Как крупномасштабная компьютерная система, текущая системная сложность блокчейна намного превысила уровень 5-летней давности, степень модульности инфраструктуры стала более точной, логика смарт-контрактов на прикладном уровне становится все более и более распространенной, и взаимодействие между контрактами происходит очень часто, что более важно, количество активов, управляемых системой блокчейна, уже очень велико, поэтому в последнее время в сообществе безопасности блокчейна было больше дискуссий о цикле безопасности (ситуация такая же, как и в 2017 году). , когда люди упоминают о безопасности, они думают только о разработчиках. Совсем другое дело написать контракт и передать его друзьям из Ethereum Foundation, чтобы они посмотрели и провели некоторые базовые тесты).
На протяжении всего жизненного цикла безопасности программ блокчейна (от тестирования, приглашения сторонних аудитов до мониторинга после событий, аудита обновлений) сообщество баг-баунти выступает в качестве подушки безопасности для привлечения белых шляп с помощью теории игр и работы с кластерами. проверка кода проектной стороны, и некоторые специалисты по безопасности смарт-контрактов считают, что награда за обнаружение ошибок больше похожа на последнего человека на линии защиты, но я думаю, что награда за обнаружение ошибок и конкурс на аудит могут сыграть большую роль в будущее, действуя как Роли на протяжении всего жизненного цикла безопасности, улучшают безопасность системы в целом. **
Конечно, в области традиционной сетевой безопасности также существуют программы вознаграждения за обнаружение ошибок (Bug Bounty или Vulnerabilty Rewards). Во-вторых, сторонние платформы Bug Bounty, представленные HackerOne и Bugcrowd, появились примерно с 2015 года. долларов США и 20 млн долларов США соответственно. В мире блокчейна вознаграждение является более интересной темой, которая часто обсуждается в кругу специалистов по безопасности. Основная причина заключается в том, что открытый исходный код кода блокчейна фактически удешевляет стоимость взлома и улучшения стратегий атак. Кроме того, криптомир выступает за кластеризация экономики труда, творчества и собственности, открытая для моделей вклада, которые делают более открытую экономику «белой шляпы» еще более ценной.
**Что такое баг-баунти и аудит-конкурсы, зачем они нужны? **
Безопасность — это динамичная игра между злоумышленником и защитником, как сказал эксперт по компьютерной безопасности и криптограф Брюс Шнайер: «Безопасность — это процесс, а не продукт. "В мире блокчейна, темном лесу, где все коды открыты и прозрачны, проект блокчейна, который хочет выжить в течение длительного времени, должен иметь вечные потребности в безопасности своих продуктов/контрактов. Все продукты цепи имеют более или менее финансовые атрибуты.Самым важным активом в финансах является доверие, а доверие пользователя бывает только один раз.
В чем недостатки и проблемы традиционного аудита? Какие преимущества могут компенсировать эти проблемы организованные сообществом вознаграждения за обнаружение ошибок и конкурсы по аудиту?
Разработчики, пользующиеся услугами аудита, часто обнаруживают, что:
Даже после покупки услуг сторонней аудиторской компании, проблемы с кодом после аудита остаются.Хотя причины этих проблем разные (технические и нетехнические), полагаться на них не представляется вполне надежным в конце концов, на аудиторскую компанию.Однако качество аудита кода по-прежнему зависит от уровня аудиторов, а заказчики часто не имеют возможности различить, «кто лучше».
Баунти-платформа и аудиторское соревнование представляют собой более открытую «песочницу», а код проекта может быть проверен белыми шляпами по желанию, без каких-либо фоновых ограничений (могут быть сотрудники профессиональных аудиторских компаний, а могут быть внештатные аналитики по безопасности) , арсенал не ограничен, и все, что нужно сделать клиентам, — это установить разумную награду и внести свой вклад, когда белая шляпа обнаружит проблему.
Обычно клиенты сначала отправляют свой код, который должен быть проверен белой шляпой, определяют уровень безопасности уязвимости (обычно связанный с возможными экономическими потерями, чем проще уязвимость, которая непосредственно приводит к экономическим потерям, тем выше уровень серьезности) , бюджет вознаграждения, область тестирования кода и даже этапы тестирования.
Насколько велик рынок?
Бизнес-модель баунти-платформ и аудиторских конкурсов обычно заключается в получении части вознаграждения, выплачиваемого клиентами, или общего бонусного пула, установленного в качестве платы за обслуживание платформы. Клиенты (участники проекта), которым требуется аудит безопасности кода, объявят о своих планах на платформе вознаграждений в соответствии со своими потребностями (какие коды необходимо проверить, как определить серьезность уязвимостей и сколько вознаграждения они готовы заплатить), и белые шляпы Уязвимости будут найдены в соответствии с потребностями стороны проекта.Как только белые шляпы найдут лазейки и удовлетворят потребности стороны проекта, вознаграждение будет распределено между белыми шляпами, и платформа вознаграждения будет привлечена комиссию с него как сервисный сбор.
В сфере традиционной сетевой безопасности Web2 платформа bug bounty также является относительно молодым направлением (появилась после 2012 года), и в настоящее время крупнейшими платформами bug bounty являются HackerOne и Bugcrowd. В 2022 году годовой доход HackerOne достигнет 58 миллионов долларов США, оценка компании достигнет примерно 500 миллионов долларов США, а совокупное вознаграждение, выплаченное за всю историю, составит 230 миллионов долларов США (150 миллионов долларов США в 2021 и 2022 годах) и более. будет обнаружено более 65 000 программных уязвимостей, более 1 миллиона зарегистрированных хакеров и более 1000 клиентов, использующих услуги HackerOne каждый месяц. Ожидается, что его конкурент, Bugcrowd, в 2022 году принесет более 20 миллионов долларов дохода.
В области безопасности Web3 в 2022 году все платформы для вознаграждения за обнаружение ошибок и проверки аудита будут распределять в общей сложности 50 миллионов долларов США в виде вознаграждений среди белых хакеров, а средний уровень вознаграждения таких платформ составляет от 10% до 30%. так что по консервативной оценке Текущий размер рынка составляет около 5–15 миллионов долларов, и это все еще очень развивающийся рынок.
Еще одна интересная вещь заключается в том, что все больше и больше клиентов хотят напрямую использовать услуги аудита кода, предоставляемые этим децентрализованным сообществом безопасности.Самый известный пример заключается в том, что Opensea не нашла напрямую службу аудита второго уровня перед запуском своей новой платформы Seaport. Трехсторонняя аудиторская компания выбрала Code4Rena, крупнейшую в настоящее время платформу для соревнований по децентрализованному аудиту, и учредила призовой фонд в размере 1 млн долларов США. BD ), будут ли децентрализованные службы безопасности важным фактором роста на этом рынке? (В настоящее время на рынке присутствует 56 аудиторских компаний, а выручка ведущих компаний в прошлом году составила от 10 до 40 миллионов долларов США. Я думаю, что на рынке децентрализованной безопасности есть много места для воображения).
Платформа Bug Bounty и платформа для проведения аудита
Несмотря на то, что платформа Bug Bounty имеет десятилетнюю историю разработки в Web2, платформа для аудита — это новинка в родном Web3. Объектом аудиторской службы конкурса являются те участники проекта, которые собираются запустить продукты или некоторые новые функции и используют возможности децентрализованного сообщества, чтобы помочь им выполнить аудиторскую услугу в течение определенного времени (более 2 недель). В перспективе аудиторская конкуренция не принесет угрозы малому бизнесу для традиционных аудиторских компаний.
Ниже я покажу различия между двумя платформами с точки зрения методов участия, структуры вознаграждения и охвата тестами:
способ участия
Платформы Bug Bounty, такие как Immunefi, обычно представляют собой открытые проекты, в которых каждый может принять участие в любое время. Участники обычно самостоятельно изучают уязвимости и сообщают об уязвимостях в обмен на вознаграждение. Если два человека обнаруживают одну и ту же повторяющуюся уязвимость, будет применяться принцип «первым пришел — первым обслужен», и тот, кто первым отправит отчет, получит вознаграждение первым.
Платформы для проведения аудиторских соревнований по инициативе сообщества (например, Code4rena, Sherlock) часто ограничены по времени, соревнуясь с участниками в поиске уязвимостей и сообщении об уязвимостях в течение определенного периода времени. По сравнению с баунти-платформой здесь будет некоторая командная работа (например, в каждом проекте будет четкое назначение ведущего старшего аудитора и ведущего судьи, и, наконец, будут рассмотрены и обобщены все результаты аудита в аудиторском отчете для заказчика, и эти два руководителя также придерживайтесь принципа децентрализации общинных выборов и конкурсов). Кроме того, если два конкурента по аудиту найдут повторяющиеся лазейки в течение указанного времени, они оба могут получить вознаграждение.
Структура вознаграждения
Фактические вознаграждения, выдаваемые обоими, в основном будут учитывать серьезность обнаруженной уязвимости.
Единственная разница заключается в том, что управляемая сообществом платформа для соревнований по аудиту, такая как Code4Rena, будет иметь фиксированную часть (5%~10%) бонусного фонда для каждого проекта, выделяемого ведущему старшему аудитору и ведущему судье, потому что они фактически берут на себя роль проекта. руководители традиционных аудиторских компаний.
Еще один интересный момент заключается в том, что проектная группа на платформе Bug Bounty иногда размещает токены проекта в качестве вознаграждения, но я также вижу, что некоторые белые хакеры в сообществе предпочитают получать стабильные монеты USDC, USDT, а не токены проекта с колебаниями цен.
Масштаб и фокус
Проекты платформы Bug Bounty обычно имеют широкий охват, в то время как проекты аудиторских конкурсов обычно имеют более сфокусированный охват, нацеленный на конкретную функцию или аспект программного обеспечения, при этом требуя, чтобы белые шляпы сосредоточились на выполнении работы в более короткий период времени.
Проекты, посвященные аудиторским конкурсам
Code4Rena – киберспортивная платформа для проведения аудиторских соревнований, проводимая сообществом.
В Code4Rena есть три типа символов:
1 Аудитор (Стражи) проверяет код. Любой желающий, от профессионального инженера по безопасности до начинающего разработчика, стремящегося получить больше опыта, может зарегистрироваться в качестве аудитора для участия в публичном конкурсе по аудиту.
2 Судьи (судьи) обычно являются лучшими инженерами в сообществе C4. Они определяют серьезность, эффективность и качество уязвимостей и оценивают эффективность аудита.
3 Спонсоры (Спонсоры) — это участники проекта, такие как Opensea, Blur, ENS, Chainlink и т. д. Они создают бонусные пулы для привлечения аудиторов для проверки кода их проектов. Спонсоры также имеют возможность проводить частные соревнования только по приглашению для дополнительной конфиденциальности.
Одним из самых интересных моментов является культура, которую строит Code4Rena: сотрудничество и командная работа приветствуются. В отличие от традиционных программ вознаграждения за обнаружение ошибок, Code4Rena платит всем аудиторам, которые сообщают о действительной уязвимости, даже если о ней уже сообщалось. Это поощряет здоровую конкуренцию среди аудиторов, поскольку они заинтересованы в поиске наиболее серьезных и распространенных уязвимостей. На этой платформе некоторые аудиторы будут формировать временные команды, чтобы вместе находить лазейки.
Бизнес модель:
Любой проект может обратиться в Code4rena, чтобы начать конкурсную программу аудита и предоставить USDC или ETH для создания базового призового фонда (обычно размер призового фонда составляет 40 000–100 000 долларов США), и Code4rena будет взимать 20% от основного призового фонда в качестве платформа для организации конкурсов, предоставления обзоров и организации результатов аудита. Доход от услуг для отчетности о результатах. Участник проекта также может предоставить токены проекта в дополнение к основному призовому фонду для создания дополнительного призового фонда, и Code4rena будет взимать 40% от этого дополнительного призового фонда.
Sherlock — Аудит, управляемый сообществом, со страхованием смарт-контрактов
Подобно Code4rena, у Sherlock также есть такие роли, как аудиторы, спонсоры и судьи.Уникальность Sherlock заключается в страховых услугах, предоставляемых платформой. Любой может инвестировать в страховой пул на платформе Sherlock.Инвесторы вносят USDC в страховой пул, а клиенты могут приобретать услуги для хеджирования риска взлома смарт-контрактов. Источники дохода для страховых инвесторов включают в себя: премии, выплачиваемые клиентами по соглашению + проценты, полученные от размещения средств страхового пула в других пулах DeFi (Aave, Compound и т. д.) + поощрения токенами Sherlock. Но инвестор несет риск погашения политики, пожиная плоды.
Еще одним отличием от Code4rena является механизм распределения доходов от аудиторских услуг, предоставляемых платформой. По сравнению с Code4rena, у Sherlock есть правила, которые позволяют главному старшему аудитору безопасности и главному судье получать фиксированную сумму (5%~10%) из бонусного пула, чтобы должным образом компенсировать и мотивировать штатных старших аудиторов. Кроме того, существуют системы отбора и конкурса на избрание руководящих должностей.
**Как создать хакерское сообщество? Что больше всего беспокоит белых шляп Web3? **
После того, как мы наблюдали за различными децентрализованными сообществами безопасности (ImmuneFi, Hats Finance, Code4Rena, Sherlock и т. д.) и общались с некоторыми предпринимателями в области безопасности, мы пришли к выводу, что все децентрализованные платформы предназначены для создания более здоровой, эффективной платформы для общения и совместной работы. , баунти-платформа похожа на торговую площадку между хакерами и проектами, они должны рассматривать свои потребности с точки зрения хакеров (как показано в таблице ниже) и в то же время учитывать то, что проектная сторона больше всего заботит с точки зрения проекта. (Аудит качества).
Источник: «Взгляды охотников за ошибками на проблемы и преимущества эко-баг-баунти».
В дополнение к некоторым общим потребностям, я также увидел несколько интересных тем в сообществе белых шляп Immunefi (самое живое сообщество белых шляп, которое я когда-либо видел).
например:
Есть белая шляпа по имени Раппи, которая хочет раскрыть некоторые лазейки проекта, которые он / она обнаружил ранее, и спрашивает, какие правила сообщества необходимо соблюдать. (1. Публикуйте только те ошибки, которые были исправлены. 2. Убедитесь, что любая общедоступная информация не оказывает негативного влияния на протокол или его пользователей. Сохраняйте конфиденциальную информацию, например, после того, как они исправят вашу уязвимость SQL-инъекции, не публикуйте информацию об их полной 3. Убедитесь, что вам нужно отправить личное сообщение команде проекта, прежде чем сделать его публичным).
Белая шляпа по имени Ноам Яков сомневается в определении баунти-проекта (это часто случается, потому что обычно вознаграждение можно получить только за серьезные уязвимости в безопасности. Как проект определяет уровень безопасности уязвимости? Что-то, что глубоко волнует белых шляп , и сообщество много слышит о таких спорах). В баунти-проекте Uniwhales у него были сомнения относительно их определения воздействия MEV как серьезной уязвимости безопасности.В конце концов все обсуждали, что этот тип описания не применим ко всем ситуациям MEV.Например, для некоторых токсичных потоков заказов пул протоколов. Ситуация с утечкой активов, безусловно, является серьезным инцидентом безопасности (поэтому определения набора рамок уровней безопасности часто недостаточно, и обычно требуется участие аналогичных ролей арбитров в платформе в различных реальных случаях).
И на очень интересную тему: «Каковы ваши требования и ожидания от платформы вознаграждений, такой как Immunefi?», «белая шляпа» по имени ckksec дал свой ответ: 1) Помогите этим анонимным белым шляпам шифрования заработать свой трудовой доход. Сделайте некоторые юридические разъяснения, такие как выставление счетов. 2) Платформа должна иметь систему оценки не только белых шляп, но и оценки качества проекта, потому что белым шляпам часто нужно тратить время на определение качества проекта. 3) Для белых шляп, которые хотят открыть свой профиль, платформа может показать их рабочий процесс, в то же время для платформы лучше более прозрачно отображать информацию отчета об анализе безопасности, полученную участником проекта.
Какие инструменты могут помочь белым шляпам?
С огнем LLM GPT я недавно слышал, как люди часто обсуждают, можно ли также заменить аудиты безопасности искусственным интеллектом. Опытные специалисты по безопасности, с которыми я разговаривал, обычно считают, что GPT трудно заменить человеческую мудрость. участие. Например, по отзыву старшего эксперта по безопасности, для аналогичного анализа данных и динамического анализа эти более сложные тесты необходимо искусственно сочетать с реальной бизнес-логикой протокола, чтобы заранее провести тесты анализа безопасности и определить ожидаемую цель. атрибуты теста заранее.Самое сложное - написать хорошие свойства и определить правильное тестовое поле. Согласно их экспериментам с ТШП, они считают, что ТШП не может полностью заменить человека на данном этапе.
Конечно, в настоящее время есть более оптимистичные результаты, показывающие, что LLM может значительно повысить эффективность анализа инструментов анализа безопасности и снизить уровень ложных срабатываний:
Давайте подумаем об этой теме с другой интересной нетехнической точки зрения.Это динамичная игра между злоумышленниками и защитниками.Волшебная высота на один фут выше, а высота выше.Поможет ли ИИ создать проблемы безопасности для злоумышленников?Помогите?
Безопасность ориентирована на людей
Люди привыкнут думать, что программное обеспечение — холодная, механическая и логичная вещь, и для повышения безопасности системы нужно только улучшить технологию анализа и уровень защиты системы. Однако людям не хватает размышлений о вопросах безопасности с точки зрения экономических стимулов и человеческой природы. В темном лесу открытого исходного кода нам нужна система распространения, которая больше соответствует предположениям рациональных людей. Позитивные и благоприятные экономические стимулы привлечь больше людей, готовых инвестировать в блокчейн на долгое время.Присоединяются люди, которые вносят свой вклад в безопасность системы.
Нынешняя традиционная структура рынка аудита безопасности стабильна, а репутация бренда является наиболее важным нематериальным активом компаний в этой области.Со временем влияние ведущих брендов безопасности и доверие клиентов неуклонно росли, но традиционные аудиты безопасности также имеют свои преимущества. собственные проблемы (бизнес-модель опирается исключительно на рабочую силу и ее трудно масштабировать, а ведущим компаниям необходимо сбалансировать рост и аудит качества. Некоторые компании столкнулись с таким узким местом и даже повлияли на стоимость бренда).
**Соревнование по аудиту безопасности, проводимое сообществом, — это инновационная бизнес-модель. **В настоящее время число клиентов двух платформ превысило 300, и постепенно они нашли PMF. *Баунти-платформа является хорошим дополнением к жизненному циклу безопасности. * Хотя эти децентрализованные платформы еще не нашли особенно эффективную модель токенов, мы очень оптимистично смотрим на масштабный рост этого рынка в будущем (поскольку мудрость толпы очень подходит для наступательных и оборонительных сценариев игры в рынок ценных бумаг).
** Будут ли аудиторские платформы, управляемые сообществом, представлять угрозу для централизованных аудиторских компаний? Мы думаем, что у них будет здоровая взаимная конкуренция и взаимодополняющие отношения.В краткосрочной перспективе, когда такая платформа, как Code4rena, формирует определенный сетевой эффект и имеет хороший послужной список (доля взломанных проверенных проектов невелика), она может Некоторые централизованные компании в середине и в хвосте окажут определенное конкурентное давление, но в долгосрочной перспективе это может также вынудить централизованную аудиторскую платформу наладить коммерческое сотрудничество с платформой, управляемой сообществом, поскольку это также может расширить круг клиентов централизованную платформу аудита безопасности Group и улучшить качество аудита (немного похоже на первоначальный проект вознаграждения за безопасность, который независимо управлялся крупной компанией web2, а позже сформировал логику сотрудничества со сторонними платформами, такими как HackerOne).
Хотя направление платформы безопасности, управляемой сообществом, должно быть больше ориентировано на DAO (Forta действительно может быть включена в эту категорию), в фактической работе текущего проекта все еще есть проблемы, такие как: как сделать рабочий процесс и процесс экономического распределения более прозрачен и открыт, как взвесить соображения конфиденциальности и безопасности проектной стороны, как более четко определить взаимосвязь между командной работой и личным вкладом, как решить проблему более справедливым и профессиональным способом при конфликте интересов возникают и т. д. Это то, что нужно DAO по безопасности, чтобы справиться с вызовом Right.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Crowd Intelligence в области безопасности — рынок вознаграждений и аудита, управляемый сообществом
Рэй, IOSG Ventures
Как крупномасштабная компьютерная система, текущая системная сложность блокчейна намного превысила уровень 5-летней давности, степень модульности инфраструктуры стала более точной, логика смарт-контрактов на прикладном уровне становится все более и более распространенной, и взаимодействие между контрактами происходит очень часто, что более важно, количество активов, управляемых системой блокчейна, уже очень велико, поэтому в последнее время в сообществе безопасности блокчейна было больше дискуссий о цикле безопасности (ситуация такая же, как и в 2017 году). , когда люди упоминают о безопасности, они думают только о разработчиках. Совсем другое дело написать контракт и передать его друзьям из Ethereum Foundation, чтобы они посмотрели и провели некоторые базовые тесты).
На протяжении всего жизненного цикла безопасности программ блокчейна (от тестирования, приглашения сторонних аудитов до мониторинга после событий, аудита обновлений) сообщество баг-баунти выступает в качестве подушки безопасности для привлечения белых шляп с помощью теории игр и работы с кластерами. проверка кода проектной стороны, и некоторые специалисты по безопасности смарт-контрактов считают, что награда за обнаружение ошибок больше похожа на последнего человека на линии защиты, но я думаю, что награда за обнаружение ошибок и конкурс на аудит могут сыграть большую роль в будущее, действуя как Роли на протяжении всего жизненного цикла безопасности, улучшают безопасность системы в целом. **
Конечно, в области традиционной сетевой безопасности также существуют программы вознаграждения за обнаружение ошибок (Bug Bounty или Vulnerabilty Rewards). Во-вторых, сторонние платформы Bug Bounty, представленные HackerOne и Bugcrowd, появились примерно с 2015 года. долларов США и 20 млн долларов США соответственно. В мире блокчейна вознаграждение является более интересной темой, которая часто обсуждается в кругу специалистов по безопасности. Основная причина заключается в том, что открытый исходный код кода блокчейна фактически удешевляет стоимость взлома и улучшения стратегий атак. Кроме того, криптомир выступает за кластеризация экономики труда, творчества и собственности, открытая для моделей вклада, которые делают более открытую экономику «белой шляпы» еще более ценной.
**Что такое баг-баунти и аудит-конкурсы, зачем они нужны? **
Безопасность — это динамичная игра между злоумышленником и защитником, как сказал эксперт по компьютерной безопасности и криптограф Брюс Шнайер: «Безопасность — это процесс, а не продукт. "В мире блокчейна, темном лесу, где все коды открыты и прозрачны, проект блокчейна, который хочет выжить в течение длительного времени, должен иметь вечные потребности в безопасности своих продуктов/контрактов. Все продукты цепи имеют более или менее финансовые атрибуты.Самым важным активом в финансах является доверие, а доверие пользователя бывает только один раз.
В чем недостатки и проблемы традиционного аудита? Какие преимущества могут компенсировать эти проблемы организованные сообществом вознаграждения за обнаружение ошибок и конкурсы по аудиту?
Разработчики, пользующиеся услугами аудита, часто обнаруживают, что:
Насколько велик рынок?
Бизнес-модель баунти-платформ и аудиторских конкурсов обычно заключается в получении части вознаграждения, выплачиваемого клиентами, или общего бонусного пула, установленного в качестве платы за обслуживание платформы. Клиенты (участники проекта), которым требуется аудит безопасности кода, объявят о своих планах на платформе вознаграждений в соответствии со своими потребностями (какие коды необходимо проверить, как определить серьезность уязвимостей и сколько вознаграждения они готовы заплатить), и белые шляпы Уязвимости будут найдены в соответствии с потребностями стороны проекта.Как только белые шляпы найдут лазейки и удовлетворят потребности стороны проекта, вознаграждение будет распределено между белыми шляпами, и платформа вознаграждения будет привлечена комиссию с него как сервисный сбор.
В сфере традиционной сетевой безопасности Web2 платформа bug bounty также является относительно молодым направлением (появилась после 2012 года), и в настоящее время крупнейшими платформами bug bounty являются HackerOne и Bugcrowd. В 2022 году годовой доход HackerOne достигнет 58 миллионов долларов США, оценка компании достигнет примерно 500 миллионов долларов США, а совокупное вознаграждение, выплаченное за всю историю, составит 230 миллионов долларов США (150 миллионов долларов США в 2021 и 2022 годах) и более. будет обнаружено более 65 000 программных уязвимостей, более 1 миллиона зарегистрированных хакеров и более 1000 клиентов, использующих услуги HackerOne каждый месяц. Ожидается, что его конкурент, Bugcrowd, в 2022 году принесет более 20 миллионов долларов дохода.
В области безопасности Web3 в 2022 году все платформы для вознаграждения за обнаружение ошибок и проверки аудита будут распределять в общей сложности 50 миллионов долларов США в виде вознаграждений среди белых хакеров, а средний уровень вознаграждения таких платформ составляет от 10% до 30%. так что по консервативной оценке Текущий размер рынка составляет около 5–15 миллионов долларов, и это все еще очень развивающийся рынок.
Еще одна интересная вещь заключается в том, что все больше и больше клиентов хотят напрямую использовать услуги аудита кода, предоставляемые этим децентрализованным сообществом безопасности.Самый известный пример заключается в том, что Opensea не нашла напрямую службу аудита второго уровня перед запуском своей новой платформы Seaport. Трехсторонняя аудиторская компания выбрала Code4Rena, крупнейшую в настоящее время платформу для соревнований по децентрализованному аудиту, и учредила призовой фонд в размере 1 млн долларов США. BD ), будут ли децентрализованные службы безопасности важным фактором роста на этом рынке? (В настоящее время на рынке присутствует 56 аудиторских компаний, а выручка ведущих компаний в прошлом году составила от 10 до 40 миллионов долларов США. Я думаю, что на рынке децентрализованной безопасности есть много места для воображения).
Платформа Bug Bounty и платформа для проведения аудита
Несмотря на то, что платформа Bug Bounty имеет десятилетнюю историю разработки в Web2, платформа для аудита — это новинка в родном Web3. Объектом аудиторской службы конкурса являются те участники проекта, которые собираются запустить продукты или некоторые новые функции и используют возможности децентрализованного сообщества, чтобы помочь им выполнить аудиторскую услугу в течение определенного времени (более 2 недель). В перспективе аудиторская конкуренция не принесет угрозы малому бизнесу для традиционных аудиторских компаний.
Ниже я покажу различия между двумя платформами с точки зрения методов участия, структуры вознаграждения и охвата тестами:
способ участия
Платформы Bug Bounty, такие как Immunefi, обычно представляют собой открытые проекты, в которых каждый может принять участие в любое время. Участники обычно самостоятельно изучают уязвимости и сообщают об уязвимостях в обмен на вознаграждение. Если два человека обнаруживают одну и ту же повторяющуюся уязвимость, будет применяться принцип «первым пришел — первым обслужен», и тот, кто первым отправит отчет, получит вознаграждение первым.
Платформы для проведения аудиторских соревнований по инициативе сообщества (например, Code4rena, Sherlock) часто ограничены по времени, соревнуясь с участниками в поиске уязвимостей и сообщении об уязвимостях в течение определенного периода времени. По сравнению с баунти-платформой здесь будет некоторая командная работа (например, в каждом проекте будет четкое назначение ведущего старшего аудитора и ведущего судьи, и, наконец, будут рассмотрены и обобщены все результаты аудита в аудиторском отчете для заказчика, и эти два руководителя также придерживайтесь принципа децентрализации общинных выборов и конкурсов). Кроме того, если два конкурента по аудиту найдут повторяющиеся лазейки в течение указанного времени, они оба могут получить вознаграждение.
Структура вознаграждения
Фактические вознаграждения, выдаваемые обоими, в основном будут учитывать серьезность обнаруженной уязвимости.
Единственная разница заключается в том, что управляемая сообществом платформа для соревнований по аудиту, такая как Code4Rena, будет иметь фиксированную часть (5%~10%) бонусного фонда для каждого проекта, выделяемого ведущему старшему аудитору и ведущему судье, потому что они фактически берут на себя роль проекта. руководители традиционных аудиторских компаний.
Еще один интересный момент заключается в том, что проектная группа на платформе Bug Bounty иногда размещает токены проекта в качестве вознаграждения, но я также вижу, что некоторые белые хакеры в сообществе предпочитают получать стабильные монеты USDC, USDT, а не токены проекта с колебаниями цен.
Масштаб и фокус
Проекты платформы Bug Bounty обычно имеют широкий охват, в то время как проекты аудиторских конкурсов обычно имеют более сфокусированный охват, нацеленный на конкретную функцию или аспект программного обеспечения, при этом требуя, чтобы белые шляпы сосредоточились на выполнении работы в более короткий период времени.
Проекты, посвященные аудиторским конкурсам
Code4Rena – киберспортивная платформа для проведения аудиторских соревнований, проводимая сообществом.
В Code4Rena есть три типа символов:
1 Аудитор (Стражи) проверяет код. Любой желающий, от профессионального инженера по безопасности до начинающего разработчика, стремящегося получить больше опыта, может зарегистрироваться в качестве аудитора для участия в публичном конкурсе по аудиту.
2 Судьи (судьи) обычно являются лучшими инженерами в сообществе C4. Они определяют серьезность, эффективность и качество уязвимостей и оценивают эффективность аудита.
3 Спонсоры (Спонсоры) — это участники проекта, такие как Opensea, Blur, ENS, Chainlink и т. д. Они создают бонусные пулы для привлечения аудиторов для проверки кода их проектов. Спонсоры также имеют возможность проводить частные соревнования только по приглашению для дополнительной конфиденциальности.
Одним из самых интересных моментов является культура, которую строит Code4Rena: сотрудничество и командная работа приветствуются. В отличие от традиционных программ вознаграждения за обнаружение ошибок, Code4Rena платит всем аудиторам, которые сообщают о действительной уязвимости, даже если о ней уже сообщалось. Это поощряет здоровую конкуренцию среди аудиторов, поскольку они заинтересованы в поиске наиболее серьезных и распространенных уязвимостей. На этой платформе некоторые аудиторы будут формировать временные команды, чтобы вместе находить лазейки.
Бизнес модель:
Любой проект может обратиться в Code4rena, чтобы начать конкурсную программу аудита и предоставить USDC или ETH для создания базового призового фонда (обычно размер призового фонда составляет 40 000–100 000 долларов США), и Code4rena будет взимать 20% от основного призового фонда в качестве платформа для организации конкурсов, предоставления обзоров и организации результатов аудита. Доход от услуг для отчетности о результатах. Участник проекта также может предоставить токены проекта в дополнение к основному призовому фонду для создания дополнительного призового фонда, и Code4rena будет взимать 40% от этого дополнительного призового фонда.
Sherlock — Аудит, управляемый сообществом, со страхованием смарт-контрактов
Подобно Code4rena, у Sherlock также есть такие роли, как аудиторы, спонсоры и судьи.Уникальность Sherlock заключается в страховых услугах, предоставляемых платформой. Любой может инвестировать в страховой пул на платформе Sherlock.Инвесторы вносят USDC в страховой пул, а клиенты могут приобретать услуги для хеджирования риска взлома смарт-контрактов. Источники дохода для страховых инвесторов включают в себя: премии, выплачиваемые клиентами по соглашению + проценты, полученные от размещения средств страхового пула в других пулах DeFi (Aave, Compound и т. д.) + поощрения токенами Sherlock. Но инвестор несет риск погашения политики, пожиная плоды.
Еще одним отличием от Code4rena является механизм распределения доходов от аудиторских услуг, предоставляемых платформой. По сравнению с Code4rena, у Sherlock есть правила, которые позволяют главному старшему аудитору безопасности и главному судье получать фиксированную сумму (5%~10%) из бонусного пула, чтобы должным образом компенсировать и мотивировать штатных старших аудиторов. Кроме того, существуют системы отбора и конкурса на избрание руководящих должностей.
**Как создать хакерское сообщество? Что больше всего беспокоит белых шляп Web3? **
После того, как мы наблюдали за различными децентрализованными сообществами безопасности (ImmuneFi, Hats Finance, Code4Rena, Sherlock и т. д.) и общались с некоторыми предпринимателями в области безопасности, мы пришли к выводу, что все децентрализованные платформы предназначены для создания более здоровой, эффективной платформы для общения и совместной работы. , баунти-платформа похожа на торговую площадку между хакерами и проектами, они должны рассматривать свои потребности с точки зрения хакеров (как показано в таблице ниже) и в то же время учитывать то, что проектная сторона больше всего заботит с точки зрения проекта. (Аудит качества).
Источник: «Взгляды охотников за ошибками на проблемы и преимущества эко-баг-баунти».
В дополнение к некоторым общим потребностям, я также увидел несколько интересных тем в сообществе белых шляп Immunefi (самое живое сообщество белых шляп, которое я когда-либо видел).
например:
Есть белая шляпа по имени Раппи, которая хочет раскрыть некоторые лазейки проекта, которые он / она обнаружил ранее, и спрашивает, какие правила сообщества необходимо соблюдать. (1. Публикуйте только те ошибки, которые были исправлены. 2. Убедитесь, что любая общедоступная информация не оказывает негативного влияния на протокол или его пользователей. Сохраняйте конфиденциальную информацию, например, после того, как они исправят вашу уязвимость SQL-инъекции, не публикуйте информацию об их полной 3. Убедитесь, что вам нужно отправить личное сообщение команде проекта, прежде чем сделать его публичным).
Белая шляпа по имени Ноам Яков сомневается в определении баунти-проекта (это часто случается, потому что обычно вознаграждение можно получить только за серьезные уязвимости в безопасности. Как проект определяет уровень безопасности уязвимости? Что-то, что глубоко волнует белых шляп , и сообщество много слышит о таких спорах). В баунти-проекте Uniwhales у него были сомнения относительно их определения воздействия MEV как серьезной уязвимости безопасности.В конце концов все обсуждали, что этот тип описания не применим ко всем ситуациям MEV.Например, для некоторых токсичных потоков заказов пул протоколов. Ситуация с утечкой активов, безусловно, является серьезным инцидентом безопасности (поэтому определения набора рамок уровней безопасности часто недостаточно, и обычно требуется участие аналогичных ролей арбитров в платформе в различных реальных случаях).
И на очень интересную тему: «Каковы ваши требования и ожидания от платформы вознаграждений, такой как Immunefi?», «белая шляпа» по имени ckksec дал свой ответ: 1) Помогите этим анонимным белым шляпам шифрования заработать свой трудовой доход. Сделайте некоторые юридические разъяснения, такие как выставление счетов. 2) Платформа должна иметь систему оценки не только белых шляп, но и оценки качества проекта, потому что белым шляпам часто нужно тратить время на определение качества проекта. 3) Для белых шляп, которые хотят открыть свой профиль, платформа может показать их рабочий процесс, в то же время для платформы лучше более прозрачно отображать информацию отчета об анализе безопасности, полученную участником проекта.
Какие инструменты могут помочь белым шляпам?
С огнем LLM GPT я недавно слышал, как люди часто обсуждают, можно ли также заменить аудиты безопасности искусственным интеллектом. Опытные специалисты по безопасности, с которыми я разговаривал, обычно считают, что GPT трудно заменить человеческую мудрость. участие. Например, по отзыву старшего эксперта по безопасности, для аналогичного анализа данных и динамического анализа эти более сложные тесты необходимо искусственно сочетать с реальной бизнес-логикой протокола, чтобы заранее провести тесты анализа безопасности и определить ожидаемую цель. атрибуты теста заранее.Самое сложное - написать хорошие свойства и определить правильное тестовое поле. Согласно их экспериментам с ТШП, они считают, что ТШП не может полностью заменить человека на данном этапе.
Конечно, в настоящее время есть более оптимистичные результаты, показывающие, что LLM может значительно повысить эффективность анализа инструментов анализа безопасности и снизить уровень ложных срабатываний:
Давайте подумаем об этой теме с другой интересной нетехнической точки зрения.Это динамичная игра между злоумышленниками и защитниками.Волшебная высота на один фут выше, а высота выше.Поможет ли ИИ создать проблемы безопасности для злоумышленников?Помогите?
Безопасность ориентирована на людей
Люди привыкнут думать, что программное обеспечение — холодная, механическая и логичная вещь, и для повышения безопасности системы нужно только улучшить технологию анализа и уровень защиты системы. Однако людям не хватает размышлений о вопросах безопасности с точки зрения экономических стимулов и человеческой природы. В темном лесу открытого исходного кода нам нужна система распространения, которая больше соответствует предположениям рациональных людей. Позитивные и благоприятные экономические стимулы привлечь больше людей, готовых инвестировать в блокчейн на долгое время.Присоединяются люди, которые вносят свой вклад в безопасность системы.
Нынешняя традиционная структура рынка аудита безопасности стабильна, а репутация бренда является наиболее важным нематериальным активом компаний в этой области.Со временем влияние ведущих брендов безопасности и доверие клиентов неуклонно росли, но традиционные аудиты безопасности также имеют свои преимущества. собственные проблемы (бизнес-модель опирается исключительно на рабочую силу и ее трудно масштабировать, а ведущим компаниям необходимо сбалансировать рост и аудит качества. Некоторые компании столкнулись с таким узким местом и даже повлияли на стоимость бренда).
**Соревнование по аудиту безопасности, проводимое сообществом, — это инновационная бизнес-модель. **В настоящее время число клиентов двух платформ превысило 300, и постепенно они нашли PMF. *Баунти-платформа является хорошим дополнением к жизненному циклу безопасности. * Хотя эти децентрализованные платформы еще не нашли особенно эффективную модель токенов, мы очень оптимистично смотрим на масштабный рост этого рынка в будущем (поскольку мудрость толпы очень подходит для наступательных и оборонительных сценариев игры в рынок ценных бумаг).
** Будут ли аудиторские платформы, управляемые сообществом, представлять угрозу для централизованных аудиторских компаний? Мы думаем, что у них будет здоровая взаимная конкуренция и взаимодополняющие отношения.В краткосрочной перспективе, когда такая платформа, как Code4rena, формирует определенный сетевой эффект и имеет хороший послужной список (доля взломанных проверенных проектов невелика), она может Некоторые централизованные компании в середине и в хвосте окажут определенное конкурентное давление, но в долгосрочной перспективе это может также вынудить централизованную аудиторскую платформу наладить коммерческое сотрудничество с платформой, управляемой сообществом, поскольку это также может расширить круг клиентов централизованную платформу аудита безопасности Group и улучшить качество аудита (немного похоже на первоначальный проект вознаграждения за безопасность, который независимо управлялся крупной компанией web2, а позже сформировал логику сотрудничества со сторонними платформами, такими как HackerOne).
Хотя направление платформы безопасности, управляемой сообществом, должно быть больше ориентировано на DAO (Forta действительно может быть включена в эту категорию), в фактической работе текущего проекта все еще есть проблемы, такие как: как сделать рабочий процесс и процесс экономического распределения более прозрачен и открыт, как взвесить соображения конфиденциальности и безопасности проектной стороны, как более четко определить взаимосвязь между командной работой и личным вкладом, как решить проблему более справедливым и профессиональным способом при конфликте интересов возникают и т. д. Это то, что нужно DAO по безопасности, чтобы справиться с вызовом Right.