Por Ray, IOSG Ventures

Como um sistema de computador em grande escala, a atual complexidade do sistema de blockchain excedeu em muito o nível de 5 anos atrás, o grau de modularização da infraestrutura é mais refinado, a lógica de contratos inteligentes na camada de aplicativo está se tornando cada vez mais abundante e a interação entre contratos é muito frequente, mais importante, o número de ativos gerenciados pelo sistema blockchain já é muito grande, então tem havido mais discussões sobre o ciclo de segurança na comunidade de segurança blockchain recentemente (a situação é a mesma de 2017 , quando as pessoas falam em segurança, elas só pensam em desenvolvedores É muito diferente escrever o contrato e jogar para os amigos da Fundação Ethereum dar uma olhada e fazer alguns testes básicos).

Ao longo do ciclo de vida de segurança dos programas blockchain (desde o teste, convidando auditorias de terceiros até o monitoramento pós-evento, auditorias de atualização), a comunidade de recompensas de bugs é como uma almofada de segurança para atrair chapéus brancos por meio da teoria do jogo e do trabalho em cluster. revisão do código da parte do projeto, e alguns trabalhadores de segurança de contrato inteligente acham que a recompensa por bug é mais como o último homem na linha de defesa, mas acho que a recompensa por bug e a competição de auditoria têm o potencial de desempenhar um papel maior em o futuro, atuando como um As funções ao longo de todo o ciclo de vida da segurança melhoram a segurança do sistema como um todo. **

Claro, também existem programas de recompensa por bugs (Bug Bounty ou Vulnerabilty Rewards) no campo da segurança de rede tradicional. Primeiro, grandes empresas de tecnologia como Facebook, Google, Microsoft, etc. suas próprias linhas de produtos. Em segundo lugar, as plataformas terceirizadas de recompensas de bugs representadas por HackerOne e Bugcrowd surgiram desde cerca de 2015. Atualmente, essas duas empresas líderes de segurança dependem de sorteios de recompensas como sua principal receita, e sua receita anual pode chegar a quase 50 milhões de dólares americanos. dólares e 20 milhões de dólares americanos, respectivamente. No mundo do blockchain, a recompensa é um tópico mais interessante que é frequentemente discutido no círculo de segurança. A principal razão é que o código aberto do código do blockchain realmente torna o custo de hacking e melhoria das estratégias de ataque mais barato. Além disso, o mundo criptográfico defende agrupamento de economias de trabalho, criador e propriedade abertas a modelos de contribuição que tornam uma economia de chapéu branco mais aberta ainda mais valiosa.

**O que são recompensas por bugs e concursos de auditoria? Por que precisamos deles? **

A segurança é um jogo dinâmico entre o invasor e o defensor, assim como disse o especialista em segurança de computadores e criptógrafo Bruce Schneier: "Segurança é um processo, não um produto. É uma maneira de pensar que deve ser executada em todos os aspectos do processo de desenvolvimento de software. ” No mundo blockchain, uma floresta escura onde todos os códigos são open source e transparentes, um projeto blockchain que queira sobreviver por muito tempo deve ter necessidades eternas de segurança de seus produtos/contratos. Todos os produtos da cadeia têm mais ou menos atributos.O ativo mais importante em finanças é a confiança, e a confiança do usuário é apenas uma vez.

Onde estão as deficiências e problemas da auditoria tradicional? Que vantagens as recompensas por bugs e as competições de auditoria da comunidade podem ter para compensar esses problemas?

Os desenvolvedores que usam serviços de auditoria geralmente descobrem que:

• Mesmo após adquirir os serviços de uma empresa de auditoria terceirizada, ainda há problemas com o código após a auditoria. Embora os motivos desses problemas sejam diferentes (técnicos e não técnicos), não parece ser totalmente confiável confiar no final, em uma empresa de auditoria. No entanto, a qualidade da auditoria de código ainda depende do nível dos auditores, e os clientes muitas vezes não têm a capacidade de discernir "quem é melhor".
• A plataforma de recompensas e a competição de auditoria são uma "caixa de areia" mais aberta, e o código do projeto pode ser revisado por white hats à vontade, sem restrições de histórico (pode haver pessoal de empresas de auditoria profissional e pode haver analistas de segurança freelancers) , o arsenal é ilimitado e tudo o que os clientes precisam fazer é definir uma recompensa razoável e pagar sua contribuição quando o chapéu branco encontrar um problema.
• Geralmente os clientes primeiro enviarão seu código que precisa ser revisado pelo white hat, definir o nível de segurança da vulnerabilidade (geralmente relacionado à possível perda econômica, quanto mais fácil a vulnerabilidade que causa diretamente a perda econômica, maior o nível de gravidade) , orçamento de recompensa, escopo de código de teste e até mesmo etapas de teste.

Qual é o tamanho do mercado?

O modelo de negócios das plataformas de bounty e concursos de auditoria geralmente consiste em sacar uma parte do bounty pago pelos clientes ou o pool de bônus total configurado como taxa de serviço da plataforma. Os clientes (partes do projeto) que precisam de auditorias de segurança de código anunciarão seus planos na plataforma de recompensas de acordo com suas próprias necessidades (quais códigos precisam ser auditados, como definir a gravidade das vulnerabilidades e quanta recompensa estão dispostos a pagar), e as vulnerabilidades dos white hats serão encontradas de acordo com as necessidades do lado do projeto. Assim que as brechas forem encontradas pelos white hats e atenderem às necessidades do lado do projeto, o bounty será distribuído aos white hats, e a plataforma de bounty irá sortear uma comissão a partir dele como uma taxa de serviço.

No campo da segurança de rede tradicional Web2, a plataforma de recompensa de bug também é uma direção relativamente jovem (apareceu depois de 2012) e atualmente as maiores plataformas de recompensa de bug são HackerOne e Bugcrowd. Em 2022, a receita anual do HackerOne chegará a 58 milhões de dólares americanos, a avaliação da empresa chegará a cerca de 500 milhões de dólares americanos e a recompensa cumulativa paga na história será de 230 milhões de dólares americanos (2021 e 2022 pagarão 150 milhões de dólares americanos em recompensas) , e serão descobertos mais de 65.000 softwares Vulnerabilidades, com mais de 1 milhão de hackers cadastrados, e mais de 1.000 clientes utilizando os serviços HackerOne todos os meses. Espera-se que seu concorrente, Bugcrowd, gere mais de US$ 20 milhões em receita em 2022.

No campo da segurança Web3, em 2022, todas as recompensas de bugs web3 e plataformas de competição de auditoria distribuirão um total de 50 milhões de dólares americanos em recompensas para hackers de chapéu branco, e o nível médio de taxa de tais plataformas é de cerca de 10% a 30%, portanto, é estimado de forma conservadora. O tamanho atual do mercado é de cerca de US$ 5 milhões a US$ 15 milhões, e ainda é um mercado muito emergente.

Outra coisa interessante é que cada vez mais clientes estão dispostos a usar diretamente os serviços de auditoria de código fornecidos por essa comunidade de segurança descentralizada. O exemplo mais famoso é que a Opensea não encontrou diretamente o serviço de auditoria de segundo nível antes de lançar sua nova plataforma Seaport. empresa de auditoria tripartida escolheu Code4Rena, a maior plataforma de competição de auditoria descentralizada atualmente, e estabeleceu um prêmio de 1 milhão de dólares americanos. Hoje, o mercado tradicional de auditoria de segurança está cada vez mais envolvido (volume de recursos humanos, volume de ferramentas de tecnologia, volume de mercado BD ), os serviços de segurança descentralizados serão um crescimento importante neste mercado? (Atualmente existem 56 empresas de auditoria no mercado, e o faturamento das empresas líderes no ano passado ficou entre US$ 10 milhões e US$ 40 milhões. Acho que há muito espaço para imaginação no mercado de segurança descentralizada).

Bug Bounty Platform vs Audit Contest Platform

Embora a plataforma de recompensa de bugs tenha um histórico de desenvolvimento de dez anos na web2, a plataforma de competição de auditoria é uma novidade na web3 nativa. O objeto do serviço de concorrência de auditoria são as partes do projeto que estão prestes a lançar produtos ou algumas novas funções, e usam o poder da comunidade descentralizada para ajudá-los a concluir o serviço de auditoria dentro de um prazo específico (mais de 2 semanas). perspectiva, a competição de auditoria não trará nenhuma ameaça às pequenas empresas para as empresas de auditoria tradicionais.

A seguir, mostrarei as diferenças entre as duas plataformas em termos de métodos de participação, estrutura de recompensa e cobertura de teste:

modo de participação

As plataformas de recompensa de bugs, como Immunefi, geralmente são projetos abertos onde qualquer pessoa pode participar a qualquer momento. Os participantes normalmente exploram e relatam vulnerabilidades de forma independente em troca de recompensas. Se duas pessoas encontrarem a mesma vulnerabilidade repetida, será seguido o princípio do primeiro a chegar, primeiro a ser servido, e quem enviar o relatório primeiro receberá a recompensa primeiro.

As plataformas de competição de auditoria voltadas para a comunidade (por exemplo, Code4rena, Sherlock) geralmente têm tempo limitado e competem com os participantes para encontrar e relatar vulnerabilidades dentro de um determinado período de tempo. Em comparação com a plataforma de recompensas, haverá algum trabalho em equipe (por exemplo, cada projeto terá uma atribuição clara de Auditor Sênior Líder e Juiz Principal e, finalmente, revisará e resumirá todos os resultados da auditoria em um relatório de auditoria para o cliente, e esses dois líderes também seguem o princípio da descentralização das eleições e concursos comunitários). Além disso, se dois concorrentes de auditoria encontrarem brechas repetidas dentro do tempo especificado, ambos poderão obter recompensas.

Estrutura de recompensa

As recompensas reais emitidas por ambos considerarão principalmente a gravidade da vulnerabilidade descoberta.

A única diferença é que uma plataforma de competição de auditoria voltada para a comunidade como Code4Rena terá uma parte fixa (5% ~ 10%) do pool de bônus para cada projeto alocado para Auditor Sênior Líder e Juiz Líder, porque eles realmente assumem o papel de projeto líderes de empresas tradicionais de auditoria.caráter de.

Outro ponto interessante é que a parte do projeto na plataforma de recompensas de bugs às vezes coloca tokens de projeto como recompensa, mas também vejo que alguns hackers de chapéu branco na comunidade preferem obter moedas estáveis USDC, USDT em vez de tokens de projeto de flutuações de preço.

Escopo e Foco

Os projetos de plataforma de bug bounty geralmente têm um escopo amplo, enquanto os projetos em competições de auditoria geralmente têm um escopo mais focado, visando uma função ou aspecto específico do software, enquanto exigem white hats para se concentrar em concluir o trabalho em um período de tempo mais curto.

Projetos focados em concursos de auditoria

Code4Rena - Uma plataforma de competição de auditoria voltada para a comunidade semelhante a esports

Code4Rena possui três tipos de caracteres:

1 Auditor (Wardens) código de revisão. Qualquer pessoa, desde um engenheiro de segurança profissional até um desenvolvedor iniciante tentando ganhar mais experiência, pode se registrar como auditor para participar da competição pública de auditoria.

2 Judges (juízes) geralmente são os melhores engenheiros da comunidade C4. Eles determinam a gravidade, eficácia e qualidade das vulnerabilidades e avaliam o desempenho da auditoria.

3 Patrocinadores (Patrocinadores) são partes do projeto, como Opensea, Blur, ENS, Chainlink, etc. Eles criam pools de bônus para atrair auditores para auditar o código de seus projetos. Os patrocinadores também têm a opção de hospedar competições privadas apenas para convidados para maior privacidade.

Um dos pontos mais interessantes é a cultura que a Code4Rena está construindo: a colaboração e o trabalho em equipe são incentivados. Ao contrário dos programas tradicionais de recompensas por bugs, o Code4Rena paga todos os auditores que relatam uma vulnerabilidade válida, mesmo que a vulnerabilidade já tenha sido relatada. Isso incentiva uma competição saudável entre os auditores, pois eles são motivados a encontrar vulnerabilidades comuns e de alta gravidade. Nesta plataforma, alguns auditores formarão equipes temporárias para encontrar brechas em conjunto.

modelo de negócios:

Qualquer projeto pode ir para Code4rena para iniciar um programa de competição de auditoria e fornecer USDC ou ETH para configurar um prêmio básico (geralmente o tamanho do prêmio é $ 40.000 ~ $ 100.000), e o Code4rena cobrará 20% do prêmio básico como uma plataforma para organizar competições, fornecer revisões e organizar saídas de auditoria Receitas de serviços para relatar resultados. A parte do projeto também pode fornecer tokens de projeto além da premiação básica para configurar uma premiação adicional, e a Code4rena cobrará 40% dessa premiação adicional.

Sherlock - Auditoria orientada pela comunidade com seguro de contrato inteligente

Semelhante ao Code4rena, Sherlock também tem papéis como auditores, patrocinadores e juízes.A singularidade de Sherlock está nos serviços de seguros fornecidos pela plataforma. Qualquer pessoa pode investir no pool de seguros na plataforma Sherlock. Os investidores depositam USDC no pool de seguros e os clientes do contrato podem adquirir serviços para proteger o risco de hackers de contratos inteligentes. As fontes de receita para os investidores em seguros incluem: prêmios pagos por clientes de acordos + juros ganhos pelo depósito de fundos do pool de seguros em outros pools de DeFi (Aave, Compound, etc.) + incentivos de token Sherlock. Mas o investidor assume o risco de pagar a apólice enquanto colhe os benefícios.

Outro ponto que difere do Code4rena é o mecanismo de distribuição da receita de serviços de auditoria fornecida pela plataforma. Comparado com Code4rena, Sherlock tem regras que permitem que o auditor sênior de segurança e o juiz principal obtenham uma quantia fixa (5% ~ 10%) do pool de bônus para compensar e motivar adequadamente os auditores sênior em tempo integral. Além disso, existem sistemas de seleção e competição para a seleção de cargos de liderança.

**Como construir uma comunidade hacker? Qual é a maior preocupação dos white hats da Web3? **

Depois de observar diferentes comunidades de segurança descentralizadas (ImmuneFi, Hats Finance, Code4Rena, Sherlock, etc.) , a plataforma de recompensas é como um mercado entre hackers e projetos, eles devem considerar suas necessidades do ponto de vista dos hackers (conforme mostrado na tabela abaixo) e, ao mesmo tempo, considerar o que mais interessa à parte do projeto do ponto de vista do projeto (Auditoria de Qualidade).

Fonte: 《Perspectivas dos caçadores de insetos sobre os desafios e benefícios da recompensa ecológica》

Além de algumas necessidades comuns, também vi alguns tópicos interessantes na comunidade de chapéu branco Immunefi (a comunidade de discórdia de chapéu branco mais animada que já vi).

por exemplo:

Há um chapéu branco chamado Rappie que quer divulgar algumas brechas do projeto que descobriu antes e pergunta quais regras da comunidade precisam ser seguidas. (1. Publique apenas os bugs que foram corrigidos. 2. Certifique-se de que qualquer informação pública não tenha impacto negativo no protocolo ou em seus usuários. Mantenha as informações confidenciais, por exemplo, depois que corrigirem sua vulnerabilidade de injeção SQL, não publique informações sobre seu completo banco de dados. 3. Certifique-se de enviar uma mensagem privada para a equipe do projeto antes de torná-la pública).

Um chapéu branco chamado Noam Yakov tem dúvidas sobre a definição de um projeto de recompensa (isso geralmente acontece, porque geralmente apenas vulnerabilidades de segurança sérias podem ser recompensadas. Como o projeto define o nível de segurança da vulnerabilidade? Algo com o qual os chapéus brancos se preocupam profundamente , e a comunidade ouve muito sobre essas disputas). No projeto de recompensa da Uniwhales, ele tinha dúvidas sobre a definição do impacto do MEV como uma vulnerabilidade de segurança grave. No final, todos discutiram que esse tipo de descrição não se aplica a todas as situações de MEV. Por exemplo, para alguns fluxos de ordem tóxicos, o pool de protocolo A situação de drenagem de ativos é definitivamente um grave incidente de segurança (portanto, definir um conjunto de estruturas de nível de segurança geralmente não é suficiente e geralmente requer o envolvimento de funções semelhantes de árbitros na plataforma em casos reais diferentes).

E para um tópico muito interessante, "Quais são suas demandas e expectativas para uma plataforma de recompensas como Immunefi?" Um chapéu branco chamado ckksec deu sua resposta: 1) Ajude esses chapéus brancos criptografados anônimos a obter sua renda de trabalho Faça alguns esclarecimentos legais, como faturamento. 2) A plataforma não deve ter apenas um sistema de pontuação para white hats, mas também pontuar a qualidade do projeto porque os white hats geralmente precisam gastar tempo distinguindo a qualidade do projeto. 3) Para white hats que desejam abrir seu perfil, a plataforma pode mostrar seu fluxo de trabalho. Ao mesmo tempo, é melhor para a plataforma exibir de forma mais transparente as informações do relatório de análise de segurança recebidas pela parte do projeto.

Quais ferramentas podem ajudar os chapéus brancos?

Com o incêndio dos LLMs GPT, recentemente ouvi pessoas discutindo com frequência se as auditorias de segurança também podem ser substituídas por IA. Os profissionais de segurança experientes com quem conversei geralmente acreditam que o GPT é difícil de substituir diretamente a sabedoria humana. Algumas frutas fáceis de encontrar (problemas fáceis de encontrar) podem ser detectadas por modelos de linguagem, mas esses problemas com riscos médios e altos ainda exigem especialistas participação. Por exemplo, de acordo com o feedback de um especialista sênior em segurança, para análise de dados e análise dinâmica semelhantes, esses testes mais complexos precisam ser combinados artificialmente com a lógica de negócios real do protocolo para realizar testes de análise de segurança com antecedência e definir o alvo esperado atributos do teste com antecedência.A parte mais difícil é escrever boas propriedades e definir o campo de teste correto. De acordo com seus experimentos no GPT, eles acreditam que o GPT não pode substituir completamente os humanos neste estágio.

Obviamente, atualmente existem resultados mais otimistas mostrando que o LLM pode melhorar muito a eficiência da análise das ferramentas de análise de segurança e reduzir a taxa de falsos positivos:

Vamos pensar sobre este tópico de outra perspectiva não técnica interessante. É um jogo dinâmico entre atacantes de segurança e defensores. A altura mágica é um pé maior e a altura é maior. A IA trará desafios de segurança para os atacantes de segurança? ajuda?

A segurança é voltada para as pessoas

As pessoas costumam pensar que o software é uma coisa fria, mecânica e lógica, e melhorar a segurança do sistema só precisa melhorar a tecnologia de análise e o nível de defesa do sistema. No entanto, as pessoas não pensam nas questões de segurança do ponto de vista dos incentivos econômicos e da natureza humana. Na floresta escura do código-fonte aberto, precisamos de um sistema de distribuição que esteja mais alinhado com as suposições de pessoas racionais. Pessoas que contribuam com sabedoria para junção de segurança do sistema.

A atual estrutura tradicional do mercado de auditoria de segurança é estável e a reputação da marca é o ativo intangível mais importante das empresas neste campo. Com o tempo, a influência das principais marcas de segurança e a confiança dos clientes aumentaram constantemente, mas as auditorias de segurança tradicionais também têm seu próprios problemas (o modelo de negócios depende apenas de mão de obra e é difícil crescer em escala, e as empresas líderes precisam equilibrar crescimento e qualidade de auditoria. Algumas empresas encontraram esse gargalo e afetaram até o valor da marca).

**A competição de auditoria de segurança orientada pela comunidade é um modelo de negócios inovador. **Atualmente, o número de clientes das duas plataformas ultrapassou 300 e gradualmente encontrou o PMF. *A plataforma de recompensas é um bom complemento para o ciclo de vida da segurança. * Embora essas plataformas descentralizadas ainda não tenham encontrado um modelo de token particularmente eficaz, estamos muito otimistas com o crescimento em larga escala desse mercado no futuro (porque a sabedoria da multidão é muito adequada para os cenários de jogo ofensivo e defensivo no mercado de segurança).

** As plataformas de auditoria orientadas pela comunidade representarão uma ameaça para as empresas de auditoria centralizada? Achamos que eles terão uma competição mútua benigna e relacionamento complementar. No curto prazo, quando uma plataforma como Code4rena forma um certo efeito de rede e tem um bom histórico (a proporção de projetos auditados sendo hackeados é baixa), pode de fato, algumas empresas centralizadas no meio e na cauda trarão certa pressão competitiva, mas, a longo prazo, isso também pode forçar a plataforma de auditoria centralizada a formar alguma cooperação comercial com a plataforma voltada para a comunidade, porque isso também pode ampliar os clientes de o Grupo de plataforma de auditoria de segurança centralizada e melhorar a qualidade da auditoria (um pouco como o projeto de recompensa de segurança original que foi operado independentemente por uma grande empresa web2 e posteriormente formou uma lógica de cooperação com plataformas de terceiros, como HackerOne).

Embora a direção da plataforma de segurança orientada pela comunidade seja mais orientada para DAO (o Forta pode realmente ser incluído nesta categoria), na operação real do projeto atual, ainda existem problemas como: como fazer o fluxo de trabalho e processo de distribuição econômica mais transparente e aberto, como pesar as considerações de privacidade e segurança da parte do projeto, como definir mais claramente a relação entre trabalho em equipe e contribuição pessoal, como resolver o problema de maneira mais justa e profissional quando há conflitos de interesse surgem, etc. Estas são as coisas que os DAOs de segurança precisam para enfrentar o desafio certo.