Как крупномасштабная компьютерная система, текущая системная сложность блокчейна намного превысила уровень 5-летней давности, степень модульности инфраструктуры стала более точной, логика смарт-контрактов прикладного уровня становится все более и более распространенной, и взаимодействие между контрактами происходит очень часто, что более важно, количество активов, управляемых системой блокчейна, уже очень велико, поэтому в последнее время в сообществе безопасности блокчейна было больше дискуссий о цикле безопасности (ситуация такая же, как и в 2017 году). , когда люди думают о безопасности, они думают только о разработчиках. Совсем другое дело написать контракт и передать его друзьям из Ethereum Foundation, чтобы они посмотрели и провели некоторые базовые тесты).
На протяжении всего жизненного цикла безопасности программ блокчейна (от тестирования, приглашения сторонних аудитов до пост-мониторинга событий, аудита обновлений) сообщество баг-баунти выступает как подушка безопасности, привлекающая белых шляп к блокчейну посредством теории игр и кластерной работы. Код проектной группы будет проверяться в последний раз, и некоторые специалисты по безопасности смарт-контрактов считают, что вознаграждение за обнаружение ошибок больше похоже на последнее лицо на линии защиты, но я думаю, что вознаграждение за обнаружение ошибок и конкурсы по аудиту могут играть более важную роль в будущем, выступая в качестве системы, работающей на протяжении всего жизненного цикла. Роль безопасности повышает общую безопасность системы.
Конечно, в области традиционной сетевой безопасности также существуют программы вознаграждения за обнаружение ошибок (Bug Bounty или Vulnerabilty Rewards). Во-вторых, сторонние платформы Bug bounty, представленные HackerOne и Bugcrowd, появились примерно с 2015 г. В настоящее время эти две ведущие охранные компании полагаются на распределение комиссий за вознаграждение в качестве основного дохода, и их годовой доход может достигать почти 50 млн долларов США и 20 млн долларов США соответственно. В мире блокчейна вознаграждение является более интересной темой, которая часто обсуждается в кругу специалистов по безопасности.Основная причина в том, что открытый исходный код блокчейна фактически удешевляет стоимость взлома и обновления стратегий атак.Кроме того, криптомир активно выступает за объединение экономик труда, творчества и собственности, открытых для моделей вклада, которые делают более открытую экономику «белой шляпы» еще более ценной.
Что такое баг-баунти и аудит-конкурсы, зачем они нужны?
Безопасность — это динамичная игра между злоумышленником и защитником, как сказал эксперт по компьютерной безопасности и криптограф Брюс Шнайер: «Безопасность — это процесс, а не продукт. "В мире блокчейна, темном лесу, где все коды открыты и прозрачны, проект блокчейна, который хочет выжить в течение длительного времени, должен иметь вечный спрос на безопасность своих продуктов/контрактов. меньше финансовых атрибутов.Самым важным активом в финансах является доверие, а доверие пользователя бывает только один раз.
В чем недостатки и проблемы традиционного аудита? Какие преимущества могут компенсировать эти проблемы организованные сообществом вознаграждения за обнаружение ошибок и конкурсы по аудиту?
Разработчики, пользующиеся услугами аудита, часто обнаруживают, что:
Даже после покупки услуг сторонней аудиторской компании, проблемы с кодом после аудита остаются.Хотя причины этих проблем разные (технические и нетехнические), полагаться на них не представляется вполне надежным в конце концов, на аудиторскую компанию.Однако качество аудита кода по-прежнему зависит от уровня аудитора, и заказчики часто не имеют возможности различить, «кто лучше».
Баунти-платформа и аудит-конкурс представляют собой более открытую «песочницу», а код проекта могут рецензировать белые шляпы по желанию, независимо от бэкграунда (могут быть сотрудники профессиональных аудиторских компаний, а могут быть внештатные аналитики по безопасности), арсенал неограничен, и все, что нужно сделать клиентам, — это установить разумную награду и внести свой вклад, когда белая шляпа обнаружит проблему.
Обычно клиенты сначала отправляют свой код, который должен быть проверен белой шляпой, определяют уровень безопасности уязвимости (обычно связанный с возможными экономическими потерями, чем проще уязвимость, которая непосредственно приводит к экономическим потерям, тем выше уровень серьезности) , бюджет вознаграждения, область тестирования кода и даже этапы тестирования.
Насколько велик рынок?
Бизнес-модель баунти-платформ и аудиторских конкурсов обычно заключается в получении части вознаграждения, выплачиваемого клиентами, или общего бонусного пула, установленного в качестве платы за обслуживание платформы. Клиенты (участники проекта), которым требуется аудит безопасности кода, объявят о своих планах на баунти-платформе в соответствии со своими потребностями (какие коды необходимо проверить, как определить серьезность уязвимостей и сколько вознаграждения они готовы заплатить), и белые шляпы Уязвимости будут найдены в соответствии с потребностями стороны проекта.Как только белые шляпы найдут лазейки и удовлетворят потребности стороны проекта, вознаграждение будет распределено между белыми шляпами, и платформа вознаграждения будет привлечена комиссию с него как сервисный сбор.
В сфере традиционной сетевой безопасности Web2 платформа bug bounty также является относительно молодым направлением (появилась после 2012 года), и в настоящее время крупнейшими платформами bug bounty являются HackerOne и Bugcrowd. В 2022 году годовой доход HackerOne достигнет 58 миллионов долларов США, оценка компании достигнет около 500 миллионов долларов США, а совокупная сумма вознаграждения, выплаченная за всю историю, составит 230 миллионов долларов США (в 2021, 2022 годах будет выплачено 150 миллионов долларов США в виде вознаграждений). , и более 65 000 уязвимостей в программном обеспечении, имеет более 1 миллиона зарегистрированных хакеров и более 1000 клиентов, которые ежемесячно пользуются услугами HackerOne. Ожидается, что его конкурент, Bugcrowd, заработает более 20 миллионов долларов в 2022 году.
Что касается безопасности Web3, то в 2022 году все платформы для поиска ошибок и аудита Web3 выдадут в общей сложности 50 миллионов долларов США в виде вознаграждений хакерам в белой шляпе, а средний уровень оплаты таких платформ составляет от 10% до 30%. так что это консервативная оценка. Текущий размер рынка составляет около 5–15 миллионов долларов, и это все еще очень развивающийся рынок.
Еще одна интересная вещь заключается в том, что все больше и больше клиентов хотят напрямую использовать услуги аудита кода, предоставляемые децентрализованным сообществом безопасности.Вместо этого сторонняя аудиторская компания выбрала Code 4 Rena, крупнейшую в настоящее время платформу для соревнований по децентрализованному аудиту, и создала призовой фонд в размере 1 млн. долл. США.Сегодня традиционный рынок аудита безопасности становится все более вовлеченным (объем человеческих ресурсов, объем технических средств, объем рынка BD), будут ли децентрализованные службы безопасности важным ростом на этом рынке? (В настоящее время на рынке присутствует 56 аудиторских компаний, а выручка ведущих компаний за прошлый год составила от 10 до 40 миллионов долларов США. Думаю, на рынке децентрализованной безопасности есть простор для воображения).
Платформы Bug Bounty и платформы для проведения аудита
Несмотря на то, что платформа Bug Bounty имеет десятилетнюю историю разработки в web2, платформа для аудита — это новинка в родном web3. Объектом аудиторской службы конкурса являются те участники проекта, которые собираются запустить продукты или некоторые новые функции и используют возможности децентрализованного сообщества, чтобы помочь им выполнить аудиторскую услугу в течение определенного времени (более 2 недель). В перспективе аудиторская конкуренция не принесет угрозы малому бизнесу для традиционных аудиторских компаний.
Ниже я покажу различия между двумя платформами с точки зрения методов участия, структуры вознаграждения и охвата тестами:
способ участия
Платформы Bug Bounty, такие как Immunefi, обычно представляют собой открытые проекты, в которых каждый может принять участие в любое время. Участники обычно самостоятельно изучают уязвимости и сообщают об уязвимостях в обмен на вознаграждение. Если два человека обнаруживают одну и ту же повторяющуюся уязвимость, будет применяться принцип «первым пришел — первым обслужен», и тот, кто первым отправит отчет, получит вознаграждение первым.
Платформы для проведения аудиторских соревнований по инициативе сообщества (например, Code 4 rena, Sherlock) часто ограничены по времени и соревнуются с участниками в поиске уязвимостей и сообщении об уязвимостях в течение определенного периода времени. По сравнению с платформой Bounty, здесь будет некоторая командная работа (например, в каждом проекте будет четкое назначение ведущего старшего аудитора и ведущего судьи, и, наконец, будут рассмотрены и обобщены все результаты аудита в аудиторском отчете для заказчика, и эти два руководителя также придерживайтесь принципа децентрализации общинных выборов и конкурсов). Кроме того, если два конкурента по аудиту найдут повторяющиеся лазейки в течение указанного времени, они оба могут получить вознаграждение.
структура вознаграждения
Фактические вознаграждения, выдаваемые обоими, в основном будут учитывать серьезность обнаруженной уязвимости.
Единственная разница заключается в том, что платформа для соревнований по аудиту, управляемая сообществом, такая как Code 4 Rena, будет иметь фиксированную долю (5% ~ 10%) призового фонда для каждого проекта, выделенного ведущему старшему аудитору и ведущему судье, потому что они фактически проводят традиционный аудит. проекты компании Роль ответственного лица.
Еще один интересный момент заключается в том, что проектная группа на платформе Bug Bounty иногда размещает токены проекта в качестве вознаграждения, но я также видел, что некоторые белые хакеры в сообществе предпочитают получать стабильные монеты, такие как USDC и USDT, вместо колебаний цен.Токены проекта.
охват и направленность
Проекты платформы Bug Bounty обычно имеют широкий охват, в то время как проекты аудиторских конкурсов обычно имеют более сфокусированный охват, нацеленный на конкретную функцию или аспект программного обеспечения, при этом требуя, чтобы белые шляпы сосредоточились на выполнении работы за более короткий период времени.
Проекты, посвященные аудиторским конкурсам
Code 4 Rena — киберспортивная платформа для соревнований по аудиту, управляемая сообществом.
Code 4 Rena имеет три типа персонажей:
Аудиторы (надзиратели) проверяют кодекс. Любой желающий, от профессионального инженера по безопасности до начинающего разработчика, стремящегося получить больше опыта, может зарегистрироваться в качестве аудитора для участия в публичном конкурсе по аудиту.
Судьи обычно являются лучшими инженерами в сообществе C4. Они определяют серьезность, эффективность и качество уязвимостей и оценивают эффективность аудита.
Спонсорами являются участники проекта, такие как Opensea, Blur, ENS, Chainlink и т. д. Они создают бонусные пулы для привлечения аудиторов для проверки кода их проектов. Спонсоры также имеют возможность проводить частные соревнования только по приглашению для дополнительной конфиденциальности.
Одним из самых интересных моментов является культура, которую строит Code 4 Rena: приветствуется сотрудничество и командная работа. В отличие от традиционных программ вознаграждения за обнаружение ошибок, Code 4 Rena платит всем аудиторам, которые сообщают о действительной уязвимости, даже если о ней уже сообщалось. Это поощряет здоровую конкуренцию среди аудиторов, поскольку они заинтересованы в поиске наиболее серьезных и распространенных уязвимостей. На этой платформе некоторые аудиторы будут формировать временные команды, чтобы вместе находить лазейки.
Бизнес модель:
Любой проект может обратиться в Code 4 rena, чтобы начать конкурсную программу аудита и предоставить USDC или ETH для создания базового призового фонда (обычно размер призового фонда составляет $40 000 ~ $100 000), Code 4 rena взимает 20% от базового призовой фонд как платформа Доход от услуг по организации конкурсов, предоставлению обзоров и сортировке отчетов о результатах аудита. Участник проекта также может предоставить токены проекта в дополнение к основному призовому фонду для создания дополнительного призового фонда, и Code 4 rena будет взимать 40% от этого дополнительного призового фонда.
Sherlock — Аудит, управляемый сообществом, со страхованием смарт-контрактов
Подобно Code 4 rena, у Sherlock также есть такие роли, как аудиторы, спонсоры и судьи.Уникальность Sherlock заключается в страховых услугах, предоставляемых платформой. Любой может инвестировать в страховой пул на платформе Sherlock.Инвесторы вносят USDC в страховой пул, а клиенты могут приобретать услуги для хеджирования риска взлома смарт-контрактов. Источники дохода для страховых инвесторов включают в себя: премии, выплачиваемые клиентами по соглашению + проценты, полученные от размещения средств страхового пула в других пулах DeFi (Aave, Compound и т. д.) + поощрения токенами Sherlock. Но инвестор несет риск погашения политики, пожиная плоды.
Еще одним моментом, который отличается от Code 4 rena, является механизм распределения доходов от аудиторских услуг, предоставляемых платформой. По сравнению с Code 4 rena, у Sherlock есть правила, которые позволяют главному старшему аудитору безопасности и главному судье получать фиксированную сумму (5% ~ 10%) из бонусного фонда, чтобы должным образом компенсировать и мотивировать старшего аудитора, работающего полный рабочий день. Кроме того, существуют системы отбора и конкурса на избрание руководящих должностей.
Как создать хакерское сообщество? Что больше всего беспокоит белых шляп Web3?
После того, как мы понаблюдали за различными децентрализованными сообществами безопасности (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock и т. д.) и пообщались с некоторыми предпринимателями в области безопасности, мы пришли к выводу, что все децентрализованные платформы стремятся сделать следующее: создать более здоровую и эффективную Платформа для общения и совместной работы.Платформа Bounty похожа на торговую площадку между хакерами и проектами.Они должны не только рассматривать свои потребности с точки зрения хакеров (как показано в таблице ниже), но и учитывать наилучшие проблемы (качество аудита).
Источник: «Взгляды охотников за ошибками на проблемы и преимущества эко-баг-баунти».
В дополнение к некоторым общим потребностям, я также увидел несколько интересных тем в сообществе белых шляп Immunefi (самое живое сообщество белых шляп, которое я когда-либо видел).
например:
Белая шляпа по имени Раппи хочет раскрыть некоторые лазейки проекта, которые он обнаружил ранее, и спрашивает, какие правила сообщества необходимо соблюдать. (1. Сообщайте только об исправленных ошибках. 2. Убедитесь, что любая общедоступная информация не оказывает негативного влияния на протокол или его пользователей. Храните конфиденциальную информацию, например: после того, как они исправят вашу уязвимость SQL-инъекций, не разглашайте полная база данных 3. Убедитесь, что вам нужно отправить личное сообщение команде проекта, прежде чем сделать его публичным).
Белая шляпа по имени Ноам Яков поставил под сомнение определение баунти-проекта (такое часто случается, потому что обычно вознаграждение можно получить только за серьезные уязвимости в системе безопасности. Как проект определяет уровень безопасности уязвимости? Что-то, что глубоко волнует белых шляп, и сообщество много слышит о таких спорах). В баунти-проекте Uniwhales у него были сомнения относительно их определения воздействия MEV как серьезной уязвимости безопасности.В конце концов все обсуждали, что этот тип описания не применим ко всем ситуациям MEV.Например, для некоторых токсичных потоков заказов пул протоколов может Ситуация с утечкой активов, безусловно, является серьезным инцидентом безопасности (поэтому часто недостаточно определить набор рамок уровня безопасности, и обычно требуется аналогичная роль арбитра в платформе для вмешательства в различных реальных случаях).
И на очень интересную тему «Каковы ваши требования и ожидания от баунти-платформы, такой как Immunefi?» Белая шляпа по имени ckksec дал свой ответ: 1) Помогите им получать доход от анонимных зашифрованных белых шляп Сделайте некоторые юридические разъяснения, такие как выставление счетов. 2) Платформа должна иметь систему оценки не только белых шляп, но и оценки качества проекта, потому что белым шляпам часто нужно тратить время на определение качества проекта. 3) Для белых шляп, которые хотят открыть свой профиль, платформа может показать их рабочий процесс, в то же время для платформы лучше более прозрачно отображать информацию отчета об анализе безопасности, полученную участником проекта.
Какие инструменты могут помочь белым шляпам?
С огнем LLM GPT я недавно слышал, как люди часто обсуждают, можно ли также заменить аудиты безопасности искусственным интеллектом. Опытные специалисты по безопасности, с которыми я разговаривал, обычно считают, что GPT трудно напрямую заменить человеческий интеллект.Некоторые легко висящие плоды (проблемы, которые легко найти) могут быть обнаружены с помощью языковых моделей, но для решения проблем со средним и высоким риском по-прежнему требуются специалисты. участие. Например, по отзыву старшего эксперта по безопасности, для аналогичного анализа данных и динамического анализа эти более сложные тесты необходимо искусственно совмещать с реальной бизнес-логикой протокола, чтобы заранее провести тесты анализа безопасности и определить ожидаемую цель. атрибуты теста заранее.Самое сложное - написать хорошие свойства и определить правильное тестовое поле. Согласно их экспериментам с ТШП, они считают, что ТШП не может полностью заменить человека на данном этапе.
Конечно, в настоящее время есть более оптимистичные результаты, показывающие, что LLM может значительно повысить эффективность анализа инструментов анализа безопасности и снизить уровень ложных срабатываний.
Давайте подумаем об этой теме с другой интересной нетехнической точки зрения. Это динамичная игра между злоумышленниками и защитниками. Магическая высота на один фут выше другого. Принесет ли ИИ относительную безопасность злоумышленникам?
Безопасность ориентирована на людей
Люди привыкнут думать, что программное обеспечение — холодная, механическая и логичная вещь, и для повышения безопасности системы нужно только улучшить технологию анализа и уровень защиты системы. Однако людям не хватает размышлений о вопросах безопасности с точки зрения экономических стимулов и человеческой природы. В темном лесу открытого исходного кода нам нужна система распространения, которая больше соответствует предположениям рациональных людей. Позитивные и благоприятные экономические стимулы привлечь больше людей, готовых инвестировать в блокчейн на долгое время.Присоединяются люди, которые вносят свой вклад в безопасность системы.
Нынешняя традиционная структура рынка аудита безопасности стабильна, а репутация бренда является наиболее важным нематериальным активом компаний в этой области.Со временем влияние ведущих брендов безопасности и доверие клиентов неуклонно росли, но традиционные аудиты безопасности также имеют свои преимущества. собственные проблемы (бизнес-модель опирается исключительно на рабочую силу и ее трудно масштабировать, а ведущим компаниям необходимо сбалансировать рост и аудит качества. Некоторые компании столкнулись с таким узким местом и даже повлияли на стоимость бренда).
Конкурс аудита безопасности, проводимый сообществом, является инновационной бизнес-моделью.В настоящее время более 300 клиентов двух платформ постепенно нашли PMF, а платформа вознаграждений является хорошим дополнением к жизненному циклу безопасности.Хотя эти децентрализованные платформы все еще не нашли особенно эффективной модели токенов, но мы очень оптимистично смотрим на масштабный рост этого рынка в будущем (поскольку мудрость толпы очень подходит для наступательных и оборонительных сценариев игры на рынке безопасности).
Будут ли аудиторские платформы, управляемые сообществом, представлять угрозу для централизованных аудиторских фирм? Мы думаем, что у них будет здоровая взаимная конкуренция и взаимодополняющие отношения.В краткосрочной перспективе, когда такая платформа, как Code 4 rena, формирует определенный сетевой эффект и имеет хороший послужной список (доля взломанных проектов, прошедших аудит, невелика), она может действительно дают Некоторые централизованные компании в середине и в хвосте окажут определенное конкурентное давление, но в долгосрочной перспективе это может также вынудить централизованную аудиторскую платформу наладить коммерческое сотрудничество с платформой, управляемой сообществом, потому что это также может расширить клиентскую базу. централизованной платформы аудита безопасности и улучшить качество аудита (немного похоже на первоначальный проект по вознаграждению за безопасность, управляемый независимо крупной компанией web2, а затем сформировал логику сотрудничества со сторонними платформами, такими как HackerOne).
Хотя направление платформы безопасности, управляемой сообществом, должно быть больше ориентировано на DAO (Forta действительно может быть включена в эту категорию), в фактической работе текущего проекта все еще есть проблемы, такие как: как сделать рабочий процесс и процесс экономического распределения более прозрачен и открыт, как взвесить соображения конфиденциальности и безопасности со стороны проекта, как более четко определить взаимосвязь между командной работой и личным вкладом, как относительно справедливо и профессионально решать проблемы при возникновении конфликта интересов и т.д. Правильный вызов.
Ссылка:
《Ежегодник HackerOne》
«Награда за все — хакеры и создание глобального рынка ошибок»
«Эмпирическое исследование программ вознаграждения за уязвимость»
《Отчет о хакерах 2022 года》
《Производительность и модели активности в программах Bug Bounty》
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures: всесторонняя интерпретация рынка вознаграждений и аудита, управляемого сообществом.
Оригинальный автор: Рэй, IOSG Ventures
Предисловие
Как крупномасштабная компьютерная система, текущая системная сложность блокчейна намного превысила уровень 5-летней давности, степень модульности инфраструктуры стала более точной, логика смарт-контрактов прикладного уровня становится все более и более распространенной, и взаимодействие между контрактами происходит очень часто, что более важно, количество активов, управляемых системой блокчейна, уже очень велико, поэтому в последнее время в сообществе безопасности блокчейна было больше дискуссий о цикле безопасности (ситуация такая же, как и в 2017 году). , когда люди думают о безопасности, они думают только о разработчиках. Совсем другое дело написать контракт и передать его друзьям из Ethereum Foundation, чтобы они посмотрели и провели некоторые базовые тесты).
На протяжении всего жизненного цикла безопасности программ блокчейна (от тестирования, приглашения сторонних аудитов до пост-мониторинга событий, аудита обновлений) сообщество баг-баунти выступает как подушка безопасности, привлекающая белых шляп к блокчейну посредством теории игр и кластерной работы. Код проектной группы будет проверяться в последний раз, и некоторые специалисты по безопасности смарт-контрактов считают, что вознаграждение за обнаружение ошибок больше похоже на последнее лицо на линии защиты, но я думаю, что вознаграждение за обнаружение ошибок и конкурсы по аудиту могут играть более важную роль в будущем, выступая в качестве системы, работающей на протяжении всего жизненного цикла. Роль безопасности повышает общую безопасность системы.
Конечно, в области традиционной сетевой безопасности также существуют программы вознаграждения за обнаружение ошибок (Bug Bounty или Vulnerabilty Rewards). Во-вторых, сторонние платформы Bug bounty, представленные HackerOne и Bugcrowd, появились примерно с 2015 г. В настоящее время эти две ведущие охранные компании полагаются на распределение комиссий за вознаграждение в качестве основного дохода, и их годовой доход может достигать почти 50 млн долларов США и 20 млн долларов США соответственно. В мире блокчейна вознаграждение является более интересной темой, которая часто обсуждается в кругу специалистов по безопасности.Основная причина в том, что открытый исходный код блокчейна фактически удешевляет стоимость взлома и обновления стратегий атак.Кроме того, криптомир активно выступает за объединение экономик труда, творчества и собственности, открытых для моделей вклада, которые делают более открытую экономику «белой шляпы» еще более ценной.
Что такое баг-баунти и аудит-конкурсы, зачем они нужны?
Безопасность — это динамичная игра между злоумышленником и защитником, как сказал эксперт по компьютерной безопасности и криптограф Брюс Шнайер: «Безопасность — это процесс, а не продукт. "В мире блокчейна, темном лесу, где все коды открыты и прозрачны, проект блокчейна, который хочет выжить в течение длительного времени, должен иметь вечный спрос на безопасность своих продуктов/контрактов. меньше финансовых атрибутов.Самым важным активом в финансах является доверие, а доверие пользователя бывает только один раз.
В чем недостатки и проблемы традиционного аудита? Какие преимущества могут компенсировать эти проблемы организованные сообществом вознаграждения за обнаружение ошибок и конкурсы по аудиту?
Разработчики, пользующиеся услугами аудита, часто обнаруживают, что:
Насколько велик рынок?
Бизнес-модель баунти-платформ и аудиторских конкурсов обычно заключается в получении части вознаграждения, выплачиваемого клиентами, или общего бонусного пула, установленного в качестве платы за обслуживание платформы. Клиенты (участники проекта), которым требуется аудит безопасности кода, объявят о своих планах на баунти-платформе в соответствии со своими потребностями (какие коды необходимо проверить, как определить серьезность уязвимостей и сколько вознаграждения они готовы заплатить), и белые шляпы Уязвимости будут найдены в соответствии с потребностями стороны проекта.Как только белые шляпы найдут лазейки и удовлетворят потребности стороны проекта, вознаграждение будет распределено между белыми шляпами, и платформа вознаграждения будет привлечена комиссию с него как сервисный сбор.
В сфере традиционной сетевой безопасности Web2 платформа bug bounty также является относительно молодым направлением (появилась после 2012 года), и в настоящее время крупнейшими платформами bug bounty являются HackerOne и Bugcrowd. В 2022 году годовой доход HackerOne достигнет 58 миллионов долларов США, оценка компании достигнет около 500 миллионов долларов США, а совокупная сумма вознаграждения, выплаченная за всю историю, составит 230 миллионов долларов США (в 2021, 2022 годах будет выплачено 150 миллионов долларов США в виде вознаграждений). , и более 65 000 уязвимостей в программном обеспечении, имеет более 1 миллиона зарегистрированных хакеров и более 1000 клиентов, которые ежемесячно пользуются услугами HackerOne. Ожидается, что его конкурент, Bugcrowd, заработает более 20 миллионов долларов в 2022 году.
Что касается безопасности Web3, то в 2022 году все платформы для поиска ошибок и аудита Web3 выдадут в общей сложности 50 миллионов долларов США в виде вознаграждений хакерам в белой шляпе, а средний уровень оплаты таких платформ составляет от 10% до 30%. так что это консервативная оценка. Текущий размер рынка составляет около 5–15 миллионов долларов, и это все еще очень развивающийся рынок.
Еще одна интересная вещь заключается в том, что все больше и больше клиентов хотят напрямую использовать услуги аудита кода, предоставляемые децентрализованным сообществом безопасности.Вместо этого сторонняя аудиторская компания выбрала Code 4 Rena, крупнейшую в настоящее время платформу для соревнований по децентрализованному аудиту, и создала призовой фонд в размере 1 млн. долл. США.Сегодня традиционный рынок аудита безопасности становится все более вовлеченным (объем человеческих ресурсов, объем технических средств, объем рынка BD), будут ли децентрализованные службы безопасности важным ростом на этом рынке? (В настоящее время на рынке присутствует 56 аудиторских компаний, а выручка ведущих компаний за прошлый год составила от 10 до 40 миллионов долларов США. Думаю, на рынке децентрализованной безопасности есть простор для воображения).
Платформы Bug Bounty и платформы для проведения аудита
Несмотря на то, что платформа Bug Bounty имеет десятилетнюю историю разработки в web2, платформа для аудита — это новинка в родном web3. Объектом аудиторской службы конкурса являются те участники проекта, которые собираются запустить продукты или некоторые новые функции и используют возможности децентрализованного сообщества, чтобы помочь им выполнить аудиторскую услугу в течение определенного времени (более 2 недель). В перспективе аудиторская конкуренция не принесет угрозы малому бизнесу для традиционных аудиторских компаний.
Ниже я покажу различия между двумя платформами с точки зрения методов участия, структуры вознаграждения и охвата тестами:
способ участия
Платформы Bug Bounty, такие как Immunefi, обычно представляют собой открытые проекты, в которых каждый может принять участие в любое время. Участники обычно самостоятельно изучают уязвимости и сообщают об уязвимостях в обмен на вознаграждение. Если два человека обнаруживают одну и ту же повторяющуюся уязвимость, будет применяться принцип «первым пришел — первым обслужен», и тот, кто первым отправит отчет, получит вознаграждение первым.
Платформы для проведения аудиторских соревнований по инициативе сообщества (например, Code 4 rena, Sherlock) часто ограничены по времени и соревнуются с участниками в поиске уязвимостей и сообщении об уязвимостях в течение определенного периода времени. По сравнению с платформой Bounty, здесь будет некоторая командная работа (например, в каждом проекте будет четкое назначение ведущего старшего аудитора и ведущего судьи, и, наконец, будут рассмотрены и обобщены все результаты аудита в аудиторском отчете для заказчика, и эти два руководителя также придерживайтесь принципа децентрализации общинных выборов и конкурсов). Кроме того, если два конкурента по аудиту найдут повторяющиеся лазейки в течение указанного времени, они оба могут получить вознаграждение.
структура вознаграждения
Фактические вознаграждения, выдаваемые обоими, в основном будут учитывать серьезность обнаруженной уязвимости.
Единственная разница заключается в том, что платформа для соревнований по аудиту, управляемая сообществом, такая как Code 4 Rena, будет иметь фиксированную долю (5% ~ 10%) призового фонда для каждого проекта, выделенного ведущему старшему аудитору и ведущему судье, потому что они фактически проводят традиционный аудит. проекты компании Роль ответственного лица.
Еще один интересный момент заключается в том, что проектная группа на платформе Bug Bounty иногда размещает токены проекта в качестве вознаграждения, но я также видел, что некоторые белые хакеры в сообществе предпочитают получать стабильные монеты, такие как USDC и USDT, вместо колебаний цен.Токены проекта.
охват и направленность
Проекты платформы Bug Bounty обычно имеют широкий охват, в то время как проекты аудиторских конкурсов обычно имеют более сфокусированный охват, нацеленный на конкретную функцию или аспект программного обеспечения, при этом требуя, чтобы белые шляпы сосредоточились на выполнении работы за более короткий период времени.
Проекты, посвященные аудиторским конкурсам
Code 4 Rena — киберспортивная платформа для соревнований по аудиту, управляемая сообществом.
Code 4 Rena имеет три типа персонажей:
Аудиторы (надзиратели) проверяют кодекс. Любой желающий, от профессионального инженера по безопасности до начинающего разработчика, стремящегося получить больше опыта, может зарегистрироваться в качестве аудитора для участия в публичном конкурсе по аудиту.
Судьи обычно являются лучшими инженерами в сообществе C4. Они определяют серьезность, эффективность и качество уязвимостей и оценивают эффективность аудита.
Спонсорами являются участники проекта, такие как Opensea, Blur, ENS, Chainlink и т. д. Они создают бонусные пулы для привлечения аудиторов для проверки кода их проектов. Спонсоры также имеют возможность проводить частные соревнования только по приглашению для дополнительной конфиденциальности.
Одним из самых интересных моментов является культура, которую строит Code 4 Rena: приветствуется сотрудничество и командная работа. В отличие от традиционных программ вознаграждения за обнаружение ошибок, Code 4 Rena платит всем аудиторам, которые сообщают о действительной уязвимости, даже если о ней уже сообщалось. Это поощряет здоровую конкуренцию среди аудиторов, поскольку они заинтересованы в поиске наиболее серьезных и распространенных уязвимостей. На этой платформе некоторые аудиторы будут формировать временные команды, чтобы вместе находить лазейки.
Бизнес модель:
Любой проект может обратиться в Code 4 rena, чтобы начать конкурсную программу аудита и предоставить USDC или ETH для создания базового призового фонда (обычно размер призового фонда составляет $40 000 ~ $100 000), Code 4 rena взимает 20% от базового призовой фонд как платформа Доход от услуг по организации конкурсов, предоставлению обзоров и сортировке отчетов о результатах аудита. Участник проекта также может предоставить токены проекта в дополнение к основному призовому фонду для создания дополнительного призового фонда, и Code 4 rena будет взимать 40% от этого дополнительного призового фонда.
Sherlock — Аудит, управляемый сообществом, со страхованием смарт-контрактов
Подобно Code 4 rena, у Sherlock также есть такие роли, как аудиторы, спонсоры и судьи.Уникальность Sherlock заключается в страховых услугах, предоставляемых платформой. Любой может инвестировать в страховой пул на платформе Sherlock.Инвесторы вносят USDC в страховой пул, а клиенты могут приобретать услуги для хеджирования риска взлома смарт-контрактов. Источники дохода для страховых инвесторов включают в себя: премии, выплачиваемые клиентами по соглашению + проценты, полученные от размещения средств страхового пула в других пулах DeFi (Aave, Compound и т. д.) + поощрения токенами Sherlock. Но инвестор несет риск погашения политики, пожиная плоды.
Еще одним моментом, который отличается от Code 4 rena, является механизм распределения доходов от аудиторских услуг, предоставляемых платформой. По сравнению с Code 4 rena, у Sherlock есть правила, которые позволяют главному старшему аудитору безопасности и главному судье получать фиксированную сумму (5% ~ 10%) из бонусного фонда, чтобы должным образом компенсировать и мотивировать старшего аудитора, работающего полный рабочий день. Кроме того, существуют системы отбора и конкурса на избрание руководящих должностей.
Как создать хакерское сообщество? Что больше всего беспокоит белых шляп Web3?
После того, как мы понаблюдали за различными децентрализованными сообществами безопасности (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock и т. д.) и пообщались с некоторыми предпринимателями в области безопасности, мы пришли к выводу, что все децентрализованные платформы стремятся сделать следующее: создать более здоровую и эффективную Платформа для общения и совместной работы.Платформа Bounty похожа на торговую площадку между хакерами и проектами.Они должны не только рассматривать свои потребности с точки зрения хакеров (как показано в таблице ниже), но и учитывать наилучшие проблемы (качество аудита).
Источник: «Взгляды охотников за ошибками на проблемы и преимущества эко-баг-баунти».
В дополнение к некоторым общим потребностям, я также увидел несколько интересных тем в сообществе белых шляп Immunefi (самое живое сообщество белых шляп, которое я когда-либо видел).
например:
Белая шляпа по имени Раппи хочет раскрыть некоторые лазейки проекта, которые он обнаружил ранее, и спрашивает, какие правила сообщества необходимо соблюдать. (1. Сообщайте только об исправленных ошибках. 2. Убедитесь, что любая общедоступная информация не оказывает негативного влияния на протокол или его пользователей. Храните конфиденциальную информацию, например: после того, как они исправят вашу уязвимость SQL-инъекций, не разглашайте полная база данных 3. Убедитесь, что вам нужно отправить личное сообщение команде проекта, прежде чем сделать его публичным).
Белая шляпа по имени Ноам Яков поставил под сомнение определение баунти-проекта (такое часто случается, потому что обычно вознаграждение можно получить только за серьезные уязвимости в системе безопасности. Как проект определяет уровень безопасности уязвимости? Что-то, что глубоко волнует белых шляп, и сообщество много слышит о таких спорах). В баунти-проекте Uniwhales у него были сомнения относительно их определения воздействия MEV как серьезной уязвимости безопасности.В конце концов все обсуждали, что этот тип описания не применим ко всем ситуациям MEV.Например, для некоторых токсичных потоков заказов пул протоколов может Ситуация с утечкой активов, безусловно, является серьезным инцидентом безопасности (поэтому часто недостаточно определить набор рамок уровня безопасности, и обычно требуется аналогичная роль арбитра в платформе для вмешательства в различных реальных случаях).
И на очень интересную тему «Каковы ваши требования и ожидания от баунти-платформы, такой как Immunefi?» Белая шляпа по имени ckksec дал свой ответ: 1) Помогите им получать доход от анонимных зашифрованных белых шляп Сделайте некоторые юридические разъяснения, такие как выставление счетов. 2) Платформа должна иметь систему оценки не только белых шляп, но и оценки качества проекта, потому что белым шляпам часто нужно тратить время на определение качества проекта. 3) Для белых шляп, которые хотят открыть свой профиль, платформа может показать их рабочий процесс, в то же время для платформы лучше более прозрачно отображать информацию отчета об анализе безопасности, полученную участником проекта.
Какие инструменты могут помочь белым шляпам?
С огнем LLM GPT я недавно слышал, как люди часто обсуждают, можно ли также заменить аудиты безопасности искусственным интеллектом. Опытные специалисты по безопасности, с которыми я разговаривал, обычно считают, что GPT трудно напрямую заменить человеческий интеллект.Некоторые легко висящие плоды (проблемы, которые легко найти) могут быть обнаружены с помощью языковых моделей, но для решения проблем со средним и высоким риском по-прежнему требуются специалисты. участие. Например, по отзыву старшего эксперта по безопасности, для аналогичного анализа данных и динамического анализа эти более сложные тесты необходимо искусственно совмещать с реальной бизнес-логикой протокола, чтобы заранее провести тесты анализа безопасности и определить ожидаемую цель. атрибуты теста заранее.Самое сложное - написать хорошие свойства и определить правильное тестовое поле. Согласно их экспериментам с ТШП, они считают, что ТШП не может полностью заменить человека на данном этапе.
Конечно, в настоящее время есть более оптимистичные результаты, показывающие, что LLM может значительно повысить эффективность анализа инструментов анализа безопасности и снизить уровень ложных срабатываний.
Давайте подумаем об этой теме с другой интересной нетехнической точки зрения. Это динамичная игра между злоумышленниками и защитниками. Магическая высота на один фут выше другого. Принесет ли ИИ относительную безопасность злоумышленникам?
Безопасность ориентирована на людей
Люди привыкнут думать, что программное обеспечение — холодная, механическая и логичная вещь, и для повышения безопасности системы нужно только улучшить технологию анализа и уровень защиты системы. Однако людям не хватает размышлений о вопросах безопасности с точки зрения экономических стимулов и человеческой природы. В темном лесу открытого исходного кода нам нужна система распространения, которая больше соответствует предположениям рациональных людей. Позитивные и благоприятные экономические стимулы привлечь больше людей, готовых инвестировать в блокчейн на долгое время.Присоединяются люди, которые вносят свой вклад в безопасность системы.
Нынешняя традиционная структура рынка аудита безопасности стабильна, а репутация бренда является наиболее важным нематериальным активом компаний в этой области.Со временем влияние ведущих брендов безопасности и доверие клиентов неуклонно росли, но традиционные аудиты безопасности также имеют свои преимущества. собственные проблемы (бизнес-модель опирается исключительно на рабочую силу и ее трудно масштабировать, а ведущим компаниям необходимо сбалансировать рост и аудит качества. Некоторые компании столкнулись с таким узким местом и даже повлияли на стоимость бренда).
Конкурс аудита безопасности, проводимый сообществом, является инновационной бизнес-моделью.В настоящее время более 300 клиентов двух платформ постепенно нашли PMF, а платформа вознаграждений является хорошим дополнением к жизненному циклу безопасности.Хотя эти децентрализованные платформы все еще не нашли особенно эффективной модели токенов, но мы очень оптимистично смотрим на масштабный рост этого рынка в будущем (поскольку мудрость толпы очень подходит для наступательных и оборонительных сценариев игры на рынке безопасности).
Будут ли аудиторские платформы, управляемые сообществом, представлять угрозу для централизованных аудиторских фирм? Мы думаем, что у них будет здоровая взаимная конкуренция и взаимодополняющие отношения.В краткосрочной перспективе, когда такая платформа, как Code 4 rena, формирует определенный сетевой эффект и имеет хороший послужной список (доля взломанных проектов, прошедших аудит, невелика), она может действительно дают Некоторые централизованные компании в середине и в хвосте окажут определенное конкурентное давление, но в долгосрочной перспективе это может также вынудить централизованную аудиторскую платформу наладить коммерческое сотрудничество с платформой, управляемой сообществом, потому что это также может расширить клиентскую базу. централизованной платформы аудита безопасности и улучшить качество аудита (немного похоже на первоначальный проект по вознаграждению за безопасность, управляемый независимо крупной компанией web2, а затем сформировал логику сотрудничества со сторонними платформами, такими как HackerOne).
Хотя направление платформы безопасности, управляемой сообществом, должно быть больше ориентировано на DAO (Forta действительно может быть включена в эту категорию), в фактической работе текущего проекта все еще есть проблемы, такие как: как сделать рабочий процесс и процесс экономического распределения более прозрачен и открыт, как взвесить соображения конфиденциальности и безопасности со стороны проекта, как более четко определить взаимосвязь между командной работой и личным вкладом, как относительно справедливо и профессионально решать проблемы при возникновении конфликта интересов и т.д. Правильный вызов.
Ссылка: