Büyük ölçekli bir bilgisayar sistemi olarak, blok zincirinin mevcut sistem karmaşıklığı 5 yıl önceki seviyeyi çok aştı, altyapı modülerleştirme derecesi daha rafine edildi, uygulama katmanındaki akıllı sözleşmelerin mantığı giderek daha bol hale geliyor ve sözleşmeler arasındaki etkileşim çok sık, daha da önemlisi, blockchain sistemi tarafından yönetilen varlıkların sayısı zaten çok fazla, bu nedenle son zamanlarda blockchain güvenlik topluluğunda güvenlik döngüsü hakkında daha fazla tartışma var (durum 2017'dekiyle aynı) , insanlar güvenlikten bahsettiğinde, sadece geliştiricileri düşünürler. Sözleşmeyi yazıp Ethereum Vakfı'nın arkadaşlarına bir göz atmak ve bazı temel testler yapmak için atmak çok farklıdır).
Blockchain programlarının güvenlik yaşam döngüsü boyunca (testten, üçüncü taraf denetimlerini davet etmekten olay sonrası izlemeye, güncelleme denetimlerine kadar), bug bounty topluluğu, oyun teorisi ve küme çalışması yoluyla beyaz şapkaları çekmek için bir güvenlik yastığı gibidir. proje tarafının kodunun gözden geçirilmesi ve bazı akıllı sözleşmeli güvenlik çalışanları, böcek ödülünün savunma hattındaki son adam gibi olduğunu düşünüyor, ancak böcek ödülü ve denetim rekabetinin daha büyük bir rol oynama potansiyeline sahip olduğunu düşünüyorum. Tüm güvenlik yaşam döngüsü boyunca roller, sistemin güvenliğini bir bütün olarak geliştirir. **
Elbette geleneksel ağ güvenliği alanında bug bounty programları da (Bug Bounty veya Vulnerabilty Rewards) var.Öncelikle Facebook, Google, Microsoft gibi büyük teknoloji şirketleri kendi kurum içi güvenlik ekipleri için bounty programları devreye alacak ve İkincisi, HackerOne ve Bugcrowd tarafından temsil edilen Bug bounty üçüncü taraf platformları 2015'ten beri ortaya çıkıyor. sırasıyla dolar ve 20 milyon ABD doları. Blockchain dünyasında ödül, güvenlik çemberinde sıklıkla tartışılan daha ilginç bir konudur.Bunun başlıca nedeni, blockchain kodunun açık kaynağının aslında hackleme ve saldırı stratejilerini geliştirme maliyetini daha ucuz hale getirmesidir.Ayrıca, kripto dünyası savunucuları İş, Yaratıcı ve Mülkiyet Ekonomilerinin kümelenmesi, daha açık bir beyaz şapka ekonomisini daha da değerli kılan katkı modellerine açıktır.
**Hata ödülleri ve denetim yarışmaları nedir? Onlara neden ihtiyacımız var? **
Tıpkı bilgisayar güvenliği uzmanı ve kriptograf Bruce Schneier'in dediği gibi güvenlik, saldırgan ile savunan arasındaki dinamik bir oyundur, "Güvenlik bir süreçtir, bir ürün değil. Yazılım geliştirme sürecinden her yönüyle geçmesi gereken bir düşünce biçimidir. .” Blockchain dünyasında, tüm kodların açık kaynaklı ve şeffaf olduğu karanlık bir ormanda, uzun süre hayatta kalmak isteyen bir blockchain projesi, ürünlerinin/sözleşmelerinin güvenliği için sonsuz ihtiyaçlara sahip olmalıdır. finansal özellikler Finanstaki en önemli varlık güvendir ve kullanıcının güveni yalnızca bir kezdir.
Geleneksel denetimin eksiklikleri ve sorunları nerede? Topluluk odaklı böcek ödülleri ve denetim yarışmalarının bu sorunları telafi etmesi için ne gibi avantajları olabilir?
Denetim hizmetlerini kullanan geliştiriciler genellikle şunları bulur:
Üçüncü taraf bir denetim firmasının hizmetlerini satın aldıktan sonra bile, denetimden sonra kodla ilgili sorunlar devam etmektedir.Bu sorunların nedenleri farklı olsa da (teknik ve teknik olmayan), güvenmek tamamen güvenilir görünmemektedir. Ancak, kod denetiminin kalitesi yine de denetçilerin seviyesine bağlıdır ve müşteriler genellikle "kimin daha iyi" olduğunu ayırt etme yeteneğinden yoksundur.
Ödül platformu ve denetim yarışması daha açık bir "korumalı alan"dır ve proje kodu, herhangi bir arka plan kısıtlaması olmaksızın beyaz şapkalar tarafından istenildiği zaman incelenebilir (profesyonel denetim şirketlerinden personel olabilir ve serbest çalışan güvenlik analistleri olabilir) , cephanelik sınırsızdır ve müşterilerin tek yapması gereken, beyaz şapka bir sorun bulduğunda makul bir ödül belirlemek ve katkılarını ödemektir.
Genellikle müşteriler önce beyaz şapka tarafından incelenmesi gereken kodlarını gönderir, güvenlik açığının güvenlik düzeyini tanımlar (genellikle olası ekonomik kayıpla ilgilidir, doğrudan ekonomik kayba neden olan güvenlik açığı ne kadar kolaysa, önem düzeyi o kadar yüksek olur) , ödül bütçesi, test kodu kapsamı ve hatta test adımları.
Pazar ne kadar büyük?
Ödül platformlarının ve denetim yarışmalarının iş modeli, genellikle müşteriler tarafından ödenen ödülün bir kısmını veya platformun hizmet bedeli olarak oluşturulan toplam bonus havuzundan çekmektir. Kod güvenliği denetimlerine ihtiyaç duyan müşteriler (proje tarafları), kendi ihtiyaçlarına göre (hangi kodların denetlenmesi gerektiği, güvenlik açıklarının ciddiyetinin nasıl tanımlanacağı ve ne kadar ödül ödemek istedikleri) planlarını bounty platformunda ilan edecekler. ve beyaz şapkalar Proje tarafının ihtiyacına göre zafiyetler bulunacaktır.Beyaz şapkalar tarafından boşluklar bulunup proje tarafının ihtiyaçlarını karşıladıktan sonra, ödül beyaz şapkalara dağıtılacak ve ödül platformu çekilecektir. hizmet bedeli olarak ondan bir komisyon.
Web2 geleneksel ağ güvenliği alanında, bug bounty platformu da nispeten genç bir yöndür (2012'den sonra ortaya çıkmıştır) ve şu anda en büyük bug bounty platformları HackerOne ve Bugcrowd'dur. 2022'de HackerOne'ın yıllık geliri 58 milyon ABD dolarına ulaşacak, şirketin değerlemesi yaklaşık 500 milyon ABD dolarına ulaşacak ve tarihte ödenen kümülatif ödül 230 milyon ABD doları olacak (2021 ve 2022 ödül olarak 150 milyon ABD doları ödeyecek) ve 65.000'den fazla yazılım keşfedilecek Güvenlik açıkları, 1 milyondan fazla kayıtlı bilgisayar korsanı ve her ay HackerOne hizmetlerini kullanan 1.000'den fazla müşteri. Rakibi Bugcrowd'un 2022'de 20 milyon dolardan fazla gelir elde etmesi bekleniyor.
Web3 güvenliği alanında, 2022 yılında tüm web3 bug ödül ve denetim rekabeti platformları, beyaz şapka korsanlarına toplam 50 milyon ABD doları ödül dağıtacak ve bu tür platformların ortalama ücret seviyesi %10 ila %30 civarında, bu nedenle ihtiyatlı bir şekilde tahmin ediliyor. Mevcut pazar büyüklüğü yaklaşık 5 milyon~15 milyon dolar ve hala çok gelişmekte olan bir pazar.
Bir başka ilginç şey de, giderek daha fazla müşterinin bu merkezi olmayan güvenlik topluluğu tarafından sağlanan kod denetim hizmetlerini doğrudan kullanmaya istekli olmasıdır.En ünlü örnek, Opensea'nın yeni platformu Seaport'u piyasaya sürmeden önce ikinci kademe denetim hizmetini doğrudan bulamamış olmasıdır. üç taraf denetim şirketi, şu anda en büyük merkezi olmayan denetim rekabeti platformu olan Code4Rena'yı seçti ve 1 milyon ABD Doları'lık bir ödül havuzu oluşturdu. BD ), merkezi olmayan güvenlik hizmetleri bu pazarda önemli bir büyüme olacak mı? (Şu anda piyasada 56 denetim şirketi var ve önde gelen şirketlerin geçen yılki geliri 10 milyon ila 40 milyon ABD doları arasındaydı. Merkezi olmayan güvenlik pazarında hayal gücüne çok yer olduğunu düşünüyorum).
Bug Bounty Platformu ve Denetim Yarışması Platformu
bug bounty platformunun web2'de on yıllık bir geliştirme geçmişi olmasına rağmen, denetim rekabeti platformu web3 native'de yeni bir şeydir. Denetim rekabeti hizmetinin amacı, ürünleri veya bazı yeni işlevleri piyasaya sürmek üzere olan ve denetim hizmetini belirli bir süre içinde (2 haftadan fazla) tamamlamalarına yardımcı olmak için merkezi olmayan topluluğun gücünü kullanan proje taraflarıdır. bakış açısından, denetim rekabeti geleneksel denetim şirketlerine küçük işletme tehdidi getirmeyecektir.
Aşağıda katılım yöntemleri, ödül yapısı ve test kapsamı açısından iki platform arasındaki farkları göstereceğim:
katılım yolu
Immunefi gibi hata ödül platformları genellikle herkesin her an katılabileceği açık projelerdir. Katılımcılar genellikle ödüller karşılığında güvenlik açıklarını bağımsız olarak keşfeder ve bildirir. İki kişi aynı tekrarlanan güvenlik açığını bulursa, önce gelen alır ilkesi izlenecek ve raporu ilk gönderen ödülü ilk alacak.
Topluluk odaklı denetim rekabeti platformları (örn. Code4rena, Sherlock) genellikle zaman sınırlıdır ve belirli bir zaman çerçevesi içinde güvenlik açıklarını bulup raporlamak için katılımcılarla rekabet eder. Bounty platformuyla karşılaştırıldığında, biraz ekip çalışması olacaktır (örneğin, her projede Baş Kıdemli Denetçi ve Baş Hakem açık bir şekilde atanacak ve son olarak tüm denetim sonuçlarını gözden geçirip müşteriye ve bu iki lidere bir denetim raporu halinde özetleyecektir) ayrıca topluluk seçimlerinin ve yarışmalarının ademi merkeziyetçiliği ilkesini de takip edin). Ayrıca, iki denetim yarışmacısı belirtilen süre içinde tekrarlanan boşluklar bulursa, her ikisi de ödül alabilir.
Ödül Yapısı
Her ikisi tarafından verilen gerçek ödüller, esas olarak keşfedilen güvenlik açığının ciddiyetini dikkate alacaktır.
Tek fark, Code4Rena gibi topluluk odaklı bir denetim rekabeti platformunun, aslında proje rolünü üstlendikleri için Baş Kıdemli Denetçiye ve Baş Hakeme tahsis edilen her proje için bonus havuzunun sabit bir kısmına (%5~%10) sahip olacak olmasıdır. geleneksel denetim şirketlerinin liderleri.
Bir başka ilginç nokta da, bug bounty platformundaki proje tarafının bazen proje tokenlerini ödül olarak vermesi, ancak topluluktaki bazı beyaz şapkalı bilgisayar korsanlarının fiyat dalgalanmaları Proje tokenleri yerine USDC, USDT stabil koinleri almayı tercih ettiğini de görüyorum.
Kapsam ve Odak
Bug bounty platformu projeleri genellikle geniş bir kapsama sahipken, denetim yarışmalarıyla ilgili projeler genellikle daha odaklı bir kapsama sahiptir, yazılımın belirli bir işlevini veya yönünü hedeflerken beyaz şapkalıların işi daha kısa sürede tamamlamaya odaklanmalarını gerektirir.
Yarışmaları denetlemeye odaklanan projeler
Code4Rena - E-spor benzeri, topluluk odaklı bir denetim rekabeti platformu
Code4Rena'nın üç karakter türü vardır:
1 Denetçi (Bekçiler) inceleme kodu. Profesyonel bir güvenlik mühendisinden daha fazla deneyim kazanmaya çalışan acemi bir geliştiriciye kadar herkes, kamu denetimi yarışmasına katılmak için denetçi olarak kayıt yaptırabilir.
2 Yargıçlar (Yargıçlar) genellikle C4 topluluğundaki en iyi mühendislerdir. Güvenlik açıklarının ciddiyetini, etkinliğini ve kalitesini belirler ve denetim performansını değerlendirirler.
3 Sponsorlar (Sponsorlar), Opensea, Blur, ENS, Chainlink vb. gibi proje taraflarıdır. Projelerinin kodunu denetlemek üzere denetçileri çekmek için bonus havuzları oluştururlar. Sponsorlar ayrıca daha fazla mahremiyet için özel, yalnızca davetli yarışmalara ev sahipliği yapma seçeneğine sahiptir.
En ilginç noktalardan biri de Code4Rena'nın inşa ettiği kültür: işbirliği ve ekip çalışması teşvik ediliyor. Geleneksel hata ödül programlarından farklı olarak Code4Rena, güvenlik açığı zaten rapor edilmiş olsa bile geçerli bir güvenlik açığı bildiren tüm denetçilere ödeme yapar. Bu, yüksek öneme sahip ve yaygın güvenlik açıklarını bulmaya motive oldukları için denetçiler arasında sağlıklı rekabeti teşvik eder. Bu platformda, bazı denetçiler boşlukları birlikte bulmak için geçici ekipler oluşturacak.
iş modeli:
Herhangi bir proje, bir denetim yarışması programı başlatmak için Code4rena'ya gidebilir ve temel bir ödül havuzu oluşturmak için USDC veya ETH sağlayabilir (genellikle ödül havuzunun boyutu 40.000$ ~ 100.000$'dır) ve Code4rena, temel ödül havuzundan %20 ücret alacaktır. yarışmalar düzenlemek, incelemeler sağlamak ve denetim çıktılarını düzenlemek için bir platform Sonuçları raporlamak için hizmet geliri. Proje tarafı ayrıca ek bir ödül havuzu oluşturmak için temel ödül havuzunun üzerinde proje belirteçleri sağlayabilir ve Code4rena bu ek ödül havuzunun %40'ını tahsil edecektir.
Sherlock - Akıllı sözleşme sigortasıyla topluluk güdümlü denetim
Code4rena'ya benzer şekilde Sherlock'un da denetçi, sponsor ve jüri gibi rolleri vardır.Sherlock'un benzersizliği, platformun sağladığı sigorta hizmetlerinde yatmaktadır. Sherlock platformundaki sigorta havuzuna herkes yatırım yapabilir.Yatırımcılar sigorta havuzuna USDC yatırır ve sözleşme müşterileri, akıllı sözleşmelerin saldırıya uğrama riskinden korunmak için hizmetler satın alabilir. Sigorta yatırımcılarının gelir kaynakları şunları içerir: sözleşmeli müşteriler tarafından ödenen primler + sigorta havuzu fonlarını diğer DeFi havuzlarına (Aave, Compound vb.) yatırarak kazanılan faiz + Sherlock token teşvikleri. Ancak yatırımcı, faydalardan yararlanırken politikayı geri ödeme riskini taşır.
Code4rena'dan farklı olan bir diğer nokta ise platformun sağladığı denetim hizmeti gelirlerinin dağıtım mekanizmasıdır. Code4rena ile karşılaştırıldığında Sherlock'un, kıdemli güvenlik denetçisi ve baş yargıcın tam zamanlı kıdemli denetçileri uygun şekilde ödüllendirmek ve motive etmek için ikramiye havuzundan sabit bir miktar (%5~%10) almasına izin veren kuralları vardır. Ek olarak, liderlik rollerinin seçimi için seçim ve rekabet sistemleri vardır.
**Bir bilgisayar korsanı topluluğu nasıl oluşturulur? Web3 beyaz şapkalarının en büyük endişesi nedir? **
Farklı merkezi olmayan güvenlik topluluklarını (ImmuneFi, Hats Finance, Code4Rena, Sherlock, vb.) gözlemledikten ve bazı güvenlik girişimcileriyle sohbet ettikten sonra, tüm merkezi olmayan platformların yapmaya adadığı şeyin daha sağlıklı, verimli bir iletişim ve işbirliği platformu oluşturmak olduğunu düşündük. Bounty platformu, Hacker'lar ve projeler arasında bir pazar yeri gibidir, ihtiyaçlarını hacker'ların bakış açısıyla ele almaları gerekir (aşağıdaki tabloda gösterildiği gibi) ve aynı zamanda proje tarafının proje perspektifinden en çok neyi önemsediğini de düşünmelidirler. (Denetim Kalitesi).
Bazı ortak ihtiyaçlara ek olarak, Immunefi beyaz şapka topluluğunda (gördüğüm en canlı beyaz şapka discord topluluğu) bazı ilginç konular da gördüm.
Örneğin:
Daha önce keşfettiği bazı proje boşluklarını ifşa etmek isteyen ve hangi topluluk kurallarına uyulması gerektiğini soran Rappie adında beyaz bir şapka var. (1. Yalnızca düzeltilen hataları yayınlayın. 2. Herkese açık bilgilerin protokol veya kullanıcıları üzerinde olumsuz bir etkisi olmadığından emin olun. Gizli bilgileri, örneğin SQL enjeksiyon güvenlik açığınızı giderdikten sonra saklayın, tam bilgileri hakkında bilgi yayınlamayın 3. Herkese açık hale getirmeden önce proje ekibine özel bir mesaj göndermeniz gerektiğinden emin olun).
Noam Yakov adlı bir beyaz şapka, bir ödül projesinin tanımı hakkında şüphelere sahiptir (bu genellikle olur, çünkü genellikle yalnızca ciddi güvenlik açıkları ödüllendirilebilir. Proje, güvenlik açığının güvenlik seviyesini nasıl tanımlar? Beyaz şapkalıların derinden önemsediği bir şey) ve topluluk bu tür anlaşmazlıkları çok duyuyor). Uniwhales ödül projesinde, MEV etkisini ciddi bir güvenlik açığı olarak tanımladıkları konusunda şüpheleri vardı. Sonunda herkes bu tür açıklamaların tüm MEV durumları için geçerli olmadığını tartıştı. Örneğin, bazı toksik sipariş akışları için, protokol havuzu Varlık boşaltma durumu kesinlikle ciddi bir güvenlik olayıdır (bu nedenle bir dizi güvenlik seviyesi çerçevesi tanımlamak genellikle yeterli değildir ve genellikle gerçek farklı durumlarda platformda benzer hakem rollerinin dahil edilmesini gerektirir).
Ve çok ilginç bir konu olan "Immunefi gibi bir bounty platformu için talep ve beklentileriniz nelerdir?" diyen ckksec isimli beyaz bir şapkalı cevap verdi: 1) Bu anonim şifreleme beyaz şapkalarının emek gelirlerini elde etmelerine yardımcı olun Faturalandırma gibi bazı yasal açıklamalar yapın. 2) Platform sadece beyaz şapkalar için bir puanlama sistemine sahip olmamalı, aynı zamanda projenin kalitesini de puanlamalıdır çünkü beyaz şapkalılar genellikle projenin kalitesini ayırt etmek için zaman harcamak zorundadır. 3) Profillerini açmak isteyen beyaz şapkalılar için platform iş akışlarını gösterebilir.Aynı zamanda proje tarafı tarafından alınan güvenlik analiz raporu bilgilerini platformun daha şeffaf bir şekilde göstermesi daha iyidir.
Beyaz şapkalara hangi araçlar yardımcı olabilir?
LLM'ler GPT'nin ateşlenmesiyle, son zamanlarda insanların güvenlik denetimlerinin de AI tarafından değiştirilip değiştirilemeyeceğini sık sık tartıştıklarını duydum. Konuştuğum deneyimli güvenlik pratisyenleri genellikle GPT'nin doğrudan insan bilgeliğinin yerini almasının zor olduğuna inanıyor. Bazı düşük asılı meyveler (bulması kolay sorunlar) dil modelleri tarafından tespit edilebilir, ancak orta ve yüksek risk içeren bu sorunlar yine de uzman gerektirir katılım. Örneğin, kıdemli bir güvenlik uzmanının geri bildirimine göre, benzer veri analizi ve dinamik analiz için, güvenlik analizi testlerini önceden yapmak ve beklenen hedefi tanımlamak için bu daha karmaşık testlerin protokolün gerçek iş mantığıyla yapay olarak birleştirilmesi gerekir. testin özniteliklerini önceden belirleyin.En zor kısım, iyi bir özellik yazmak ve doğru test alanını tanımlamaktır. GPT üzerinde yaptıkları deneylere göre, GPT'nin bu aşamada tamamen insanların yerini alamayacağına inanıyorlar.
Elbette, şu anda LLM'nin güvenlik analizi araçlarının analiz verimliliğini büyük ölçüde artırabileceğini ve yanlış pozitif oranını azaltabileceğini gösteren daha iyimser sonuçlar var:
Bu konuyu teknik olmayan başka ilginç bir bakış açısıyla düşünelim. Bu, güvenlik saldırganları ve savunucuları arasında dinamik bir oyundur. Sihir yüksekliği bir ayak diğerinden yüksektir. Yapay zeka, güvenlik saldırganlarına güvenlik zorlukları getirecek mi? yardım?
Güvenlik insan odaklıdır
İnsanlar, yazılımın soğuk, mekanik ve mantıklı bir şey olduğunu ve sistem güvenliğini geliştirmenin yalnızca analiz teknolojisini ve sistem savunma seviyesini iyileştirmeye ihtiyacı olduğunu alışkanlıkla düşünecekler. Bununla birlikte, insanlar güvenlik konularını ekonomik teşvikler ve insan doğası açısından düşünmekten yoksundur.Açık kaynak kodunun karanlık ormanında, rasyonel insanların varsayımlarına daha uygun bir dağıtım sistemine ihtiyacımız var.Olumlu ve iyi huylu ekonomik teşvikler blok zincirine uzun süre yatırım yapmak isteyen daha fazla insanı çekmek Sistem güvenliğine bilgelik katan insanlar katılır.
Mevcut geleneksel güvenlik denetimi pazar yapısı istikrarlıdır ve marka itibarı bu alandaki şirketlerin en önemli maddi olmayan varlığıdır.Zamanla, en iyi güvenlik markalarının etkisi ve müşterilerin güveni istikrarlı bir şekilde arttı, ancak geleneksel güvenlik denetimleri de kendi kendi sorunları (iş modeli sadece insan gücüne dayanır ve ölçek olarak büyümek zordur ve lider şirketlerin büyüme ile denetim kalitesini dengelemesi gerekir. Bazı şirketler böyle bir darboğazla karşılaştı ve hatta markanın değerini etkiledi).
**Topluluk odaklı güvenlik denetimi yarışması yenilikçi bir iş modelidir. **Şu anda iki platformun müşteri sayısı 300'ü aştı ve kademeli olarak PMF'yi buldu. *Bounty platformu, güvenlik yaşam döngüsüne iyi bir tamamlayıcıdır. * Bu merkezi olmayan platformlar henüz özellikle etkili bir belirteç modeli bulamamış olsalar da, bu pazarın gelecekte büyük ölçekli büyümesi konusunda çok iyimseriz (çünkü kalabalığın bilgeliği, saldırı ve savunma oyun senaryoları için çok uygundur. güvenlik pazarı).
** Topluluk odaklı denetim platformları, merkezi denetim şirketleri için bir tehdit oluşturacak mı? İyi huylu bir karşılıklı rekabete ve tamamlayıcı bir ilişkiye sahip olacaklarını düşünüyoruz. Kısa vadede, Code4rena gibi bir platform belirli bir ağ etkisi oluşturduğunda ve iyi bir sicile sahip olduğunda (denetlenen projelerin hacklenme oranı düşüktür), Orta ve kuyruktaki bazı merkezi şirketler belirli bir rekabet baskısı getirecektir, ancak uzun vadede bu aynı zamanda merkezi denetim platformunu topluluk odaklı platformla bir miktar ticari işbirliği oluşturmaya zorlayabilir çünkü bu aynı zamanda müşterilerini de genişletebilir. merkezi güvenlik denetim platformu Grup ve denetim kalitesini artırın (büyük bir web2 şirketi tarafından bağımsız olarak yürütülen ve daha sonra HackerOne gibi üçüncü taraf platformlarla bir işbirliği mantığı oluşturan orijinal güvenlik ödül projesi gibi).
Topluluk odaklı güvenlik platformunun yönü daha DAO odaklı olmak olsa da (Forta aslında bu kategoriye dahil edilebilir), mevcut projenin fiili işleyişinde hala şu gibi sorunlar var: iş akışının nasıl yapılacağı ve ekonomik dağıtım süreci daha şeffaf ve açık , Proje tarafının mahremiyet ve güvenlik hususları nasıl tartılır, ekip çalışması ile kişisel katkı arasındaki ilişki nasıl daha net tanımlanır, çıkar çatışmalarında sorun nasıl daha adil ve profesyonel bir şekilde çözülür Bunlar, güvenlik DAO'larının Doğru meydan okumayla yüzleşmesi gereken şeylerdir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Güvenlik Alanında Kitle İstihbaratı - Topluluk Odaklı Bir Ödül ve Denetim Pazarı
Ray, IOSG Ventures tarafından
Büyük ölçekli bir bilgisayar sistemi olarak, blok zincirinin mevcut sistem karmaşıklığı 5 yıl önceki seviyeyi çok aştı, altyapı modülerleştirme derecesi daha rafine edildi, uygulama katmanındaki akıllı sözleşmelerin mantığı giderek daha bol hale geliyor ve sözleşmeler arasındaki etkileşim çok sık, daha da önemlisi, blockchain sistemi tarafından yönetilen varlıkların sayısı zaten çok fazla, bu nedenle son zamanlarda blockchain güvenlik topluluğunda güvenlik döngüsü hakkında daha fazla tartışma var (durum 2017'dekiyle aynı) , insanlar güvenlikten bahsettiğinde, sadece geliştiricileri düşünürler. Sözleşmeyi yazıp Ethereum Vakfı'nın arkadaşlarına bir göz atmak ve bazı temel testler yapmak için atmak çok farklıdır).
Blockchain programlarının güvenlik yaşam döngüsü boyunca (testten, üçüncü taraf denetimlerini davet etmekten olay sonrası izlemeye, güncelleme denetimlerine kadar), bug bounty topluluğu, oyun teorisi ve küme çalışması yoluyla beyaz şapkaları çekmek için bir güvenlik yastığı gibidir. proje tarafının kodunun gözden geçirilmesi ve bazı akıllı sözleşmeli güvenlik çalışanları, böcek ödülünün savunma hattındaki son adam gibi olduğunu düşünüyor, ancak böcek ödülü ve denetim rekabetinin daha büyük bir rol oynama potansiyeline sahip olduğunu düşünüyorum. Tüm güvenlik yaşam döngüsü boyunca roller, sistemin güvenliğini bir bütün olarak geliştirir. **
Elbette geleneksel ağ güvenliği alanında bug bounty programları da (Bug Bounty veya Vulnerabilty Rewards) var.Öncelikle Facebook, Google, Microsoft gibi büyük teknoloji şirketleri kendi kurum içi güvenlik ekipleri için bounty programları devreye alacak ve İkincisi, HackerOne ve Bugcrowd tarafından temsil edilen Bug bounty üçüncü taraf platformları 2015'ten beri ortaya çıkıyor. sırasıyla dolar ve 20 milyon ABD doları. Blockchain dünyasında ödül, güvenlik çemberinde sıklıkla tartışılan daha ilginç bir konudur.Bunun başlıca nedeni, blockchain kodunun açık kaynağının aslında hackleme ve saldırı stratejilerini geliştirme maliyetini daha ucuz hale getirmesidir.Ayrıca, kripto dünyası savunucuları İş, Yaratıcı ve Mülkiyet Ekonomilerinin kümelenmesi, daha açık bir beyaz şapka ekonomisini daha da değerli kılan katkı modellerine açıktır.
**Hata ödülleri ve denetim yarışmaları nedir? Onlara neden ihtiyacımız var? **
Tıpkı bilgisayar güvenliği uzmanı ve kriptograf Bruce Schneier'in dediği gibi güvenlik, saldırgan ile savunan arasındaki dinamik bir oyundur, "Güvenlik bir süreçtir, bir ürün değil. Yazılım geliştirme sürecinden her yönüyle geçmesi gereken bir düşünce biçimidir. .” Blockchain dünyasında, tüm kodların açık kaynaklı ve şeffaf olduğu karanlık bir ormanda, uzun süre hayatta kalmak isteyen bir blockchain projesi, ürünlerinin/sözleşmelerinin güvenliği için sonsuz ihtiyaçlara sahip olmalıdır. finansal özellikler Finanstaki en önemli varlık güvendir ve kullanıcının güveni yalnızca bir kezdir.
Geleneksel denetimin eksiklikleri ve sorunları nerede? Topluluk odaklı böcek ödülleri ve denetim yarışmalarının bu sorunları telafi etmesi için ne gibi avantajları olabilir?
Denetim hizmetlerini kullanan geliştiriciler genellikle şunları bulur:
Pazar ne kadar büyük?
Ödül platformlarının ve denetim yarışmalarının iş modeli, genellikle müşteriler tarafından ödenen ödülün bir kısmını veya platformun hizmet bedeli olarak oluşturulan toplam bonus havuzundan çekmektir. Kod güvenliği denetimlerine ihtiyaç duyan müşteriler (proje tarafları), kendi ihtiyaçlarına göre (hangi kodların denetlenmesi gerektiği, güvenlik açıklarının ciddiyetinin nasıl tanımlanacağı ve ne kadar ödül ödemek istedikleri) planlarını bounty platformunda ilan edecekler. ve beyaz şapkalar Proje tarafının ihtiyacına göre zafiyetler bulunacaktır.Beyaz şapkalar tarafından boşluklar bulunup proje tarafının ihtiyaçlarını karşıladıktan sonra, ödül beyaz şapkalara dağıtılacak ve ödül platformu çekilecektir. hizmet bedeli olarak ondan bir komisyon.
Web2 geleneksel ağ güvenliği alanında, bug bounty platformu da nispeten genç bir yöndür (2012'den sonra ortaya çıkmıştır) ve şu anda en büyük bug bounty platformları HackerOne ve Bugcrowd'dur. 2022'de HackerOne'ın yıllık geliri 58 milyon ABD dolarına ulaşacak, şirketin değerlemesi yaklaşık 500 milyon ABD dolarına ulaşacak ve tarihte ödenen kümülatif ödül 230 milyon ABD doları olacak (2021 ve 2022 ödül olarak 150 milyon ABD doları ödeyecek) ve 65.000'den fazla yazılım keşfedilecek Güvenlik açıkları, 1 milyondan fazla kayıtlı bilgisayar korsanı ve her ay HackerOne hizmetlerini kullanan 1.000'den fazla müşteri. Rakibi Bugcrowd'un 2022'de 20 milyon dolardan fazla gelir elde etmesi bekleniyor.
Web3 güvenliği alanında, 2022 yılında tüm web3 bug ödül ve denetim rekabeti platformları, beyaz şapka korsanlarına toplam 50 milyon ABD doları ödül dağıtacak ve bu tür platformların ortalama ücret seviyesi %10 ila %30 civarında, bu nedenle ihtiyatlı bir şekilde tahmin ediliyor. Mevcut pazar büyüklüğü yaklaşık 5 milyon~15 milyon dolar ve hala çok gelişmekte olan bir pazar.
Bir başka ilginç şey de, giderek daha fazla müşterinin bu merkezi olmayan güvenlik topluluğu tarafından sağlanan kod denetim hizmetlerini doğrudan kullanmaya istekli olmasıdır.En ünlü örnek, Opensea'nın yeni platformu Seaport'u piyasaya sürmeden önce ikinci kademe denetim hizmetini doğrudan bulamamış olmasıdır. üç taraf denetim şirketi, şu anda en büyük merkezi olmayan denetim rekabeti platformu olan Code4Rena'yı seçti ve 1 milyon ABD Doları'lık bir ödül havuzu oluşturdu. BD ), merkezi olmayan güvenlik hizmetleri bu pazarda önemli bir büyüme olacak mı? (Şu anda piyasada 56 denetim şirketi var ve önde gelen şirketlerin geçen yılki geliri 10 milyon ila 40 milyon ABD doları arasındaydı. Merkezi olmayan güvenlik pazarında hayal gücüne çok yer olduğunu düşünüyorum).
Bug Bounty Platformu ve Denetim Yarışması Platformu
bug bounty platformunun web2'de on yıllık bir geliştirme geçmişi olmasına rağmen, denetim rekabeti platformu web3 native'de yeni bir şeydir. Denetim rekabeti hizmetinin amacı, ürünleri veya bazı yeni işlevleri piyasaya sürmek üzere olan ve denetim hizmetini belirli bir süre içinde (2 haftadan fazla) tamamlamalarına yardımcı olmak için merkezi olmayan topluluğun gücünü kullanan proje taraflarıdır. bakış açısından, denetim rekabeti geleneksel denetim şirketlerine küçük işletme tehdidi getirmeyecektir.
Aşağıda katılım yöntemleri, ödül yapısı ve test kapsamı açısından iki platform arasındaki farkları göstereceğim:
katılım yolu
Immunefi gibi hata ödül platformları genellikle herkesin her an katılabileceği açık projelerdir. Katılımcılar genellikle ödüller karşılığında güvenlik açıklarını bağımsız olarak keşfeder ve bildirir. İki kişi aynı tekrarlanan güvenlik açığını bulursa, önce gelen alır ilkesi izlenecek ve raporu ilk gönderen ödülü ilk alacak.
Topluluk odaklı denetim rekabeti platformları (örn. Code4rena, Sherlock) genellikle zaman sınırlıdır ve belirli bir zaman çerçevesi içinde güvenlik açıklarını bulup raporlamak için katılımcılarla rekabet eder. Bounty platformuyla karşılaştırıldığında, biraz ekip çalışması olacaktır (örneğin, her projede Baş Kıdemli Denetçi ve Baş Hakem açık bir şekilde atanacak ve son olarak tüm denetim sonuçlarını gözden geçirip müşteriye ve bu iki lidere bir denetim raporu halinde özetleyecektir) ayrıca topluluk seçimlerinin ve yarışmalarının ademi merkeziyetçiliği ilkesini de takip edin). Ayrıca, iki denetim yarışmacısı belirtilen süre içinde tekrarlanan boşluklar bulursa, her ikisi de ödül alabilir.
Ödül Yapısı
Her ikisi tarafından verilen gerçek ödüller, esas olarak keşfedilen güvenlik açığının ciddiyetini dikkate alacaktır.
Tek fark, Code4Rena gibi topluluk odaklı bir denetim rekabeti platformunun, aslında proje rolünü üstlendikleri için Baş Kıdemli Denetçiye ve Baş Hakeme tahsis edilen her proje için bonus havuzunun sabit bir kısmına (%5~%10) sahip olacak olmasıdır. geleneksel denetim şirketlerinin liderleri.
Bir başka ilginç nokta da, bug bounty platformundaki proje tarafının bazen proje tokenlerini ödül olarak vermesi, ancak topluluktaki bazı beyaz şapkalı bilgisayar korsanlarının fiyat dalgalanmaları Proje tokenleri yerine USDC, USDT stabil koinleri almayı tercih ettiğini de görüyorum.
Kapsam ve Odak
Bug bounty platformu projeleri genellikle geniş bir kapsama sahipken, denetim yarışmalarıyla ilgili projeler genellikle daha odaklı bir kapsama sahiptir, yazılımın belirli bir işlevini veya yönünü hedeflerken beyaz şapkalıların işi daha kısa sürede tamamlamaya odaklanmalarını gerektirir.
Yarışmaları denetlemeye odaklanan projeler
Code4Rena - E-spor benzeri, topluluk odaklı bir denetim rekabeti platformu
Code4Rena'nın üç karakter türü vardır:
1 Denetçi (Bekçiler) inceleme kodu. Profesyonel bir güvenlik mühendisinden daha fazla deneyim kazanmaya çalışan acemi bir geliştiriciye kadar herkes, kamu denetimi yarışmasına katılmak için denetçi olarak kayıt yaptırabilir.
2 Yargıçlar (Yargıçlar) genellikle C4 topluluğundaki en iyi mühendislerdir. Güvenlik açıklarının ciddiyetini, etkinliğini ve kalitesini belirler ve denetim performansını değerlendirirler.
3 Sponsorlar (Sponsorlar), Opensea, Blur, ENS, Chainlink vb. gibi proje taraflarıdır. Projelerinin kodunu denetlemek üzere denetçileri çekmek için bonus havuzları oluştururlar. Sponsorlar ayrıca daha fazla mahremiyet için özel, yalnızca davetli yarışmalara ev sahipliği yapma seçeneğine sahiptir.
En ilginç noktalardan biri de Code4Rena'nın inşa ettiği kültür: işbirliği ve ekip çalışması teşvik ediliyor. Geleneksel hata ödül programlarından farklı olarak Code4Rena, güvenlik açığı zaten rapor edilmiş olsa bile geçerli bir güvenlik açığı bildiren tüm denetçilere ödeme yapar. Bu, yüksek öneme sahip ve yaygın güvenlik açıklarını bulmaya motive oldukları için denetçiler arasında sağlıklı rekabeti teşvik eder. Bu platformda, bazı denetçiler boşlukları birlikte bulmak için geçici ekipler oluşturacak.
iş modeli:
Herhangi bir proje, bir denetim yarışması programı başlatmak için Code4rena'ya gidebilir ve temel bir ödül havuzu oluşturmak için USDC veya ETH sağlayabilir (genellikle ödül havuzunun boyutu 40.000$ ~ 100.000$'dır) ve Code4rena, temel ödül havuzundan %20 ücret alacaktır. yarışmalar düzenlemek, incelemeler sağlamak ve denetim çıktılarını düzenlemek için bir platform Sonuçları raporlamak için hizmet geliri. Proje tarafı ayrıca ek bir ödül havuzu oluşturmak için temel ödül havuzunun üzerinde proje belirteçleri sağlayabilir ve Code4rena bu ek ödül havuzunun %40'ını tahsil edecektir.
Sherlock - Akıllı sözleşme sigortasıyla topluluk güdümlü denetim
Code4rena'ya benzer şekilde Sherlock'un da denetçi, sponsor ve jüri gibi rolleri vardır.Sherlock'un benzersizliği, platformun sağladığı sigorta hizmetlerinde yatmaktadır. Sherlock platformundaki sigorta havuzuna herkes yatırım yapabilir.Yatırımcılar sigorta havuzuna USDC yatırır ve sözleşme müşterileri, akıllı sözleşmelerin saldırıya uğrama riskinden korunmak için hizmetler satın alabilir. Sigorta yatırımcılarının gelir kaynakları şunları içerir: sözleşmeli müşteriler tarafından ödenen primler + sigorta havuzu fonlarını diğer DeFi havuzlarına (Aave, Compound vb.) yatırarak kazanılan faiz + Sherlock token teşvikleri. Ancak yatırımcı, faydalardan yararlanırken politikayı geri ödeme riskini taşır.
Code4rena'dan farklı olan bir diğer nokta ise platformun sağladığı denetim hizmeti gelirlerinin dağıtım mekanizmasıdır. Code4rena ile karşılaştırıldığında Sherlock'un, kıdemli güvenlik denetçisi ve baş yargıcın tam zamanlı kıdemli denetçileri uygun şekilde ödüllendirmek ve motive etmek için ikramiye havuzundan sabit bir miktar (%5~%10) almasına izin veren kuralları vardır. Ek olarak, liderlik rollerinin seçimi için seçim ve rekabet sistemleri vardır.
**Bir bilgisayar korsanı topluluğu nasıl oluşturulur? Web3 beyaz şapkalarının en büyük endişesi nedir? **
Farklı merkezi olmayan güvenlik topluluklarını (ImmuneFi, Hats Finance, Code4Rena, Sherlock, vb.) gözlemledikten ve bazı güvenlik girişimcileriyle sohbet ettikten sonra, tüm merkezi olmayan platformların yapmaya adadığı şeyin daha sağlıklı, verimli bir iletişim ve işbirliği platformu oluşturmak olduğunu düşündük. Bounty platformu, Hacker'lar ve projeler arasında bir pazar yeri gibidir, ihtiyaçlarını hacker'ların bakış açısıyla ele almaları gerekir (aşağıdaki tabloda gösterildiği gibi) ve aynı zamanda proje tarafının proje perspektifinden en çok neyi önemsediğini de düşünmelidirler. (Denetim Kalitesi).
Kaynak: 《Böcek Avcılarının Bug Bounty Eco'nun Zorlukları ve Faydalarına İlişkin Perspektifleri》
Bazı ortak ihtiyaçlara ek olarak, Immunefi beyaz şapka topluluğunda (gördüğüm en canlı beyaz şapka discord topluluğu) bazı ilginç konular da gördüm.
Örneğin:
Daha önce keşfettiği bazı proje boşluklarını ifşa etmek isteyen ve hangi topluluk kurallarına uyulması gerektiğini soran Rappie adında beyaz bir şapka var. (1. Yalnızca düzeltilen hataları yayınlayın. 2. Herkese açık bilgilerin protokol veya kullanıcıları üzerinde olumsuz bir etkisi olmadığından emin olun. Gizli bilgileri, örneğin SQL enjeksiyon güvenlik açığınızı giderdikten sonra saklayın, tam bilgileri hakkında bilgi yayınlamayın 3. Herkese açık hale getirmeden önce proje ekibine özel bir mesaj göndermeniz gerektiğinden emin olun).
Noam Yakov adlı bir beyaz şapka, bir ödül projesinin tanımı hakkında şüphelere sahiptir (bu genellikle olur, çünkü genellikle yalnızca ciddi güvenlik açıkları ödüllendirilebilir. Proje, güvenlik açığının güvenlik seviyesini nasıl tanımlar? Beyaz şapkalıların derinden önemsediği bir şey) ve topluluk bu tür anlaşmazlıkları çok duyuyor). Uniwhales ödül projesinde, MEV etkisini ciddi bir güvenlik açığı olarak tanımladıkları konusunda şüpheleri vardı. Sonunda herkes bu tür açıklamaların tüm MEV durumları için geçerli olmadığını tartıştı. Örneğin, bazı toksik sipariş akışları için, protokol havuzu Varlık boşaltma durumu kesinlikle ciddi bir güvenlik olayıdır (bu nedenle bir dizi güvenlik seviyesi çerçevesi tanımlamak genellikle yeterli değildir ve genellikle gerçek farklı durumlarda platformda benzer hakem rollerinin dahil edilmesini gerektirir).
Ve çok ilginç bir konu olan "Immunefi gibi bir bounty platformu için talep ve beklentileriniz nelerdir?" diyen ckksec isimli beyaz bir şapkalı cevap verdi: 1) Bu anonim şifreleme beyaz şapkalarının emek gelirlerini elde etmelerine yardımcı olun Faturalandırma gibi bazı yasal açıklamalar yapın. 2) Platform sadece beyaz şapkalar için bir puanlama sistemine sahip olmamalı, aynı zamanda projenin kalitesini de puanlamalıdır çünkü beyaz şapkalılar genellikle projenin kalitesini ayırt etmek için zaman harcamak zorundadır. 3) Profillerini açmak isteyen beyaz şapkalılar için platform iş akışlarını gösterebilir.Aynı zamanda proje tarafı tarafından alınan güvenlik analiz raporu bilgilerini platformun daha şeffaf bir şekilde göstermesi daha iyidir.
Beyaz şapkalara hangi araçlar yardımcı olabilir?
LLM'ler GPT'nin ateşlenmesiyle, son zamanlarda insanların güvenlik denetimlerinin de AI tarafından değiştirilip değiştirilemeyeceğini sık sık tartıştıklarını duydum. Konuştuğum deneyimli güvenlik pratisyenleri genellikle GPT'nin doğrudan insan bilgeliğinin yerini almasının zor olduğuna inanıyor. Bazı düşük asılı meyveler (bulması kolay sorunlar) dil modelleri tarafından tespit edilebilir, ancak orta ve yüksek risk içeren bu sorunlar yine de uzman gerektirir katılım. Örneğin, kıdemli bir güvenlik uzmanının geri bildirimine göre, benzer veri analizi ve dinamik analiz için, güvenlik analizi testlerini önceden yapmak ve beklenen hedefi tanımlamak için bu daha karmaşık testlerin protokolün gerçek iş mantığıyla yapay olarak birleştirilmesi gerekir. testin özniteliklerini önceden belirleyin.En zor kısım, iyi bir özellik yazmak ve doğru test alanını tanımlamaktır. GPT üzerinde yaptıkları deneylere göre, GPT'nin bu aşamada tamamen insanların yerini alamayacağına inanıyorlar.
Elbette, şu anda LLM'nin güvenlik analizi araçlarının analiz verimliliğini büyük ölçüde artırabileceğini ve yanlış pozitif oranını azaltabileceğini gösteren daha iyimser sonuçlar var:
Bu konuyu teknik olmayan başka ilginç bir bakış açısıyla düşünelim. Bu, güvenlik saldırganları ve savunucuları arasında dinamik bir oyundur. Sihir yüksekliği bir ayak diğerinden yüksektir. Yapay zeka, güvenlik saldırganlarına güvenlik zorlukları getirecek mi? yardım?
Güvenlik insan odaklıdır
İnsanlar, yazılımın soğuk, mekanik ve mantıklı bir şey olduğunu ve sistem güvenliğini geliştirmenin yalnızca analiz teknolojisini ve sistem savunma seviyesini iyileştirmeye ihtiyacı olduğunu alışkanlıkla düşünecekler. Bununla birlikte, insanlar güvenlik konularını ekonomik teşvikler ve insan doğası açısından düşünmekten yoksundur.Açık kaynak kodunun karanlık ormanında, rasyonel insanların varsayımlarına daha uygun bir dağıtım sistemine ihtiyacımız var.Olumlu ve iyi huylu ekonomik teşvikler blok zincirine uzun süre yatırım yapmak isteyen daha fazla insanı çekmek Sistem güvenliğine bilgelik katan insanlar katılır.
Mevcut geleneksel güvenlik denetimi pazar yapısı istikrarlıdır ve marka itibarı bu alandaki şirketlerin en önemli maddi olmayan varlığıdır.Zamanla, en iyi güvenlik markalarının etkisi ve müşterilerin güveni istikrarlı bir şekilde arttı, ancak geleneksel güvenlik denetimleri de kendi kendi sorunları (iş modeli sadece insan gücüne dayanır ve ölçek olarak büyümek zordur ve lider şirketlerin büyüme ile denetim kalitesini dengelemesi gerekir. Bazı şirketler böyle bir darboğazla karşılaştı ve hatta markanın değerini etkiledi).
**Topluluk odaklı güvenlik denetimi yarışması yenilikçi bir iş modelidir. **Şu anda iki platformun müşteri sayısı 300'ü aştı ve kademeli olarak PMF'yi buldu. *Bounty platformu, güvenlik yaşam döngüsüne iyi bir tamamlayıcıdır. * Bu merkezi olmayan platformlar henüz özellikle etkili bir belirteç modeli bulamamış olsalar da, bu pazarın gelecekte büyük ölçekli büyümesi konusunda çok iyimseriz (çünkü kalabalığın bilgeliği, saldırı ve savunma oyun senaryoları için çok uygundur. güvenlik pazarı).
** Topluluk odaklı denetim platformları, merkezi denetim şirketleri için bir tehdit oluşturacak mı? İyi huylu bir karşılıklı rekabete ve tamamlayıcı bir ilişkiye sahip olacaklarını düşünüyoruz. Kısa vadede, Code4rena gibi bir platform belirli bir ağ etkisi oluşturduğunda ve iyi bir sicile sahip olduğunda (denetlenen projelerin hacklenme oranı düşüktür), Orta ve kuyruktaki bazı merkezi şirketler belirli bir rekabet baskısı getirecektir, ancak uzun vadede bu aynı zamanda merkezi denetim platformunu topluluk odaklı platformla bir miktar ticari işbirliği oluşturmaya zorlayabilir çünkü bu aynı zamanda müşterilerini de genişletebilir. merkezi güvenlik denetim platformu Grup ve denetim kalitesini artırın (büyük bir web2 şirketi tarafından bağımsız olarak yürütülen ve daha sonra HackerOne gibi üçüncü taraf platformlarla bir işbirliği mantığı oluşturan orijinal güvenlik ödül projesi gibi).
Topluluk odaklı güvenlik platformunun yönü daha DAO odaklı olmak olsa da (Forta aslında bu kategoriye dahil edilebilir), mevcut projenin fiili işleyişinde hala şu gibi sorunlar var: iş akışının nasıl yapılacağı ve ekonomik dağıtım süreci daha şeffaf ve açık , Proje tarafının mahremiyet ve güvenlik hususları nasıl tartılır, ekip çalışması ile kişisel katkı arasındaki ilişki nasıl daha net tanımlanır, çıkar çatışmalarında sorun nasıl daha adil ve profesyonel bir şekilde çözülür Bunlar, güvenlik DAO'larının Doğru meydan okumayla yüzleşmesi gereken şeylerdir.