レイ著、IOSG Ventures

大規模コンピュータシステムとして、現在のブロックチェーンのシステム複雑さは5年前のレベルをはるかに超えており、インフラのモジュール化の程度はさらに洗練され、アプリケーション層のスマートコントラクトのロジックはますます豊富になり、契約間のやりとりは非常に頻繁であり、さらに重要なことに、ブロックチェーン システムによって管理される資産の数はすでに非常に多くなっているため、最近ブロックチェーン セキュリティ コミュニティでセキュリティ サイクルについての議論が増えています (状況は 2017 年と同じです) 、人々がセキュリティについて言及するとき、彼らは開発者のことだけを考えています。契約を書いてそれをイーサリアム財団の友人に投げて見てもらい、いくつかの基本的なテストを行うのはまったく異なります）。

ブロックチェーン プログラムのセキュリティ ライフ サイクル全体 (テスト、サードパーティ監査の招待からイベント後の監視、更新監査まで) を通じて、バグ報奨金コミュニティは、ゲーム理論とクラスター作業を通じてホワイト ハットを引き付けるための安全クッションのようなものです。スマートコントラクトのセキュリティ担当者の中には、バグ報奨金が最後の砦のようなものだと感じている人もいますが、バグ報奨金と監査競争は、より大きな役割を果たす可能性があると私は考えています。セキュリティ ライフ サイクル全体にわたる役割により、システム全体のセキュリティが向上します。 **

もちろん、従来のネットワーク セキュリティの分野にもバグ報奨金プログラム (Bug Bounty または Vulnerabilty Rewards) があります。まず、Facebook、Google、Microsoft などの大手テクノロジー企業が自社のセキュリティ チームに報奨金プログラムを展開し、第二に、HackerOne と Bugcrowd に代表されるバグ報奨金のサードパーティ プラットフォームが 2015 年頃から登場しており、現在、この 2 つの大手セキュリティ会社は報奨金を主な収入源としており、その年収は 5,000 万米ドル近くに達する場合もあります。それぞれ1ドルと2,000万米ドル。ブロックチェーンの世界では、報奨金はセキュリティ界でよく議論される興味深いトピックです。主な理由は、ブロックチェーン コードのオープンソースにより、ハッキングや攻撃戦略の改善にかかるコストが実際に安くなるからです。また、暗号通貨の世界では、仕事、クリエイター、所有権の経済のクラスタリングは、よりオープンなホワイトハット経済をさらに価値あるものにする貢献モデルにオープンです。

**バグ報奨金と監査コンテストとは何ですか?なぜそれらが必要なのでしょうか? **

コンピューター セキュリティの専門家で暗号学者のブルース シュナイアー氏が言ったように、セキュリティは攻撃者と防御者の間のダイナミックなゲームです。「セキュリティは製品ではなくプロセスです。それはソフトウェア開発プロセスのあらゆる側面で実行されなければならない考え方です。」 「ブロックチェーンの世界では、すべてのコードがオープンソースで透明である暗い森であり、長期にわたって存続したいブロックチェーンプロジェクトは、製品/契約のセキュリティに対する永遠のニーズを持っている必要があります。チェーン製品はすべて、多かれ少なかれ財務上のニーズがあります。」金融における最も重要な資産は信頼ですが、ユーザーの信頼は一度だけです。

従来の監査の欠点や問題はどこにあるのでしょうか?コミュニティ主導のバグ報奨金や監査コンテストには、これらの問題を補うどのような利点があるのでしょうか?

監査サービスを使用している開発者は、次のことに気づくことがよくあります。

※第三者監査会社のサービスを購入した後でも、監査後のコードに問題が発生する場合がありますが、問題の原因は技術的・非技術的など異なりますが、完全に信頼できるわけではないようですしかし、コード監査の品質は依然として監査人のレベルに依存しており、顧客には「誰が優れているか」を見極める能力が欠けていることがよくあります。

• 報奨金プラットフォームと監査コンテストは、よりオープンな「サンドボックス」であり、バックグラウンド制限なしで、ホワイトハットがプロジェクト コードを自由にレビューできます (プロの監査会社の担当者がいる場合もあれば、フリーランスのセキュリティ アナリストがいる場合もあります) 、兵器庫は無制限であり、顧客がしなければならないことは、適切な報奨金を設定し、ホワイトハットが問題を発見したときに貢献金を支払うことだけです。
• 通常、顧客は最初にホワイトハットによるレビューが必要なコードを提出し、脆弱性のセキュリティ レベルを定義します (通常は経済的損失の可能性に関連しており、経済的損失を直接引き起こす脆弱性が容易であるほど、重大度レベルは高くなります)。 、報奨金の予算、テストコードの範囲、さらにはテストステップ。

市場の規模はどれくらいですか?

報奨金プラットフォームや監査コンテストのビジネス モデルは、通常、顧客が支払った報奨金の一部、またはプラットフォームのサービス料金として設定されたボーナス プールの合計を引き出すことです。コードセキュリティ監査を必要とする顧客（プロジェクト当事者）は、各自のニーズ（どのコードを監査の対象にする必要があるか、脆弱性の深刻度をどのように定義するか、いくらの報酬を希望するか）に応じて報奨金プラットフォーム上で計画を発表します。ホワイトハットがプロジェクト側のニーズに応じて脆弱性を発見し、ホワイトハットが抜け穴を発見し、プロジェクト側のニーズを満たすと報奨金がホワイトハットに分配され、報奨金プラットフォームは、そこからサービス料として手数料を受け取ります。

Web2 の従来のネットワーク セキュリティの分野では、バグ報奨金プラットフォームも比較的新しい方向 (2012 年以降に登場) であり、現在最大のバグ報奨金プラットフォームは HackerOne と Bugcrowd です。 2022 年の HackerOne の年間収益は 5,800 万米ドルに達し、企業評価額は約 5 億米ドルに達し、これまでに支払われた累計報奨金は 2 億 3,000 万米ドルになります (2021 年と 2022 年には 1 億 5,000 万米ドルの報奨金が支払われます)。 100 万人以上のハッカーが登録しており、毎月 1,000 人以上の顧客が HackerOne サービスを利用しています。競合会社のバグクラウドは、2022年に2,000万ドル以上の収益を生み出すと予想されている。

Web3 セキュリティの分野では、2022 年にすべての Web3 バグ報奨金および監査コンペティション プラットフォームがホワイト ハット ハッカーに総額 5,000 万米ドルの報奨金を分配する予定であり、そのようなプラットフォームの平均料金レベルは約 10% ～ 30% です。現在の市場規模はおよそ 500 万ドルから 1500 万ドルであり、まだ非常に新興市場です。

もう 1 つの興味深い点は、この分散型セキュリティ コミュニティが提供するコード監査サービスを直接使用したいと考える顧客が増えていることです。最も有名な例は、Opensea が新しいプラットフォーム Seaport を立ち上げる前に、第 2 層監査サービスを直接見つけられなかったことです。三者監査会社は、現時点で最大の分散型監査競争プラットフォームである Code4Rena を選択し、100 万米ドルの賞金総額を設定しました 今日、従来のセキュリティ監査市場はますます関与しています (大量の人的資源、大量のテクノロジー ツール、大量の市場) BD )、分散型セキュリティ サービスはこの市場で重要な成長となるでしょうか? （現在、市場には56社の監査会社が存在しており、主要企業の過去1年間の収益は1,000万～4,000万米ドルです。分散型セキュリティ市場には想像の余地がたくさんあると思います。）

バグ報奨金プラットフォームと監査コンテスト プラットフォーム

バグ報奨金プラットフォームには Web2 で 10 年の開発の歴史がありますが、監査競争プラットフォームは Web3 ネイティブでは新しいものです。監査コンペティションサービスの対象となるのは、これから製品や新機能を立ち上げようとしているプロジェクト関係者であり、分散型コミュニティの力を利用して、一定期間（2週間以上）内に監査サービスを完了できるよう支援することになります。観点から見ると、監査競争は従来の監査会社に中小企業の脅威をもたらすことはありません。

以下に、参加方法、報酬構造、テスト範囲の点で 2 つのプラットフォームの違いを示します。

参加方法

Immunefi などのバグ報奨金プラットフォームは通常、誰でもいつでも参加できるオープン プロジェクトです。参加者は通常、報酬と引き換えに独立して脆弱性を調査および報告します。 2 人が同じ脆弱性を繰り返し発見した場合は、先着順の原則に従い、最初に報告を提出した人が最初に報酬を受け取ります。

コミュニティ主導の監査競争プラットフォーム (Code4rena、Sherlock など) は多くの場合時間制限があり、参加者は特定の時間枠内で脆弱性を見つけて報告するかどうかを競います。報奨金プラットフォームと比較すると、ある程度のチームワークが必要になります (たとえば、各プロジェクトには主任上級監査人と主任審査員が明確に割り当てられ、最終的にすべての監査結果をレビューして顧客への監査レポートに要約します。この 2 人のリーダーはコミュニティの選挙と競争の分散化の原則にも従う）。さらに、2 人の監査競合者が指定された時間内に繰り返し抜け穴を発見した場合、両方とも報酬を得ることができます。

報酬体系

両方が発行する実際の報酬は、主に発見された脆弱性の重大度を考慮します。

唯一の違いは、Code4Rena のようなコミュニティ主導の監査コンペティション プラットフォームでは、プロジェクトごとにボーナス プールの固定部分 (5% ～ 10%) が主任上級監査人および主任審査員に割り当てられることです。これは、彼らが実際にプロジェクトの役割を担うためです。伝統的な監査会社のリーダーの性格。

もう 1 つの興味深い点は、バグ報奨金プラットフォームのプロジェクト パーティーが報酬としてプロジェクト トークンを配置することがありますが、コミュニティ内の一部のホワイトハット ハッカーが価格変動プロジェクト トークンよりも USDC、USDT ステーブル コインを取得することを好むこともわかります。

範囲と焦点

バグ報奨金プラットフォーム プロジェクトは通常、広い範囲を持っていますが、監査コンペティションに関するプロジェクトは通常、ソフトウェアの特定の機能または側面を対象とした、より焦点を絞った範囲を持っていますが、ホワイト ハットは短期間で作業を完了することに集中する必要があります。

コンテストの監査に重点を置いたプロジェクト

Code4Rena - eスポーツのようなコミュニティ主導の監査競争プラットフォーム

Code4Rena には 3 つの文字タイプがあります。

1 監査人 (監視員) レビューコード。プロのセキュリティ エンジニアから経験を積もうとしている初心者の開発者まで、誰でも監査人として登録して公開監査コンテストに参加できます。

2 審査員 (審査員) は通常、C4 コミュニティの最高のエンジニアです。脆弱性の重大度、有効性、品質を判断し、監査パフォーマンスを評価します。

3 スポンサー (スポンサー) は、Opensea、Blur、ENS、Chainlink などのプロジェクト関係者です。彼らは、プロジェクトのコードを監査する監査人を引き付けるためのボーナス プールを作成します。スポンサーには、プライバシーを高めるため、招待者限定のプライベート コンテストを主催するオプションもあります。

最も興味深い点の 1 つは、Code4Rena が構築している文化です。コラボレーションとチームワークが奨励されています。従来のバグ報奨金プログラムとは異なり、Code4Rena は、有効な脆弱性を報告したすべての監査人に、その脆弱性がすでに報告されている場合でも支払いを行います。これにより、監査人は重大度の高い一般的な脆弱性を発見する意欲が高まり、監査人間の健全な競争が促進されます。このプラットフォームでは、一部の監査人が一時的なチームを結成して一緒に抜け穴を見つけます。

事業の型：

どのプロジェクトも Code4rena にアクセスして監査コンテスト プログラムを開始し、USDC または ETH を提供して基本賞金プール (通常、賞金プールのサイズは 40,000 ドルから 100,000 ドル) を設定することができ、Code4rena は基本賞金プールから 20% を請求します。コンテストを開催し、レビューを提供し、監査結果を整理するためのプラットフォーム 結果の報告によるサービス収益。プロジェクト当事者は、基本的な賞金プールに加えてプロジェクト トークンを提供して追加の賞金プールを設定することもでき、Code4rena はこの追加の賞金プールの 40% を請求します。

Sherlock - スマート コントラクト保険によるコミュニティ主導の監査

Code4rena と同様に、Sherlock にも監査役、スポンサー、審査員などの役割があり、Sherlock の特徴はプラットフォームが提供する保険サービスにあります。 Sherlock プラットフォーム上の保険プールには誰でも投資でき、投資家は USDC を保険プールに預け、契約顧客はスマート コントラクトがハッキングされるリスクをヘッジするサービスを購入できます。保険投資家の収入源には、契約顧客が支払う保険料 + 保険プール資金を他の DeFi プール (Aave、Compound など) に預けることで得られる利子 + シャーロック トークンのインセンティブが含まれます。しかし、投資家は利益を享受しながら、保険契約を返済するリスクを負います。

Code4rena とのもう 1 つの違いは、プラットフォームが提供する監査サービス収益の分配メカニズムです。 Code4rena と比較すると、Sherlock には、上級セキュリティ監査主任と裁判長がボーナスプールから固定金額 (5% ～ 10%) を取得して、フルタイムの上級監査人を適切に報酬し、動機づけることができるルールがあります。さらに、リーダーの役割を選択するための選考と競争のシステムもあります。

**ハッカーコミュニティを構築するにはどうすればよいですか? Web3 ホワイトハットの最大の懸念は何ですか? **

さまざまな分散型セキュリティ コミュニティ (ImmuneFi、Hats Finance、Code4Rena、Sherlock など) を観察し、何人かのセキュリティ起業家と話をした後、すべての分散型プラットフォームが専念しているのは、より健全で効率的なコミュニケーションおよびコラボレーション プラットフォームを構築することであると考えています。 、報奨金プラットフォームはハッカーとプロジェクトの間の市場のようなもので、ハッカーの観点からニーズを考慮する必要があり（以下の表に示すように）、同時にプロジェクトの当事者がプロジェクトの観点から何を最も気にしているのかを考慮する必要があります。 (監査の品質)。

出典: 《バグバウンティエコの課題と利点に関するバグハンターの視点》

いくつかの一般的なニーズに加えて、Immunefi ホワイト ハット コミュニティ (私が見た中で最も活発なホワイト ハット ディスコード コミュニティ) でも興味深いトピックがいくつかありました。

例えば：

Rappie という名前のホワイト ハットがいます。彼は以前に発見したプロジェクトの抜け穴をいくつか公開したいと考えており、どのようなコミュニティ ルールに従う必要があるかを尋ねています。 (1. 修正されたバグのみを公開してください。2. 公開情報がプロトコルやそのユーザーに悪影響を及ぼさないようにしてください。機密情報は保持してください。たとえば、SQL インジェクションの脆弱性が修正された後は、その完全な情報を公開しないでください) 3. 公開する前に、プロジェクト チームにプライベート メッセージを送信する必要があることを確認してください)。

Noam Yakov という名前のホワイト ハットは、報奨金プロジェクトの定義に疑問を持っています (通常、重大なセキュリティ脆弱性のみが報われるため、これはよく起こります。プロジェクトは脆弱性のセキュリティ レベルをどのように定義しますか? ホワイト ハットが非常に気にしていること、そしてコミュニティではそのような論争についてよく耳にします）。 Uniwhales の報奨金プロジェクトでは、彼は MEV の影響を深刻なセキュリティ脆弱性として定義することに疑問を抱いていました。最終的には、この種の説明はすべての MEV 状況に適用されるわけではないということで全員が議論しました。たとえば、一部の有害な注文フローの場合、プロトコル プール 資産流出の状況は間違いなく重大なセキュリティ インシデントです (したがって、一連のセキュリティ レベル フレームワークを定義するだけでは十分ではないことが多く、通常は実際のさまざまなケースでプラットフォーム内で同様の役割の仲裁者の関与が必要です)。

そして、非常に興味深いトピックとして、「Immunefi のような報奨金プラットフォームに対するあなたの要求と期待は何ですか?」については、ckksec という名前のホワイト ハットが答えました: 1) これらの匿名暗号化ホワイト ハットが労働収入を得るのを支援する 請求書発行などの法的明確化を行う。 2) ホワイト ハットはプロジェクトの品質を区別するために時間を費やす必要があることが多いため、プラットフォームにはホワイト ハット用のスコアリング システムだけでなく、プロジェクトの品質もスコアリングする必要があります。 3) 自分のプロフィールをオープンしたいホワイトハットに対して、プラットフォームはワークフローを表示できると同時に、プロジェクト当事者が受け取ったセキュリティ分析レポート情報をより透明に表示する方が良いでしょう。

ホワイトハットに役立つツールは何ですか?

LLM GPT の発火により、最近、セキュリティ監査も AI に置き換えることができるかどうかについて議論しているのをよく聞きます。私が話をした経験豊富なセキュリティ専門家は一般に、GPT が人間の知性を直接置き換えるのは難しいと信じています。いくつかの簡単な成果 (見つけやすい問題) は言語モデルによって検出できるかもしれませんが、中程度および高リスクの問題には依然として専門家が必要です。参加。たとえば、上級セキュリティ専門家のフィードバックによると、同様のデータ分析や動的分析の場合、これらのより複雑なテストをプロトコルの実際のビジネス ロジックと人為的に組み合わせて、事前にセキュリティ分析テストを実施し、予想されるターゲットを定義する必要があります。最も難しいのは、適切なプロパティを記述し、正しいテスト フィールドを定義することです。 GPT に関する彼らの実験によると、現段階では GPT が人間を完全に置き換えることはできないと考えられています。

もちろん、現時点では、LLM がセキュリティ分析ツールの分析効率を大幅に向上させ、誤検知率を削減できることを示す、より楽観的な結果があります。

このトピックを、別の興味深い非技術的な観点から考えてみましょう。これは、セキュリティ攻撃者と防御者の間で行われるダイナミックなゲームです。魔法の高さは 1 フィート高く、高さはより高くなります。AI はセキュリティ攻撃者にセキュリティ上の課題をもたらしますか? 助けになりますか?

安全は人間中心です

ソフトウェアは冷たく機械的で論理的なものであり、システムのセキュリティを向上させるためには、分析技術とシステムの防御レベルを向上させるだけで十分であると人々は習慣的に考えています。しかし、人々は経済的インセンティブと人間性の観点からセキュリティ問題について考えることが欠如しており、オープンソース コードの暗い森では、合理的な人々の想定にもっと沿った配布システムが必要です。ブロックチェーンに長期的に投資する意欲のあるより多くの人々を惹きつけ、システムのセキュリティに知恵を提供する人々が参加します。

現在の伝統的なセキュリティ監査市場構造は安定しており、この分野の企業にとってブランドの評判は最も重要な無形資産です。時間の経過とともに、トップセキュリティブランドの影響力と顧客の信頼は確実に増加していますが、従来のセキュリティ監査にも課題があります。自身の問題（ビジネスモデルはマンパワーのみに依存しており、規模の成長が難しく、大手企業は成長と監査の品質のバランスをとる必要があります。一部の企業はそのようなボトルネックに遭遇し、ブランドの価値に影響を与えることさえありました）。

**コミュニティ主導のセキュリティ監査コンテストは革新的なビジネス モデルです。**現在、2 つのプラットフォームの顧客数は 300 社を超え、徐々に PMF を獲得しています。*報奨金プラットフォームはセキュリティ ライフ サイクルを補完するものです。 * これらの分散型プラットフォームはまだ特に効果的なトークン モデルを見つけていませんが、私たちはこの市場が将来的に大規模に成長することについて非常に楽観的です (群衆の知恵は、世界の攻撃的および防御的なゲーム シナリオに非常に適しているため)セキュリティ市場）。

** コミュニティ主導の監査プラットフォームは集中監査会社にとって脅威となるでしょうか? これらは良好な相互競争と補完関係にあると考えていますが、短期的には、Code4rena のようなプラットフォームが一定のネットワーク効果を形成し、良好な実績を残している場合 (監査対象プロジェクトのハッキングの割合が低い場合)、確かに、中間と末端の一部の集中型企業は一定の競争圧力をもたらすだろうが、長期的には、集中型監査プラットフォームがコミュニティ主導型プラットフォームと何らかの商業協力を形成することを余儀なくされる可能性もある。これにより顧客の範囲も拡大する可能性があるためである。集中型セキュリティ監査プラットフォームをグループ化し、監査品質を向上させます (大手 Web2 企業によって独立して運営され、後に HackerOne などのサードパーティ プラットフォームとの連携ロジックを形成した元のセキュリティ報奨金プロジェクトに似ています)。

コミュニティ主導のセキュリティプラットフォームの方向性としては、よりDAO指向化が進んでいますが（実際にはFortaもこのカテゴリに含まれます）、現在のプロジェクトの実際の運用においては、ワークフローをどのように作成するか、経済分配プロセスの透明性とオープン性、プロジェクト当事者のプライバシーとセキュリティの考慮事項を比較検討する方法、チームワークと個人の貢献の関係をより明確に定義する方法、利益相反が発生した場合に、より公正かつ専門的な方法で問題を解決する方法これらは、セキュリティ DAO が正しい課題に直面する必要があるものです。