Sebagai sistem komputer skala besar, kompleksitas sistem saat ini dari blockchain telah jauh melampaui level 5 tahun yang lalu, tingkat modularisasi infrastruktur lebih disempurnakan, logika kontrak pintar dari lapisan aplikasi menjadi semakin melimpah, dan interaksi antar kontrak sangat sering, yang lebih penting, jumlah aset yang dikelola oleh sistem blockchain sudah sangat besar, sehingga ada lebih banyak diskusi tentang siklus keamanan di komunitas keamanan blockchain baru-baru ini (situasinya sama dengan tahun 2017 , ketika orang memikirkan keamanan, mereka hanya memikirkan pengembang. Sangat berbeda menulis kontrak dan memberikannya kepada teman-teman Ethereum Foundation untuk melihat dan melakukan beberapa tes dasar).
Sepanjang siklus hidup keamanan program blockchain (dari pengujian, mengundang audit pihak ketiga hingga pemantauan pasca-acara, memperbarui audit), komunitas bug bounty seperti bantal pengaman untuk menarik topi putih ke blockchain melalui teori permainan dan kerja klaster. Kode pihak proyek akan ditinjau untuk terakhir kalinya, dan beberapa pekerja keamanan kontrak pintar merasa bahwa hadiah bug lebih seperti orang terakhir di garis pertahanan, tetapi menurut saya hadiah bug dan kompetisi audit memiliki potensi untuk memainkan peran yang lebih besar di masa depan, berfungsi sebagai sistem yang menjalankan seluruh peran siklus hidup keamanan meningkatkan keamanan sistem secara keseluruhan.
Tentu saja, ada juga program bug bounty (Bug Bounty atau Vulnerabilty Rewards) di bidang keamanan jaringan tradisional Pertama, perusahaan teknologi besar seperti Facebook, Google, Microsoft, dll. Kedua, platform pihak ketiga bounty Bug yang diwakili oleh HackerOne dan Bugcrowd telah muncul sejak sekitar tahun 2015. Saat ini, kedua perusahaan keamanan terkemuka ini mengandalkan distribusi komisi bounty sebagai pendapatan utama mereka, dan pendapatan tahunan mereka bisa mencapai masing-masing hampir 50 juta dolar AS dan 20 juta dolar. Di dunia blockchain, bounty adalah topik yang lebih menarik yang sering dibahas di lingkaran keamanan. Alasan utamanya adalah karena open source kode blockchain justru membuat biaya peretasan dan peningkatan strategi serangan menjadi lebih murah. Selain itu, dunia crypto sangat kuat menganjurkan pengelompokan Ekonomi Kerja, Pencipta, dan Kepemilikan terbuka untuk model kontribusi yang menjadikan ekonomi topi putih yang lebih terbuka menjadi lebih bernilai.
Apa itu hadiah bug dan kontes audit? Mengapa kami membutuhkannya?
Keamanan adalah permainan dinamis antara penyerang dan pembela, seperti yang dikatakan pakar keamanan komputer dan kriptografer Bruce Schneier, “Keamanan adalah sebuah proses, bukan produk. Ini adalah cara berpikir yang harus dijalankan melalui proses pengembangan perangkat lunak di setiap aspek ." Di dunia blockchain, hutan gelap di mana semua kode open source dan transparan, proyek blockchain yang ingin bertahan lama harus memiliki permintaan abadi untuk keamanan produk/kontraknya. Semua produk berantai memiliki lebih atau lebih sedikit atribut keuangan Aset terpenting dalam keuangan adalah kepercayaan, dan kepercayaan pengguna hanya sekali.
Di manakah kekurangan dan masalah audit tradisional? Keuntungan apa yang dapat diberikan oleh hadiah bug berbasis komunitas dan kompetisi audit untuk mengatasi masalah ini?
Pengembang yang menggunakan layanan audit sering kali menemukan bahwa:
Bahkan setelah membeli layanan dari perusahaan audit pihak ketiga, masih ada masalah dengan kode setelah audit Meskipun penyebab masalah ini berbeda (teknis dan non-teknis), tampaknya tidak sepenuhnya dapat diandalkan untuk diandalkan pada perusahaan audit pada akhirnya.Namun, kualitas kode audit masih bergantung pada level auditor, dan pelanggan seringkali tidak memiliki kemampuan untuk membedakan "siapa yang lebih baik".
Platform hadiah dan kompetisi audit adalah "kotak pasir" yang lebih terbuka. Kode proyek dapat ditinjau oleh topi putih sesuka hati, dan latar belakangnya tidak terbatas (mungkin ada personel dari perusahaan audit profesional, dan mungkin ada analis keamanan lepas ), gudang senjata tidak terbatas, dan yang harus dilakukan pelanggan hanyalah menetapkan hadiah yang masuk akal dan membayar kontribusi mereka saat topi putih menemukan masalah.
Biasanya pelanggan akan terlebih dahulu mengirimkan kode mereka yang perlu ditinjau oleh white hat, tentukan tingkat keamanan kerentanan (biasanya terkait dengan kemungkinan kerugian ekonomi, semakin mudah kerentanan yang secara langsung menyebabkan kerugian ekonomi, semakin tinggi tingkat keparahannya) , anggaran hadiah, menguji cakupan kode, dan bahkan langkah-langkah pengujian.
Seberapa besar pasarnya?
Model bisnis platform bounty dan kompetisi audit biasanya menarik sebagian dari bounty yang dibayarkan oleh pelanggan atau total kumpulan bonus yang ditetapkan sebagai biaya layanan platform. Pelanggan (pihak proyek) yang membutuhkan audit keamanan kode akan mengumumkan rencana mereka di platform bounty sesuai dengan kebutuhan mereka sendiri (kode mana yang perlu diaudit, bagaimana menentukan tingkat keparahan kerentanan, dan berapa banyak hadiah yang bersedia mereka bayarkan), dan white hat Kerentanan akan ditemukan sesuai dengan kebutuhan sisi proyek. Setelah celah ditemukan oleh white hat dan memenuhi kebutuhan sisi proyek, bounty akan didistribusikan ke white hat, dan platform bounty akan menarik komisi dari itu sebagai biaya layanan.
Di bidang keamanan jaringan tradisional Web2, platform hadiah bug juga merupakan arah yang relatif muda (muncul setelah 2012), dan saat ini platform hadiah bug terbesar adalah HackerOne dan Bugcrowd. Pada tahun 2022, pendapatan tahunan HackerOne akan mencapai 58 juta dolar AS, penilaian perusahaan akan mencapai sekitar 500 juta dolar AS, dan hadiah kumulatif yang dibayarkan dalam sejarah akan menjadi 230 juta dolar AS (150 juta dolar AS pada tahun 2021 dan 2022). , memiliki lebih dari 1 juta peretas terdaftar, dan lebih dari 1.000 pelanggan yang menggunakan layanan HackerOne setiap bulan. Pesaingnya, Bugcrowd, diharapkan menghasilkan lebih dari $20 juta pada tahun 2022.
Di bidang keamanan Web3, pada tahun 2022, semua bounty bug web3 dan platform kompetisi audit akan memberikan total hadiah 50 juta dolar AS kepada peretas topi putih, dan tingkat pengisian rata-rata platform tersebut adalah sekitar 10% hingga 30%, jadi diperkirakan secara konservatif. Ukuran pasar saat ini adalah sekitar $5 juta~$15 juta, dan ini masih merupakan pasar yang sangat berkembang.
Hal menarik lainnya adalah semakin banyak pelanggan yang mau langsung menggunakan layanan audit kode yang disediakan oleh komunitas keamanan terdesentralisasi.Sebaliknya, perusahaan audit pihak ketiga memilih Code 4 Rena, platform kompetisi audit terdesentralisasi terbesar saat ini, dan mendirikan kumpulan hadiah 1 juta dolar AS Saat ini, pasar audit keamanan tradisional semakin terlibat (volume sumber daya manusia, volume alat teknis, volume Pasar BD), akankah layanan keamanan terdesentralisasi menjadi pertumbuhan penting di pasar ini? (Saat ini ada 56 perusahaan audit di pasar, dan pendapatan perusahaan terkemuka pada tahun lalu berkisar antara US$10 juta dan US$40 juta. Saya pikir ada banyak ruang untuk imajinasi di pasar keamanan terdesentralisasi).
Platform Bug Bounty vs Platform Kontes Audit
Meskipun platform bug bounty memiliki sejarah pengembangan sepuluh tahun di web2, platform kompetisi audit adalah hal baru di web3 asli. Objek dari layanan persaingan audit adalah para pihak proyek yang akan meluncurkan produk atau beberapa fungsi baru, dan menggunakan kekuatan komunitas terdesentralisasi untuk membantu mereka menyelesaikan layanan audit dalam waktu tertentu (lebih dari 2 minggu). Perspektif, persaingan audit tidak akan membawa ancaman bisnis kecil ke perusahaan audit tradisional.
Di bawah ini saya akan menunjukkan perbedaan antara kedua platform dalam hal metode partisipasi, struktur penghargaan, dan cakupan ujian:
cara partisipasi
Platform hadiah bug seperti Immunefi biasanya merupakan proyek terbuka di mana siapa saja dapat berpartisipasi kapan saja. Peserta biasanya secara mandiri mengeksplorasi dan melaporkan kerentanan dengan imbalan hadiah. Jika dua orang menemukan kerentanan berulang yang sama, prinsip pertama datang pertama dilayani akan diikuti, dan siapa pun yang melapor terlebih dahulu akan mendapatkan hadiah terlebih dahulu.
Platform kompetisi audit berbasis komunitas (misalnya Code 4 rena, Sherlock) seringkali dibatasi waktu dan bersaing dengan peserta untuk menemukan dan melaporkan kerentanan dalam jangka waktu tertentu. Dibandingkan dengan platform bounty, akan ada beberapa kerja tim (misalnya, setiap proyek akan memiliki penugasan yang jelas dari Lead Senior Auditor dan Lead Judge, dan akhirnya meninjau dan meringkas semua hasil audit menjadi laporan audit kepada pelanggan, dan kedua pemimpin ini juga mengikuti prinsip desentralisasi pemilihan dan kompetisi masyarakat). Selain itu, jika dua pesaing audit menemukan celah berulang dalam waktu yang ditentukan, keduanya bisa mendapatkan reward.
struktur penghargaan
Imbalan aktual yang dikeluarkan oleh keduanya terutama akan mempertimbangkan tingkat keparahan kerentanan yang ditemukan.
Satu-satunya perbedaan adalah platform kompetisi audit berbasis komunitas seperti Code 4 Rena akan memiliki porsi tetap (5% ~ 10%) dari kumpulan bonus untuk setiap proyek yang dialokasikan kepada Lead Senior Auditor dan Lead Judge, karena mereka benar-benar melakukan audit tradisional proyek perusahaan Peran penanggung jawab.
Poin menarik lainnya adalah bahwa pihak proyek di platform hadiah bug terkadang menempatkan token proyek sebagai hadiah, tetapi saya juga melihat bahwa beberapa peretas topi putih di komunitas lebih suka mendapatkan koin stabil seperti USDC dan USDT daripada fluktuasi harga Token proyek.
ruang lingkup dan fokus
Proyek bug bounty platform biasanya memiliki cakupan yang luas, sedangkan proyek pada kompetisi audit biasanya memiliki cakupan yang lebih terfokus, menargetkan fungsi atau aspek tertentu dari perangkat lunak, sementara membutuhkan white hat untuk fokus menyelesaikan pekerjaan dalam waktu yang lebih singkat.
Proyek berfokus pada kompetisi audit
Code 4 Rena - Platform kompetisi audit berbasis komunitas yang mirip esports
Kode 4 Rena memiliki tiga tipe karakter:
Auditor (Wardens) meninjau kode. Siapa pun dari insinyur keamanan profesional hingga pengembang pemula yang mencoba mendapatkan lebih banyak pengalaman dapat mendaftar sebagai auditor untuk berpartisipasi dalam kompetisi audit publik.
Juri biasanya adalah insinyur terbaik di komunitas C 4. Mereka menentukan tingkat keparahan, efektivitas, dan kualitas kerentanan dan mengevaluasi kinerja audit.
Sponsor adalah pihak proyek, seperti Opensea, Blur, ENS, Chainlink, dll. Mereka membuat kumpulan bonus untuk menarik auditor mengaudit kode proyek mereka. Sponsor juga memiliki opsi untuk menyelenggarakan kompetisi khusus undangan untuk privasi tambahan.
Salah satu poin paling menarik adalah budaya yang dibangun Code 4 Rena: kolaborasi dan kerja sama tim didorong. Tidak seperti program bounty bug tradisional, Code 4 Rena membayar semua auditor yang melaporkan kerentanan yang valid bahkan jika kerentanan tersebut telah dilaporkan. Hal ini mendorong persaingan yang sehat di antara auditor karena mereka termotivasi untuk menemukan tingkat keparahan yang tinggi dan kerentanan umum. Di platform ini, beberapa auditor akan membentuk tim sementara untuk mencari celah bersama.
model bisnis:
Setiap proyek dapat pergi ke Code 4 rena untuk memulai program kompetisi audit dan menyediakan USDC atau ETH untuk menyiapkan kumpulan hadiah dasar (biasanya ukuran kumpulan hadiah adalah $40.000 ~ $100.000), Code 4 rena akan membebankan biaya 20% dari dasar prize pool sebagai platform Pendapatan layanan untuk menyelenggarakan kompetisi, memberikan review, dan memilah laporan hasil audit. Pihak proyek juga dapat menyediakan token proyek di atas kumpulan hadiah dasar untuk menyiapkan kumpulan hadiah tambahan, dan Code 4 rena akan mengenakan biaya 40% dari kumpulan hadiah tambahan ini.
Sherlock - Audit berbasis komunitas dengan asuransi kontrak pintar
Mirip dengan Code 4 rena, Sherlock juga memiliki peran sebagai auditor, sponsor, dan juri.Keunikan Sherlock terletak pada layanan asuransi yang disediakan oleh platform. Siapa pun dapat berinvestasi di kumpulan asuransi di platform Sherlock. Investor menyetor USDC ke dalam kumpulan asuransi, dan pelanggan perjanjian dapat membeli layanan untuk melindungi risiko kontrak cerdas diretas. Sumber pendapatan bagi investor asuransi meliputi: premi yang dibayarkan berdasarkan kesepakatan pelanggan + bunga yang diperoleh dengan menyetorkan dana kumpulan asuransi di kumpulan DeFi lainnya (Aave, Compound, dll.) + Insentif token Sherlock. Tetapi investor menanggung risiko membayar polis sambil menuai keuntungan.
Hal lain yang berbeda dari Code 4 rena adalah mekanisme distribusi pendapatan jasa audit yang disediakan oleh platform. Dibandingkan dengan Code 4 rena, Sherlock memiliki aturan yang memungkinkan kepala auditor keamanan senior dan hakim ketua untuk mendapatkan jumlah tetap (5% ~ 10%) dari kumpulan bonus untuk memberikan kompensasi yang tepat dan memotivasi auditor senior penuh waktu. Selain itu, ada sistem seleksi dan kompetisi untuk pemilihan peran kepemimpinan.
Bagaimana cara membangun komunitas peretas? Apa perhatian terbesar dari topi putih Web3?
Setelah kami mengamati komunitas keamanan terdesentralisasi yang berbeda (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, dll.) dan mengobrol dengan beberapa pengusaha keamanan, kami berpikir bahwa komitmen semua platform terdesentralisasi adalah: membangun sistem yang lebih sehat dan efisien platform komunikasi dan kolaborasi. Platform bounty seperti pasar antara Peretas dan proyek. Mereka harus mempertimbangkan kebutuhan mereka dari perspektif peretas (seperti yang ditunjukkan pada tabel di bawah), dan pada saat yang sama mempertimbangkan yang terbaik (kualitas audit) .
Sumber: 《Perspektif Pemburu Bug tentang Tantangan dan Manfaat Bug Bounty Eco》
Selain beberapa kebutuhan umum, saya juga melihat beberapa topik menarik di komunitas white hat Immunefi (komunitas white hat discord yang paling ramai saya lihat).
Misalnya:
Topi putih bernama Rappie ingin mengungkap beberapa celah proyek yang dia temukan sebelumnya, dan menanyakan aturan komunitas apa yang perlu diikuti. (1. Hanya ungkapkan bug yang telah diperbaiki. 2. Pastikan bahwa setiap informasi publik tidak berdampak negatif pada protokol atau penggunanya. Simpan informasi rahasia misalnya: setelah mereka memperbaiki kerentanan injeksi SQL Anda, jangan merilis informasi tentang mereka basis data lengkap 3. Pastikan Anda perlu mengirim pesan pribadi ke tim proyek sebelum mempublikasikannya).
Topi putih bernama Noam Yakov mempertanyakan definisi proyek hadiah (ini sering terjadi, karena biasanya hanya kerentanan keamanan yang serius yang dapat dihargai. Bagaimana proyek menentukan tingkat keamanan kerentanan? Sesuatu yang sangat dipedulikan oleh topi putih, dan masyarakat sering mendengar tentang perselisihan semacam itu). Dalam proyek bounty Uniwhales, dia meragukan definisi mereka tentang dampak MEV sebagai kerentanan keamanan yang serius. Pada akhirnya, semua orang membahas bahwa jenis deskripsi ini tidak berlaku untuk semua situasi MEV. Misalnya, untuk beberapa aliran pesanan beracun, kumpulan protokol dapat Situasi pengurasan aset jelas merupakan insiden keamanan yang serius (sehingga seringkali tidak cukup untuk menentukan serangkaian kerangka kerja tingkat keamanan, dan biasanya peran arbiter serupa dalam platform diperlukan untuk campur tangan dalam kasus aktual yang berbeda).
Dan untuk topik yang sangat menarik, "Apa permintaan dan ekspektasi Anda untuk platform bounty seperti Immunefi?" Topi putih bernama ckksec memberikan jawabannya: 1) Membantu topi putih terenkripsi anonim ini mendapatkan penghasilan kerja mereka Lakukan beberapa klarifikasi hukum seperti pembuatan faktur. 2) Platform seharusnya tidak hanya memiliki sistem penilaian untuk topi putih, tetapi juga menilai kualitas proyek karena topi putih seringkali perlu menghabiskan waktu untuk membedakan kualitas proyek. 3) Untuk white hat yang bersedia membuka proflie mereka, platform dapat menunjukkan alur kerja mereka, pada saat yang sama, sebaiknya platform lebih transparan menampilkan informasi laporan analisis keamanan yang diterima oleh pihak proyek.
Alat apa yang dapat membantu topi putih?
Dengan maraknya GPT LLM, baru-baru ini saya sering mendengar orang berdiskusi apakah audit keamanan juga bisa digantikan oleh AI. Praktisi keamanan berpengalaman yang saya ajak bicara umumnya percaya bahwa GPT sulit untuk secara langsung menggantikan kecerdasan manusia Beberapa buah yang menggantung rendah (masalah yang mudah ditemukan) dapat dideteksi oleh model bahasa, tetapi masalah dengan risiko sedang dan tinggi masih memerlukan ahli partisipasi. Misalnya, menurut umpan balik dari pakar keamanan senior, untuk analisis data dan analisis dinamis yang serupa, pengujian yang lebih kompleks ini perlu digabungkan secara artifisial dengan logika bisnis sebenarnya dari protokol untuk melakukan pengujian analisis keamanan terlebih dahulu dan menentukan target yang diharapkan. atribut tes terlebih dahulu Bagian yang paling sulit adalah menulis properti yang baik dan menentukan bidang tes yang benar. Menurut percobaan mereka pada GPT, mereka percaya bahwa GPT tidak dapat sepenuhnya menggantikan manusia pada tahap ini.
Tentu saja, saat ini ada hasil yang lebih optimis yang menunjukkan bahwa LLM dapat sangat meningkatkan efisiensi analisis alat analisis keamanan dan mengurangi tingkat positif palsu.
Mari kita pikirkan topik ini dari perspektif non-teknis lain yang menarik. Ini adalah permainan dinamis antara penyerang dan pembela keamanan. Ketinggian sihir satu kaki lebih tinggi dari yang lain. Akankah AI memberikan keamanan relatif bagi penyerang keamanan? membantu?
Keselamatan berorientasi pada manusia
Orang akan terbiasa berpikir bahwa perangkat lunak adalah hal yang dingin, mekanis, dan logis, dan meningkatkan keamanan sistem hanya perlu meningkatkan teknologi analisis dan tingkat pertahanan sistem. Namun, orang kurang memikirkan masalah keamanan dari perspektif insentif ekonomi dan sifat manusia. Di hutan gelap kode sumber terbuka, kita membutuhkan sistem distribusi yang lebih sesuai dengan asumsi orang yang rasional. Insentif ekonomi yang positif dan jinak menarik lebih banyak orang yang bersedia berinvestasi di blockchain untuk waktu yang lama. Orang-orang yang menyumbangkan kebijaksanaan untuk keamanan sistem bergabung.
Struktur pasar audit keamanan tradisional saat ini stabil, dan reputasi merek adalah aset tidak berwujud terpenting perusahaan di bidang ini.Seiring waktu, pengaruh merek keamanan teratas dan kepercayaan pelanggan terus meningkat, tetapi audit keamanan tradisional juga memiliki pengaruhnya sendiri. masalah sendiri (model bisnis hanya mengandalkan tenaga kerja dan sulit untuk tumbuh dalam skala, dan perusahaan terkemuka perlu menyeimbangkan pertumbuhan dan kualitas audit. Beberapa perusahaan telah menghadapi hambatan seperti itu dan bahkan memengaruhi nilai merek).
Kompetisi audit keamanan berbasis komunitas adalah model bisnis yang inovatif. Saat ini, lebih dari 300 pelanggan dari kedua platform telah menemukan PMF secara bertahap, dan platform bounty merupakan pelengkap yang baik untuk siklus hidup keamanan. Meskipun platform terdesentralisasi ini masih Kami belum menemukan model token yang sangat efektif, tetapi kami sangat optimis tentang pertumbuhan skala besar pasar ini di masa depan (karena kebijaksanaan orang banyak sangat cocok untuk skenario permainan ofensif dan defensif di pasar keamanan).
Akankah platform audit berbasis komunitas menjadi ancaman bagi firma audit terpusat? Kami pikir mereka akan memiliki kompetisi timbal balik yang sehat dan hubungan yang saling melengkapi. Dalam jangka pendek, ketika platform seperti Kode 4 rena membentuk efek jaringan tertentu dan memiliki rekam jejak yang baik (proporsi proyek yang diaudit yang diretas rendah), mungkin memang memberi Beberapa perusahaan terpusat di tengah dan ekor akan membawa tekanan persaingan tertentu, tetapi dalam jangka panjang, ini juga dapat memaksa platform audit terpusat untuk membentuk beberapa kerjasama komersial dengan platform berbasis komunitas, karena ini juga dapat memperluas basis pelanggan dari platform audit keamanan terpusat dan Tingkatkan kualitas audit (sedikit seperti proyek hadiah keamanan asli yang dioperasikan secara independen oleh perusahaan web2 besar dan kemudian membentuk logika kerja sama dengan platform pihak ketiga seperti HackerOne).
Meskipun arah platform keamanan berbasis komunitas adalah untuk lebih berorientasi pada DAO (Forta sebenarnya dapat dimasukkan dalam kategori ini), dalam pengoperasian sebenarnya dari proyek saat ini, masih ada masalah seperti: bagaimana membuat alur kerja dan proses distribusi ekonomi lebih transparan dan terbuka , Bagaimana menimbang pertimbangan privasi dan keamanan pihak proyek, bagaimana lebih jelas mendefinisikan hubungan antara kerja sama tim dan kontribusi pribadi, bagaimana menyelesaikan masalah dalam perspektif yang relatif adil dan profesional ketika terjadi konflik kepentingan muncul, dll. Ini adalah hal-hal yang harus dihadapi DAO keamanan Tantangan yang tepat.
Referensi:
《Buku Satu Tahun Hacker》
《Bounty Everything - Peretas dan Pembuatan Pasar Bug Global》
《Studi empiris tentang program penghargaan kerentanan》
《Laporan Peretas 2022》
《Produktivitas dan Pola Aktivitas dalam Program Bug Bounty》
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures: Interpretasi komprehensif tentang pasar hadiah dan audit berbasis komunitas
Penulis asli: Ray, IOSG Ventures
Kata Pengantar
Sebagai sistem komputer skala besar, kompleksitas sistem saat ini dari blockchain telah jauh melampaui level 5 tahun yang lalu, tingkat modularisasi infrastruktur lebih disempurnakan, logika kontrak pintar dari lapisan aplikasi menjadi semakin melimpah, dan interaksi antar kontrak sangat sering, yang lebih penting, jumlah aset yang dikelola oleh sistem blockchain sudah sangat besar, sehingga ada lebih banyak diskusi tentang siklus keamanan di komunitas keamanan blockchain baru-baru ini (situasinya sama dengan tahun 2017 , ketika orang memikirkan keamanan, mereka hanya memikirkan pengembang. Sangat berbeda menulis kontrak dan memberikannya kepada teman-teman Ethereum Foundation untuk melihat dan melakukan beberapa tes dasar).
Sepanjang siklus hidup keamanan program blockchain (dari pengujian, mengundang audit pihak ketiga hingga pemantauan pasca-acara, memperbarui audit), komunitas bug bounty seperti bantal pengaman untuk menarik topi putih ke blockchain melalui teori permainan dan kerja klaster. Kode pihak proyek akan ditinjau untuk terakhir kalinya, dan beberapa pekerja keamanan kontrak pintar merasa bahwa hadiah bug lebih seperti orang terakhir di garis pertahanan, tetapi menurut saya hadiah bug dan kompetisi audit memiliki potensi untuk memainkan peran yang lebih besar di masa depan, berfungsi sebagai sistem yang menjalankan seluruh peran siklus hidup keamanan meningkatkan keamanan sistem secara keseluruhan.
Tentu saja, ada juga program bug bounty (Bug Bounty atau Vulnerabilty Rewards) di bidang keamanan jaringan tradisional Pertama, perusahaan teknologi besar seperti Facebook, Google, Microsoft, dll. Kedua, platform pihak ketiga bounty Bug yang diwakili oleh HackerOne dan Bugcrowd telah muncul sejak sekitar tahun 2015. Saat ini, kedua perusahaan keamanan terkemuka ini mengandalkan distribusi komisi bounty sebagai pendapatan utama mereka, dan pendapatan tahunan mereka bisa mencapai masing-masing hampir 50 juta dolar AS dan 20 juta dolar. Di dunia blockchain, bounty adalah topik yang lebih menarik yang sering dibahas di lingkaran keamanan. Alasan utamanya adalah karena open source kode blockchain justru membuat biaya peretasan dan peningkatan strategi serangan menjadi lebih murah. Selain itu, dunia crypto sangat kuat menganjurkan pengelompokan Ekonomi Kerja, Pencipta, dan Kepemilikan terbuka untuk model kontribusi yang menjadikan ekonomi topi putih yang lebih terbuka menjadi lebih bernilai.
Apa itu hadiah bug dan kontes audit? Mengapa kami membutuhkannya?
Keamanan adalah permainan dinamis antara penyerang dan pembela, seperti yang dikatakan pakar keamanan komputer dan kriptografer Bruce Schneier, “Keamanan adalah sebuah proses, bukan produk. Ini adalah cara berpikir yang harus dijalankan melalui proses pengembangan perangkat lunak di setiap aspek ." Di dunia blockchain, hutan gelap di mana semua kode open source dan transparan, proyek blockchain yang ingin bertahan lama harus memiliki permintaan abadi untuk keamanan produk/kontraknya. Semua produk berantai memiliki lebih atau lebih sedikit atribut keuangan Aset terpenting dalam keuangan adalah kepercayaan, dan kepercayaan pengguna hanya sekali.
Di manakah kekurangan dan masalah audit tradisional? Keuntungan apa yang dapat diberikan oleh hadiah bug berbasis komunitas dan kompetisi audit untuk mengatasi masalah ini?
Pengembang yang menggunakan layanan audit sering kali menemukan bahwa:
Seberapa besar pasarnya?
Model bisnis platform bounty dan kompetisi audit biasanya menarik sebagian dari bounty yang dibayarkan oleh pelanggan atau total kumpulan bonus yang ditetapkan sebagai biaya layanan platform. Pelanggan (pihak proyek) yang membutuhkan audit keamanan kode akan mengumumkan rencana mereka di platform bounty sesuai dengan kebutuhan mereka sendiri (kode mana yang perlu diaudit, bagaimana menentukan tingkat keparahan kerentanan, dan berapa banyak hadiah yang bersedia mereka bayarkan), dan white hat Kerentanan akan ditemukan sesuai dengan kebutuhan sisi proyek. Setelah celah ditemukan oleh white hat dan memenuhi kebutuhan sisi proyek, bounty akan didistribusikan ke white hat, dan platform bounty akan menarik komisi dari itu sebagai biaya layanan.
Di bidang keamanan jaringan tradisional Web2, platform hadiah bug juga merupakan arah yang relatif muda (muncul setelah 2012), dan saat ini platform hadiah bug terbesar adalah HackerOne dan Bugcrowd. Pada tahun 2022, pendapatan tahunan HackerOne akan mencapai 58 juta dolar AS, penilaian perusahaan akan mencapai sekitar 500 juta dolar AS, dan hadiah kumulatif yang dibayarkan dalam sejarah akan menjadi 230 juta dolar AS (150 juta dolar AS pada tahun 2021 dan 2022). , memiliki lebih dari 1 juta peretas terdaftar, dan lebih dari 1.000 pelanggan yang menggunakan layanan HackerOne setiap bulan. Pesaingnya, Bugcrowd, diharapkan menghasilkan lebih dari $20 juta pada tahun 2022.
Di bidang keamanan Web3, pada tahun 2022, semua bounty bug web3 dan platform kompetisi audit akan memberikan total hadiah 50 juta dolar AS kepada peretas topi putih, dan tingkat pengisian rata-rata platform tersebut adalah sekitar 10% hingga 30%, jadi diperkirakan secara konservatif. Ukuran pasar saat ini adalah sekitar $5 juta~$15 juta, dan ini masih merupakan pasar yang sangat berkembang.
Hal menarik lainnya adalah semakin banyak pelanggan yang mau langsung menggunakan layanan audit kode yang disediakan oleh komunitas keamanan terdesentralisasi.Sebaliknya, perusahaan audit pihak ketiga memilih Code 4 Rena, platform kompetisi audit terdesentralisasi terbesar saat ini, dan mendirikan kumpulan hadiah 1 juta dolar AS Saat ini, pasar audit keamanan tradisional semakin terlibat (volume sumber daya manusia, volume alat teknis, volume Pasar BD), akankah layanan keamanan terdesentralisasi menjadi pertumbuhan penting di pasar ini? (Saat ini ada 56 perusahaan audit di pasar, dan pendapatan perusahaan terkemuka pada tahun lalu berkisar antara US$10 juta dan US$40 juta. Saya pikir ada banyak ruang untuk imajinasi di pasar keamanan terdesentralisasi).
Platform Bug Bounty vs Platform Kontes Audit
Meskipun platform bug bounty memiliki sejarah pengembangan sepuluh tahun di web2, platform kompetisi audit adalah hal baru di web3 asli. Objek dari layanan persaingan audit adalah para pihak proyek yang akan meluncurkan produk atau beberapa fungsi baru, dan menggunakan kekuatan komunitas terdesentralisasi untuk membantu mereka menyelesaikan layanan audit dalam waktu tertentu (lebih dari 2 minggu). Perspektif, persaingan audit tidak akan membawa ancaman bisnis kecil ke perusahaan audit tradisional.
Di bawah ini saya akan menunjukkan perbedaan antara kedua platform dalam hal metode partisipasi, struktur penghargaan, dan cakupan ujian:
cara partisipasi
Platform hadiah bug seperti Immunefi biasanya merupakan proyek terbuka di mana siapa saja dapat berpartisipasi kapan saja. Peserta biasanya secara mandiri mengeksplorasi dan melaporkan kerentanan dengan imbalan hadiah. Jika dua orang menemukan kerentanan berulang yang sama, prinsip pertama datang pertama dilayani akan diikuti, dan siapa pun yang melapor terlebih dahulu akan mendapatkan hadiah terlebih dahulu.
Platform kompetisi audit berbasis komunitas (misalnya Code 4 rena, Sherlock) seringkali dibatasi waktu dan bersaing dengan peserta untuk menemukan dan melaporkan kerentanan dalam jangka waktu tertentu. Dibandingkan dengan platform bounty, akan ada beberapa kerja tim (misalnya, setiap proyek akan memiliki penugasan yang jelas dari Lead Senior Auditor dan Lead Judge, dan akhirnya meninjau dan meringkas semua hasil audit menjadi laporan audit kepada pelanggan, dan kedua pemimpin ini juga mengikuti prinsip desentralisasi pemilihan dan kompetisi masyarakat). Selain itu, jika dua pesaing audit menemukan celah berulang dalam waktu yang ditentukan, keduanya bisa mendapatkan reward.
struktur penghargaan
Imbalan aktual yang dikeluarkan oleh keduanya terutama akan mempertimbangkan tingkat keparahan kerentanan yang ditemukan.
Satu-satunya perbedaan adalah platform kompetisi audit berbasis komunitas seperti Code 4 Rena akan memiliki porsi tetap (5% ~ 10%) dari kumpulan bonus untuk setiap proyek yang dialokasikan kepada Lead Senior Auditor dan Lead Judge, karena mereka benar-benar melakukan audit tradisional proyek perusahaan Peran penanggung jawab.
Poin menarik lainnya adalah bahwa pihak proyek di platform hadiah bug terkadang menempatkan token proyek sebagai hadiah, tetapi saya juga melihat bahwa beberapa peretas topi putih di komunitas lebih suka mendapatkan koin stabil seperti USDC dan USDT daripada fluktuasi harga Token proyek.
ruang lingkup dan fokus
Proyek bug bounty platform biasanya memiliki cakupan yang luas, sedangkan proyek pada kompetisi audit biasanya memiliki cakupan yang lebih terfokus, menargetkan fungsi atau aspek tertentu dari perangkat lunak, sementara membutuhkan white hat untuk fokus menyelesaikan pekerjaan dalam waktu yang lebih singkat.
Proyek berfokus pada kompetisi audit
Code 4 Rena - Platform kompetisi audit berbasis komunitas yang mirip esports
Kode 4 Rena memiliki tiga tipe karakter:
Auditor (Wardens) meninjau kode. Siapa pun dari insinyur keamanan profesional hingga pengembang pemula yang mencoba mendapatkan lebih banyak pengalaman dapat mendaftar sebagai auditor untuk berpartisipasi dalam kompetisi audit publik.
Juri biasanya adalah insinyur terbaik di komunitas C 4. Mereka menentukan tingkat keparahan, efektivitas, dan kualitas kerentanan dan mengevaluasi kinerja audit.
Sponsor adalah pihak proyek, seperti Opensea, Blur, ENS, Chainlink, dll. Mereka membuat kumpulan bonus untuk menarik auditor mengaudit kode proyek mereka. Sponsor juga memiliki opsi untuk menyelenggarakan kompetisi khusus undangan untuk privasi tambahan.
Salah satu poin paling menarik adalah budaya yang dibangun Code 4 Rena: kolaborasi dan kerja sama tim didorong. Tidak seperti program bounty bug tradisional, Code 4 Rena membayar semua auditor yang melaporkan kerentanan yang valid bahkan jika kerentanan tersebut telah dilaporkan. Hal ini mendorong persaingan yang sehat di antara auditor karena mereka termotivasi untuk menemukan tingkat keparahan yang tinggi dan kerentanan umum. Di platform ini, beberapa auditor akan membentuk tim sementara untuk mencari celah bersama.
model bisnis:
Setiap proyek dapat pergi ke Code 4 rena untuk memulai program kompetisi audit dan menyediakan USDC atau ETH untuk menyiapkan kumpulan hadiah dasar (biasanya ukuran kumpulan hadiah adalah $40.000 ~ $100.000), Code 4 rena akan membebankan biaya 20% dari dasar prize pool sebagai platform Pendapatan layanan untuk menyelenggarakan kompetisi, memberikan review, dan memilah laporan hasil audit. Pihak proyek juga dapat menyediakan token proyek di atas kumpulan hadiah dasar untuk menyiapkan kumpulan hadiah tambahan, dan Code 4 rena akan mengenakan biaya 40% dari kumpulan hadiah tambahan ini.
Sherlock - Audit berbasis komunitas dengan asuransi kontrak pintar
Mirip dengan Code 4 rena, Sherlock juga memiliki peran sebagai auditor, sponsor, dan juri.Keunikan Sherlock terletak pada layanan asuransi yang disediakan oleh platform. Siapa pun dapat berinvestasi di kumpulan asuransi di platform Sherlock. Investor menyetor USDC ke dalam kumpulan asuransi, dan pelanggan perjanjian dapat membeli layanan untuk melindungi risiko kontrak cerdas diretas. Sumber pendapatan bagi investor asuransi meliputi: premi yang dibayarkan berdasarkan kesepakatan pelanggan + bunga yang diperoleh dengan menyetorkan dana kumpulan asuransi di kumpulan DeFi lainnya (Aave, Compound, dll.) + Insentif token Sherlock. Tetapi investor menanggung risiko membayar polis sambil menuai keuntungan.
Hal lain yang berbeda dari Code 4 rena adalah mekanisme distribusi pendapatan jasa audit yang disediakan oleh platform. Dibandingkan dengan Code 4 rena, Sherlock memiliki aturan yang memungkinkan kepala auditor keamanan senior dan hakim ketua untuk mendapatkan jumlah tetap (5% ~ 10%) dari kumpulan bonus untuk memberikan kompensasi yang tepat dan memotivasi auditor senior penuh waktu. Selain itu, ada sistem seleksi dan kompetisi untuk pemilihan peran kepemimpinan.
Bagaimana cara membangun komunitas peretas? Apa perhatian terbesar dari topi putih Web3?
Setelah kami mengamati komunitas keamanan terdesentralisasi yang berbeda (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, dll.) dan mengobrol dengan beberapa pengusaha keamanan, kami berpikir bahwa komitmen semua platform terdesentralisasi adalah: membangun sistem yang lebih sehat dan efisien platform komunikasi dan kolaborasi. Platform bounty seperti pasar antara Peretas dan proyek. Mereka harus mempertimbangkan kebutuhan mereka dari perspektif peretas (seperti yang ditunjukkan pada tabel di bawah), dan pada saat yang sama mempertimbangkan yang terbaik (kualitas audit) .
Sumber: 《Perspektif Pemburu Bug tentang Tantangan dan Manfaat Bug Bounty Eco》
Selain beberapa kebutuhan umum, saya juga melihat beberapa topik menarik di komunitas white hat Immunefi (komunitas white hat discord yang paling ramai saya lihat).
Misalnya:
Topi putih bernama Rappie ingin mengungkap beberapa celah proyek yang dia temukan sebelumnya, dan menanyakan aturan komunitas apa yang perlu diikuti. (1. Hanya ungkapkan bug yang telah diperbaiki. 2. Pastikan bahwa setiap informasi publik tidak berdampak negatif pada protokol atau penggunanya. Simpan informasi rahasia misalnya: setelah mereka memperbaiki kerentanan injeksi SQL Anda, jangan merilis informasi tentang mereka basis data lengkap 3. Pastikan Anda perlu mengirim pesan pribadi ke tim proyek sebelum mempublikasikannya).
Topi putih bernama Noam Yakov mempertanyakan definisi proyek hadiah (ini sering terjadi, karena biasanya hanya kerentanan keamanan yang serius yang dapat dihargai. Bagaimana proyek menentukan tingkat keamanan kerentanan? Sesuatu yang sangat dipedulikan oleh topi putih, dan masyarakat sering mendengar tentang perselisihan semacam itu). Dalam proyek bounty Uniwhales, dia meragukan definisi mereka tentang dampak MEV sebagai kerentanan keamanan yang serius. Pada akhirnya, semua orang membahas bahwa jenis deskripsi ini tidak berlaku untuk semua situasi MEV. Misalnya, untuk beberapa aliran pesanan beracun, kumpulan protokol dapat Situasi pengurasan aset jelas merupakan insiden keamanan yang serius (sehingga seringkali tidak cukup untuk menentukan serangkaian kerangka kerja tingkat keamanan, dan biasanya peran arbiter serupa dalam platform diperlukan untuk campur tangan dalam kasus aktual yang berbeda).
Dan untuk topik yang sangat menarik, "Apa permintaan dan ekspektasi Anda untuk platform bounty seperti Immunefi?" Topi putih bernama ckksec memberikan jawabannya: 1) Membantu topi putih terenkripsi anonim ini mendapatkan penghasilan kerja mereka Lakukan beberapa klarifikasi hukum seperti pembuatan faktur. 2) Platform seharusnya tidak hanya memiliki sistem penilaian untuk topi putih, tetapi juga menilai kualitas proyek karena topi putih seringkali perlu menghabiskan waktu untuk membedakan kualitas proyek. 3) Untuk white hat yang bersedia membuka proflie mereka, platform dapat menunjukkan alur kerja mereka, pada saat yang sama, sebaiknya platform lebih transparan menampilkan informasi laporan analisis keamanan yang diterima oleh pihak proyek.
Alat apa yang dapat membantu topi putih?
Dengan maraknya GPT LLM, baru-baru ini saya sering mendengar orang berdiskusi apakah audit keamanan juga bisa digantikan oleh AI. Praktisi keamanan berpengalaman yang saya ajak bicara umumnya percaya bahwa GPT sulit untuk secara langsung menggantikan kecerdasan manusia Beberapa buah yang menggantung rendah (masalah yang mudah ditemukan) dapat dideteksi oleh model bahasa, tetapi masalah dengan risiko sedang dan tinggi masih memerlukan ahli partisipasi. Misalnya, menurut umpan balik dari pakar keamanan senior, untuk analisis data dan analisis dinamis yang serupa, pengujian yang lebih kompleks ini perlu digabungkan secara artifisial dengan logika bisnis sebenarnya dari protokol untuk melakukan pengujian analisis keamanan terlebih dahulu dan menentukan target yang diharapkan. atribut tes terlebih dahulu Bagian yang paling sulit adalah menulis properti yang baik dan menentukan bidang tes yang benar. Menurut percobaan mereka pada GPT, mereka percaya bahwa GPT tidak dapat sepenuhnya menggantikan manusia pada tahap ini.
Tentu saja, saat ini ada hasil yang lebih optimis yang menunjukkan bahwa LLM dapat sangat meningkatkan efisiensi analisis alat analisis keamanan dan mengurangi tingkat positif palsu.
Mari kita pikirkan topik ini dari perspektif non-teknis lain yang menarik. Ini adalah permainan dinamis antara penyerang dan pembela keamanan. Ketinggian sihir satu kaki lebih tinggi dari yang lain. Akankah AI memberikan keamanan relatif bagi penyerang keamanan? membantu?
Keselamatan berorientasi pada manusia
Orang akan terbiasa berpikir bahwa perangkat lunak adalah hal yang dingin, mekanis, dan logis, dan meningkatkan keamanan sistem hanya perlu meningkatkan teknologi analisis dan tingkat pertahanan sistem. Namun, orang kurang memikirkan masalah keamanan dari perspektif insentif ekonomi dan sifat manusia. Di hutan gelap kode sumber terbuka, kita membutuhkan sistem distribusi yang lebih sesuai dengan asumsi orang yang rasional. Insentif ekonomi yang positif dan jinak menarik lebih banyak orang yang bersedia berinvestasi di blockchain untuk waktu yang lama. Orang-orang yang menyumbangkan kebijaksanaan untuk keamanan sistem bergabung.
Struktur pasar audit keamanan tradisional saat ini stabil, dan reputasi merek adalah aset tidak berwujud terpenting perusahaan di bidang ini.Seiring waktu, pengaruh merek keamanan teratas dan kepercayaan pelanggan terus meningkat, tetapi audit keamanan tradisional juga memiliki pengaruhnya sendiri. masalah sendiri (model bisnis hanya mengandalkan tenaga kerja dan sulit untuk tumbuh dalam skala, dan perusahaan terkemuka perlu menyeimbangkan pertumbuhan dan kualitas audit. Beberapa perusahaan telah menghadapi hambatan seperti itu dan bahkan memengaruhi nilai merek).
Kompetisi audit keamanan berbasis komunitas adalah model bisnis yang inovatif. Saat ini, lebih dari 300 pelanggan dari kedua platform telah menemukan PMF secara bertahap, dan platform bounty merupakan pelengkap yang baik untuk siklus hidup keamanan. Meskipun platform terdesentralisasi ini masih Kami belum menemukan model token yang sangat efektif, tetapi kami sangat optimis tentang pertumbuhan skala besar pasar ini di masa depan (karena kebijaksanaan orang banyak sangat cocok untuk skenario permainan ofensif dan defensif di pasar keamanan).
Akankah platform audit berbasis komunitas menjadi ancaman bagi firma audit terpusat? Kami pikir mereka akan memiliki kompetisi timbal balik yang sehat dan hubungan yang saling melengkapi. Dalam jangka pendek, ketika platform seperti Kode 4 rena membentuk efek jaringan tertentu dan memiliki rekam jejak yang baik (proporsi proyek yang diaudit yang diretas rendah), mungkin memang memberi Beberapa perusahaan terpusat di tengah dan ekor akan membawa tekanan persaingan tertentu, tetapi dalam jangka panjang, ini juga dapat memaksa platform audit terpusat untuk membentuk beberapa kerjasama komersial dengan platform berbasis komunitas, karena ini juga dapat memperluas basis pelanggan dari platform audit keamanan terpusat dan Tingkatkan kualitas audit (sedikit seperti proyek hadiah keamanan asli yang dioperasikan secara independen oleh perusahaan web2 besar dan kemudian membentuk logika kerja sama dengan platform pihak ketiga seperti HackerOne).
Meskipun arah platform keamanan berbasis komunitas adalah untuk lebih berorientasi pada DAO (Forta sebenarnya dapat dimasukkan dalam kategori ini), dalam pengoperasian sebenarnya dari proyek saat ini, masih ada masalah seperti: bagaimana membuat alur kerja dan proses distribusi ekonomi lebih transparan dan terbuka , Bagaimana menimbang pertimbangan privasi dan keamanan pihak proyek, bagaimana lebih jelas mendefinisikan hubungan antara kerja sama tim dan kontribusi pribadi, bagaimana menyelesaikan masalah dalam perspektif yang relatif adil dan profesional ketika terjadi konflik kepentingan muncul, dll. Ini adalah hal-hal yang harus dihadapi DAO keamanan Tantangan yang tepat.
Referensi: