap beberapa celah proyek yang dia temukan sebelumnya, dan menanyakan aturan komunitas apa yang perlu diikuti. (1. Hanya publikasikan bug yang telah diperbaiki. 2. Pastikan bahwa setiap informasi publik tidak berdampak negatif pada protokol atau penggunanya. Simpan informasi rahasia misalnya setelah mereka memperbaiki kerentanan injeksi SQL Anda, jangan publikasikan informasi lengkapnya database 3. Pastikan Anda perlu mengirim pesan pribadi ke tim proyek sebelum mempublikasikannya).
Topi putih bernama Noam Yakov memiliki keraguan tentang definisi proyek hadiah (ini sering terjadi, karena biasanya hanya kerentanan keamanan yang serius yang dapat dihargai. Bagaimana proyek menentukan tingkat keamanan kerentanan? Sesuatu yang sangat dipedulikan oleh topi putih , dan masyarakat sering mendengar perselisihan semacam itu). Dalam proyek bounty Uniwhales, dia meragukan definisi mereka tentang dampak MEV sebagai kerentanan keamanan yang serius. Pada akhirnya, semua orang membahas bahwa jenis deskripsi ini tidak berlaku untuk semua situasi MEV. Misalnya, untuk beberapa aliran pesanan beracun, kumpulan protokol Situasi pengurasan aset jelas merupakan insiden keamanan yang serius (sehingga mendefinisikan satu set kerangka tingkat keamanan seringkali tidak cukup, dan biasanya memerlukan keterlibatan peran arbiter yang serupa di platform dalam kasus yang berbeda sebenarnya).
Dan untuk topik yang sangat menarik, "Apa tuntutan dan harapan Anda untuk platform hadiah seperti Immunefi?" Seorang topi putih bernama ckksec memberikan jawabannya: 1) Bantu topi putih enkripsi anonim ini mendapatkan penghasilan kerja mereka Lakukan beberapa klarifikasi hukum seperti pembuatan faktur. 2) Platform seharusnya tidak hanya memiliki sistem penilaian untuk topi putih, tetapi juga menilai kualitas proyek karena topi putih seringkali perlu menghabiskan waktu untuk membedakan kualitas proyek. 3) Untuk white hat yang bersedia membuka proflie mereka, platform dapat menunjukkan alur kerja mereka, pada saat yang sama, sebaiknya platform lebih transparan menampilkan informasi laporan analisis keamanan yang diterima oleh pihak proyek.
Alat apa yang dapat membantu topi putih?
Dengan maraknya GPT LLM, baru-baru ini saya sering mendengar orang berdiskusi apakah audit keamanan juga bisa digantikan oleh AI. Praktisi keamanan berpengalaman yang saya ajak bicara umumnya percaya bahwa GPT sulit untuk secara langsung menggantikan kebijaksanaan manusia. Beberapa buah yang menggantung rendah (masalah yang mudah ditemukan) dapat dideteksi oleh model bahasa, tetapi masalah dengan risiko sedang dan tinggi masih memerlukan ahli partisipasi. Misalnya, menurut umpan balik dari pakar keamanan senior, untuk analisis data dan analisis dinamis yang serupa, pengujian yang lebih kompleks ini perlu digabungkan secara artifisial dengan logika bisnis sebenarnya dari protokol untuk melakukan pengujian analisis keamanan terlebih dahulu dan menentukan target yang diharapkan. atribut tes terlebih dahulu Bagian yang paling sulit adalah menulis properti yang baik dan menentukan bidang tes yang benar. Menurut percobaan mereka pada GPT, mereka percaya bahwa GPT tidak dapat sepenuhnya menggantikan manusia pada tahap ini.
Tentu saja, saat ini ada hasil yang lebih optimis yang menunjukkan bahwa LLM dapat sangat meningkatkan efisiensi analisis alat analisis keamanan dan mengurangi tingkat positif palsu:
Mari kita pikirkan topik ini dari perspektif non-teknis lain yang menarik. Ini adalah permainan dinamis antara penyerang dan pembela keamanan. Ketinggian sihir satu kaki lebih tinggi dan ketinggian lebih tinggi. Akankah AI membawa tantangan keamanan kepada penyerang keamanan? membantu?
Keselamatan berorientasi pada manusia
Orang akan terbiasa berpikir bahwa perangkat lunak adalah hal yang dingin, mekanis, dan logis, dan meningkatkan keamanan sistem hanya perlu meningkatkan teknologi analisis dan tingkat pertahanan sistem. Namun, orang kurang memikirkan masalah keamanan dari perspektif insentif ekonomi dan sifat manusia. Di hutan gelap kode sumber terbuka, kita membutuhkan sistem distribusi yang lebih sesuai dengan asumsi orang yang rasional. Insentif ekonomi yang positif dan jinak menarik lebih banyak orang yang bersedia berinvestasi di blockchain untuk waktu yang lama. Orang-orang yang menyumbangkan kebijaksanaan untuk keamanan sistem bergabung.
Struktur pasar audit keamanan tradisional saat ini stabil, dan reputasi merek adalah aset tidak berwujud terpenting perusahaan di bidang ini.Seiring waktu, pengaruh merek keamanan teratas dan kepercayaan pelanggan terus meningkat, tetapi audit keamanan tradisional juga memiliki pengaruhnya sendiri. masalah sendiri (model bisnis hanya mengandalkan tenaga kerja dan sulit untuk tumbuh dalam skala, dan perusahaan terkemuka perlu menyeimbangkan pertumbuhan dan kualitas audit. Beberapa perusahaan telah menghadapi hambatan seperti itu dan bahkan memengaruhi nilai merek).
**Kompetisi audit keamanan berbasis komunitas adalah model bisnis yang inovatif. **Saat ini, jumlah pelanggan dari kedua platform telah melebihi 300 dan secara bertahap menemukan PMF. *Platform bounty adalah pelengkap yang baik untuk siklus hidup keamanan. * Meskipun platform terdesentralisasi ini belum menemukan model token yang sangat efektif, kami sangat optimis tentang pertumbuhan skala besar pasar ini di masa depan (karena kebijaksanaan orang banyak sangat cocok untuk skenario permainan ofensif dan defensif di pasar keamanan).
** Akankah platform audit berbasis komunitas menimbulkan ancaman bagi perusahaan audit terpusat? ** Kami pikir mereka akan memiliki kompetisi timbal balik yang baik dan hubungan yang saling melengkapi. Dalam jangka pendek, ketika platform seperti Code4rena membentuk efek jaringan tertentu dan memiliki rekam jejak yang baik (proporsi proyek yang diaudit yang diretas rendah), mungkin memang memberi Beberapa perusahaan terpusat di tengah dan ekor akan membawa tekanan persaingan tertentu, tetapi dalam jangka panjang, hal ini juga dapat memaksa platform audit terpusat untuk membentuk beberapa kerjasama komersial dengan platform berbasis komunitas, karena ini juga dapat memperluas pelanggan dari Grup platform audit keamanan terpusat dan tingkatkan kualitas audit** (mirip dengan proyek bounty keamanan asli yang dioperasikan secara independen oleh perusahaan web2 besar dan kemudian membentuk logika kerja sama dengan platform pihak ketiga seperti HackerOne).
Meskipun arah platform keamanan berbasis komunitas adalah untuk lebih berorientasi pada DAO (Forta sebenarnya dapat dimasukkan dalam kategori ini), dalam pengoperasian sebenarnya dari proyek saat ini, masih ada masalah seperti: bagaimana membuat alur kerja dan proses distribusi ekonomi lebih transparan dan terbuka , Bagaimana menimbang pertimbangan privasi dan keamanan pihak proyek, bagaimana lebih jelas mendefinisikan hubungan antara kerja tim dan kontribusi pribadi, bagaimana menyelesaikan masalah dengan cara yang lebih adil dan profesional ketika terjadi konflik kepentingan muncul, dll. Ini adalah hal-hal yang harus dihadapi DAO keamanan Tantangan yang tepat.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kecerdasan Kerumunan dalam Keamanan - Pasar Karunia dan Audit Berbasis Komunitas
Oleh Ray, IOSG Ventures
Sebagai sistem komputer skala besar, kompleksitas sistem blockchain saat ini telah jauh melampaui level 5 tahun yang lalu, tingkat modularisasi infrastruktur lebih halus, logika kontrak pintar pada lapisan aplikasi menjadi semakin melimpah, dan interaksi antar kontrak sangat sering, yang lebih penting, jumlah aset yang dikelola oleh sistem blockchain sudah sangat besar, sehingga ada lebih banyak diskusi tentang siklus keamanan di komunitas keamanan blockchain baru-baru ini (situasinya sama dengan tahun 2017 , ketika orang menyebutkan keamanan, mereka hanya memikirkan pengembang. Sangat berbeda untuk menulis kontrak dan memberikannya kepada teman-teman Ethereum Foundation untuk melihat dan melakukan beberapa tes dasar).
Sepanjang siklus hidup keamanan program blockchain (dari pengujian, mengundang audit pihak ketiga hingga pemantauan pasca-acara, memperbarui audit), komunitas bug bounty seperti bantal pengaman untuk menarik topi putih melalui teori permainan dan kerja klaster Mereka melakukan yang terakhir meninjau kode pihak proyek, dan beberapa pekerja keamanan kontrak pintar merasa bahwa hadiah bug lebih seperti orang terakhir di garis pertahanan, tetapi menurut saya hadiah bug dan kompetisi audit memiliki potensi untuk memainkan peran yang lebih besar dalam masa depan, bertindak sebagai Peran di seluruh siklus hidup keamanan meningkatkan keamanan sistem secara keseluruhan. **
Tentu saja, ada juga program bug bounty (Bug Bounty atau Vulnerabilty Rewards) di bidang keamanan jaringan tradisional Pertama, perusahaan teknologi besar seperti Facebook, Google, Microsoft, dll. Kedua, platform pihak ketiga bounty Bug yang diwakili oleh HackerOne dan Bugcrowd telah muncul sejak sekitar tahun 2015. Saat ini, kedua perusahaan keamanan terkemuka ini mengandalkan bounty draw sebagai pendapatan utama mereka, dan pendapatan tahunan mereka bisa mencapai hampir 50 juta US. dolar dan 20 juta dolar AS masing-masing. Di dunia blockchain, bounty adalah topik yang lebih menarik yang sering dibahas di lingkaran keamanan. Alasan utamanya adalah karena open source kode blockchain justru membuat biaya peretasan dan peningkatan strategi serangan menjadi lebih murah. Selain itu, dunia crypto menganjurkan pengelompokan Ekonomi Kerja, Pencipta, dan Kepemilikan terbuka untuk model kontribusi yang membuat ekonomi topi putih yang lebih terbuka menjadi lebih bernilai.
**Apa yang dimaksud dengan hadiah bug dan kontes audit? Mengapa kami membutuhkannya? **
Keamanan adalah permainan dinamis antara penyerang dan pembela, seperti yang dikatakan pakar keamanan komputer dan kriptografer Bruce Schneier, “Keamanan adalah sebuah proses, bukan produk. Ini adalah cara berpikir yang harus dijalankan melalui proses pengembangan perangkat lunak di setiap aspek. " Di dunia blockchain, hutan gelap di mana semua kode open source dan transparan, proyek blockchain yang ingin bertahan lama harus memiliki kebutuhan abadi untuk keamanan produk / kontraknya. Semua produk rantai memiliki lebih banyak atau lebih sedikit finansial atribut Aset terpenting dalam keuangan adalah kepercayaan, dan kepercayaan pengguna hanya sekali.
Di manakah kekurangan dan masalah audit tradisional? Keuntungan apa yang dapat diberikan oleh hadiah bug berbasis komunitas dan kompetisi audit untuk mengatasi masalah ini?
Pengembang yang menggunakan layanan audit sering kali menemukan bahwa:
Seberapa besar pasarnya?
Model bisnis platform bounty dan kompetisi audit biasanya menarik sebagian dari bounty yang dibayarkan oleh pelanggan atau total kumpulan bonus yang ditetapkan sebagai biaya layanan platform. Pelanggan (pihak proyek) yang membutuhkan audit keamanan kode akan mengumumkan rencana mereka di platform bounty sesuai dengan kebutuhan mereka sendiri (kode mana yang perlu diaudit, bagaimana menentukan tingkat keparahan kerentanan, dan berapa banyak hadiah yang bersedia mereka bayarkan), dan white hat Kerentanan akan ditemukan sesuai dengan kebutuhan sisi proyek. Setelah celah ditemukan oleh white hat dan memenuhi kebutuhan sisi proyek, bounty akan didistribusikan ke white hat, dan platform bounty akan menarik komisi dari itu sebagai biaya layanan.
Di bidang keamanan jaringan tradisional Web2, platform hadiah bug juga merupakan arah yang relatif muda (muncul setelah 2012), dan saat ini platform hadiah bug terbesar adalah HackerOne dan Bugcrowd. Pada tahun 2022, pendapatan tahunan HackerOne akan mencapai 58 juta dolar AS, penilaian perusahaan akan mencapai sekitar 500 juta dolar AS, dan hadiah kumulatif yang dibayarkan dalam sejarah akan menjadi 230 juta dolar AS (2021 dan 2022 akan membayar 150 juta dolar AS sebagai hadiah) , dan lebih dari 65.000 perangkat lunak akan ditemukan Kerentanan, dengan lebih dari 1 juta peretas terdaftar, dan lebih dari 1.000 pelanggan menggunakan layanan HackerOne setiap bulan. Pesaingnya, Bugcrowd, diharapkan menghasilkan pendapatan lebih dari $20 juta pada tahun 2022.
Di bidang keamanan Web3, pada tahun 2022, semua bounty bug web3 dan platform kompetisi audit akan mendistribusikan total hadiah 50 juta dolar AS kepada peretas topi putih, dan tingkat biaya rata-rata dari platform tersebut adalah sekitar 10% hingga 30%, jadi diperkirakan secara konservatif. Ukuran pasar saat ini adalah sekitar $5 juta~$15 juta, dan ini masih merupakan pasar yang sangat berkembang.
Hal menarik lainnya adalah semakin banyak pelanggan yang mau langsung menggunakan layanan audit kode yang disediakan oleh komunitas keamanan terdesentralisasi ini.Contoh yang paling terkenal adalah Opensea tidak secara langsung menemukan layanan audit lapis kedua sebelum meluncurkan platform Seaport baru mereka. perusahaan audit tiga pihak memilih Code4Rena, platform kompetisi audit terdesentralisasi terbesar saat ini, dan menyiapkan kumpulan hadiah sebesar 1 juta dolar AS. Saat ini, pasar audit keamanan tradisional semakin terlibat (volume sumber daya manusia, alat teknologi volume, pasar volume BD ), akankah layanan keamanan terdesentralisasi menjadi pertumbuhan penting di pasar ini? (Saat ini ada 56 perusahaan audit di pasar, dan pendapatan perusahaan terkemuka pada tahun lalu adalah US$10 juta hingga US$40 juta. Saya pikir ada banyak ruang untuk imajinasi di pasar keamanan terdesentralisasi).
Platform Bug Bounty vs Platform Kontes Audit
Meskipun platform bug bounty memiliki sejarah pengembangan sepuluh tahun di web2, platform kompetisi audit adalah hal baru di web3 asli. Objek dari layanan persaingan audit adalah para pihak proyek yang akan meluncurkan produk atau beberapa fungsi baru, dan menggunakan kekuatan komunitas terdesentralisasi untuk membantu mereka menyelesaikan layanan audit dalam waktu tertentu (lebih dari 2 minggu). Perspektif, persaingan audit tidak akan membawa ancaman bisnis kecil ke perusahaan audit tradisional.
Di bawah ini saya akan menunjukkan perbedaan antara kedua platform dalam hal metode partisipasi, struktur penghargaan, dan cakupan ujian:
cara partisipasi
Platform hadiah bug seperti Immunefi biasanya merupakan proyek terbuka di mana siapa saja dapat berpartisipasi kapan saja. Peserta biasanya secara mandiri mengeksplorasi dan melaporkan kerentanan dengan imbalan hadiah. Jika dua orang menemukan kerentanan berulang yang sama, prinsip pertama datang pertama dilayani akan diikuti, dan siapa pun yang melapor terlebih dahulu akan mendapatkan hadiah terlebih dahulu.
Platform kompetisi audit berbasis komunitas (misalnya Code4rena, Sherlock) seringkali dibatasi waktu dan bersaing dengan peserta untuk menemukan dan melaporkan kerentanan dalam jangka waktu tertentu. Dibandingkan dengan platform bounty, akan ada beberapa kerja tim (misalnya, setiap proyek akan memiliki penugasan yang jelas dari Lead Senior Auditor dan Lead Judge, dan akhirnya meninjau dan meringkas semua hasil audit menjadi laporan audit kepada pelanggan, dan kedua pemimpin ini juga mengikuti prinsip desentralisasi pemilihan dan kompetisi masyarakat). Selain itu, jika dua pesaing audit menemukan celah berulang dalam waktu yang ditentukan, keduanya bisa mendapatkan reward.
Struktur Penghargaan
Imbalan aktual yang dikeluarkan oleh keduanya terutama akan mempertimbangkan tingkat keparahan kerentanan yang ditemukan.
Satu-satunya perbedaan adalah platform kompetisi audit berbasis komunitas seperti Code4Rena akan memiliki porsi tetap (5%~10%) dari kumpulan bonus untuk setiap proyek yang dialokasikan kepada Lead Senior Auditor dan Lead Judge, karena mereka benar-benar mengambil peran proyek pemimpin perusahaan audit tradisional.karakter dari.
Poin menarik lainnya adalah bahwa pihak proyek di platform hadiah bug terkadang menempatkan token proyek sebagai hadiah, tetapi saya juga melihat bahwa beberapa peretas topi putih di komunitas lebih suka mendapatkan USDC, koin stabil USDT daripada fluktuasi harga Token proyek.
Cakupan dan Fokus
Proyek bug bounty platform biasanya memiliki cakupan yang luas, sedangkan proyek pada kompetisi audit biasanya memiliki cakupan yang lebih terfokus, menargetkan fungsi atau aspek tertentu dari perangkat lunak, sementara membutuhkan topi putih untuk fokus menyelesaikan pekerjaan dalam waktu yang lebih singkat.
Proyek yang berfokus pada kompetisi audit
Code4Rena - Platform kompetisi audit berbasis komunitas yang mirip esports
Code4Rena memiliki tiga tipe karakter:
1 kode ulasan Auditor (Wardens). Siapa pun dari insinyur keamanan profesional hingga pengembang pemula yang mencoba mendapatkan lebih banyak pengalaman dapat mendaftar sebagai auditor untuk berpartisipasi dalam kompetisi audit publik.
2 Juri (Juri) biasanya adalah engineer terbaik di komunitas C4. Mereka menentukan tingkat keparahan, efektivitas, dan kualitas kerentanan dan mengevaluasi kinerja audit.
3 Sponsor (Sponsor) adalah pihak proyek, seperti Opensea, Blur, ENS, Chainlink, dll. Mereka membuat kumpulan bonus untuk menarik auditor mengaudit kode proyek mereka. Sponsor juga memiliki opsi untuk menyelenggarakan kompetisi khusus undangan untuk privasi tambahan.
Salah satu poin paling menarik adalah budaya yang dibangun Code4Rena: kolaborasi dan kerja tim didorong. Tidak seperti program bounty bug tradisional, Code4Rena membayar semua auditor yang melaporkan kerentanan yang valid bahkan jika kerentanan tersebut telah dilaporkan. Hal ini mendorong persaingan yang sehat di antara auditor karena mereka termotivasi untuk menemukan kerentanan umum dan tingkat keparahan yang tinggi. Di platform ini, beberapa auditor akan membentuk tim sementara untuk mencari celah bersama.
model bisnis:
Setiap proyek dapat pergi ke Code4rena untuk memulai program kompetisi audit dan menyediakan USDC atau ETH untuk menyiapkan kumpulan hadiah dasar (biasanya ukuran kumpulan hadiah adalah $40.000 ~ $100.000), dan Code4rena akan mengenakan biaya 20% dari kumpulan hadiah dasar sebagai platform untuk mengatur kompetisi, memberikan ulasan, dan mengatur hasil audit Pendapatan layanan untuk melaporkan hasil. Pihak proyek juga dapat memberikan token proyek di atas kumpulan hadiah dasar untuk menyiapkan kumpulan hadiah tambahan, dan Code4rena akan mengenakan biaya 40% dari kumpulan hadiah tambahan ini.
Sherlock - Audit berbasis komunitas dengan asuransi kontrak pintar
Mirip dengan Code4rena, Sherlock juga berperan sebagai auditor, sponsor, dan juri.Keunikan Sherlock terletak pada layanan asuransi yang disediakan oleh platform. Siapa pun dapat berinvestasi di kumpulan asuransi di platform Sherlock. Investor menyetor USDC ke dalam kumpulan asuransi, dan pelanggan perjanjian dapat membeli layanan untuk melindungi risiko kontrak cerdas diretas. Sumber pendapatan bagi investor asuransi meliputi: premi yang dibayarkan berdasarkan kesepakatan pelanggan + bunga yang diperoleh dengan menyetorkan dana kumpulan asuransi di kumpulan DeFi lainnya (Aave, Compound, dll.) + Insentif token Sherlock. Tetapi investor menanggung risiko membayar kembali polis sambil menuai keuntungan.
Hal lain yang berbeda dari Code4rena adalah mekanisme distribusi pendapatan jasa audit yang disediakan oleh platform. Dibandingkan dengan Code4rena, Sherlock memiliki aturan yang memungkinkan kepala auditor keamanan senior dan hakim ketua untuk mendapatkan jumlah tetap (5%~10%) dari kumpulan bonus untuk memberikan kompensasi yang tepat dan memotivasi auditor senior penuh waktu. Selain itu, ada sistem seleksi dan kompetisi untuk pemilihan peran kepemimpinan.
**Bagaimana cara membangun komunitas peretas? Apa perhatian terbesar dari topi putih Web3? **
Setelah kami mengamati komunitas keamanan terdesentralisasi yang berbeda (ImmuneFi, Hats Finance, Code4Rena, Sherlock, dll.) Dan mengobrol dengan beberapa pengusaha keamanan, kami berpikir bahwa semua platform terdesentralisasi berdedikasi untuk membangun platform komunikasi dan kolaborasi yang lebih sehat dan efisien. , platform bounty seperti pasar antara Peretas dan proyek, mereka harus mempertimbangkan kebutuhan mereka dari perspektif peretas (seperti yang ditunjukkan pada tabel di bawah), dan pada saat yang sama mempertimbangkan apa yang paling diperhatikan oleh pihak proyek dari perspektif proyek (Kualitas Audit).
Sumber: 《Perspektif Pemburu Bug tentang Tantangan dan Manfaat Bug Bounty Eco》
Selain beberapa kebutuhan umum, saya juga melihat beberapa topik menarik di komunitas topi putih Immunefi (komunitas perselisihan topi putih paling ramai yang saya lihat).
Misalnya:
Ada topi putih bernama Rappie yang ingin mengungkap beberapa celah proyek yang dia temukan sebelumnya, dan menanyakan aturan komunitas apa yang perlu diikuti. (1. Hanya publikasikan bug yang telah diperbaiki. 2. Pastikan bahwa setiap informasi publik tidak berdampak negatif pada protokol atau penggunanya. Simpan informasi rahasia misalnya setelah mereka memperbaiki kerentanan injeksi SQL Anda, jangan publikasikan informasi lengkapnya database 3. Pastikan Anda perlu mengirim pesan pribadi ke tim proyek sebelum mempublikasikannya).
Topi putih bernama Noam Yakov memiliki keraguan tentang definisi proyek hadiah (ini sering terjadi, karena biasanya hanya kerentanan keamanan yang serius yang dapat dihargai. Bagaimana proyek menentukan tingkat keamanan kerentanan? Sesuatu yang sangat dipedulikan oleh topi putih , dan masyarakat sering mendengar perselisihan semacam itu). Dalam proyek bounty Uniwhales, dia meragukan definisi mereka tentang dampak MEV sebagai kerentanan keamanan yang serius. Pada akhirnya, semua orang membahas bahwa jenis deskripsi ini tidak berlaku untuk semua situasi MEV. Misalnya, untuk beberapa aliran pesanan beracun, kumpulan protokol Situasi pengurasan aset jelas merupakan insiden keamanan yang serius (sehingga mendefinisikan satu set kerangka tingkat keamanan seringkali tidak cukup, dan biasanya memerlukan keterlibatan peran arbiter yang serupa di platform dalam kasus yang berbeda sebenarnya).
Dan untuk topik yang sangat menarik, "Apa tuntutan dan harapan Anda untuk platform hadiah seperti Immunefi?" Seorang topi putih bernama ckksec memberikan jawabannya: 1) Bantu topi putih enkripsi anonim ini mendapatkan penghasilan kerja mereka Lakukan beberapa klarifikasi hukum seperti pembuatan faktur. 2) Platform seharusnya tidak hanya memiliki sistem penilaian untuk topi putih, tetapi juga menilai kualitas proyek karena topi putih seringkali perlu menghabiskan waktu untuk membedakan kualitas proyek. 3) Untuk white hat yang bersedia membuka proflie mereka, platform dapat menunjukkan alur kerja mereka, pada saat yang sama, sebaiknya platform lebih transparan menampilkan informasi laporan analisis keamanan yang diterima oleh pihak proyek.
Alat apa yang dapat membantu topi putih?
Dengan maraknya GPT LLM, baru-baru ini saya sering mendengar orang berdiskusi apakah audit keamanan juga bisa digantikan oleh AI. Praktisi keamanan berpengalaman yang saya ajak bicara umumnya percaya bahwa GPT sulit untuk secara langsung menggantikan kebijaksanaan manusia. Beberapa buah yang menggantung rendah (masalah yang mudah ditemukan) dapat dideteksi oleh model bahasa, tetapi masalah dengan risiko sedang dan tinggi masih memerlukan ahli partisipasi. Misalnya, menurut umpan balik dari pakar keamanan senior, untuk analisis data dan analisis dinamis yang serupa, pengujian yang lebih kompleks ini perlu digabungkan secara artifisial dengan logika bisnis sebenarnya dari protokol untuk melakukan pengujian analisis keamanan terlebih dahulu dan menentukan target yang diharapkan. atribut tes terlebih dahulu Bagian yang paling sulit adalah menulis properti yang baik dan menentukan bidang tes yang benar. Menurut percobaan mereka pada GPT, mereka percaya bahwa GPT tidak dapat sepenuhnya menggantikan manusia pada tahap ini.
Tentu saja, saat ini ada hasil yang lebih optimis yang menunjukkan bahwa LLM dapat sangat meningkatkan efisiensi analisis alat analisis keamanan dan mengurangi tingkat positif palsu:
Mari kita pikirkan topik ini dari perspektif non-teknis lain yang menarik. Ini adalah permainan dinamis antara penyerang dan pembela keamanan. Ketinggian sihir satu kaki lebih tinggi dan ketinggian lebih tinggi. Akankah AI membawa tantangan keamanan kepada penyerang keamanan? membantu?
Keselamatan berorientasi pada manusia
Orang akan terbiasa berpikir bahwa perangkat lunak adalah hal yang dingin, mekanis, dan logis, dan meningkatkan keamanan sistem hanya perlu meningkatkan teknologi analisis dan tingkat pertahanan sistem. Namun, orang kurang memikirkan masalah keamanan dari perspektif insentif ekonomi dan sifat manusia. Di hutan gelap kode sumber terbuka, kita membutuhkan sistem distribusi yang lebih sesuai dengan asumsi orang yang rasional. Insentif ekonomi yang positif dan jinak menarik lebih banyak orang yang bersedia berinvestasi di blockchain untuk waktu yang lama. Orang-orang yang menyumbangkan kebijaksanaan untuk keamanan sistem bergabung.
Struktur pasar audit keamanan tradisional saat ini stabil, dan reputasi merek adalah aset tidak berwujud terpenting perusahaan di bidang ini.Seiring waktu, pengaruh merek keamanan teratas dan kepercayaan pelanggan terus meningkat, tetapi audit keamanan tradisional juga memiliki pengaruhnya sendiri. masalah sendiri (model bisnis hanya mengandalkan tenaga kerja dan sulit untuk tumbuh dalam skala, dan perusahaan terkemuka perlu menyeimbangkan pertumbuhan dan kualitas audit. Beberapa perusahaan telah menghadapi hambatan seperti itu dan bahkan memengaruhi nilai merek).
**Kompetisi audit keamanan berbasis komunitas adalah model bisnis yang inovatif. **Saat ini, jumlah pelanggan dari kedua platform telah melebihi 300 dan secara bertahap menemukan PMF. *Platform bounty adalah pelengkap yang baik untuk siklus hidup keamanan. * Meskipun platform terdesentralisasi ini belum menemukan model token yang sangat efektif, kami sangat optimis tentang pertumbuhan skala besar pasar ini di masa depan (karena kebijaksanaan orang banyak sangat cocok untuk skenario permainan ofensif dan defensif di pasar keamanan).
** Akankah platform audit berbasis komunitas menimbulkan ancaman bagi perusahaan audit terpusat? ** Kami pikir mereka akan memiliki kompetisi timbal balik yang baik dan hubungan yang saling melengkapi. Dalam jangka pendek, ketika platform seperti Code4rena membentuk efek jaringan tertentu dan memiliki rekam jejak yang baik (proporsi proyek yang diaudit yang diretas rendah), mungkin memang memberi Beberapa perusahaan terpusat di tengah dan ekor akan membawa tekanan persaingan tertentu, tetapi dalam jangka panjang, hal ini juga dapat memaksa platform audit terpusat untuk membentuk beberapa kerjasama komersial dengan platform berbasis komunitas, karena ini juga dapat memperluas pelanggan dari Grup platform audit keamanan terpusat dan tingkatkan kualitas audit** (mirip dengan proyek bounty keamanan asli yang dioperasikan secara independen oleh perusahaan web2 besar dan kemudian membentuk logika kerja sama dengan platform pihak ketiga seperti HackerOne).
Meskipun arah platform keamanan berbasis komunitas adalah untuk lebih berorientasi pada DAO (Forta sebenarnya dapat dimasukkan dalam kategori ini), dalam pengoperasian sebenarnya dari proyek saat ini, masih ada masalah seperti: bagaimana membuat alur kerja dan proses distribusi ekonomi lebih transparan dan terbuka , Bagaimana menimbang pertimbangan privasi dan keamanan pihak proyek, bagaimana lebih jelas mendefinisikan hubungan antara kerja tim dan kontribusi pribadi, bagaimana menyelesaikan masalah dengan cara yang lebih adil dan profesional ketika terjadi konflik kepentingan muncul, dll. Ini adalah hal-hal yang harus dihadapi DAO keamanan Tantangan yang tepat.