Büyük ölçekli bir bilgisayar sistemi olarak, blok zincirinin mevcut sistem karmaşıklığı 5 yıl önceki seviyeyi çok aştı, altyapı modülerleştirme derecesi daha rafine edildi, uygulama katmanının akıllı sözleşme mantığı giderek daha bol hale geliyor ve sözleşmeler arasındaki etkileşim çok sık, daha da önemlisi, blockchain sistemi tarafından yönetilen varlıkların sayısı zaten çok fazla, bu nedenle son zamanlarda blockchain güvenlik topluluğunda güvenlik döngüsü hakkında daha fazla tartışma var (durum 2017'dekiyle aynı) , insanlar güvenliği düşündüklerinde sadece geliştiricileri düşünürler. Sözleşmeyi yazıp Ethereum Vakfı'nın arkadaşlarına atıp bir göz atıp bazı temel testler yapmak çok farklıdır).
Bir blockchain programının güvenlik yaşam döngüsü boyunca (testten, üçüncü taraf denetimlerini davet etmeye, olay sonrası izlemeye ve güncelleme denetimlerine kadar), bug bounty topluluğu, oyun teorisi ve küme çalışması yoluyla beyaz şapkaları çekmek için bir güvenlik yastığı gibidir. proje tarafı son kez gözden geçirilecek ve bazı akıllı sözleşmeli güvenlik çalışanları, böcek ödülünün savunma hattındaki son kişi gibi olduğunu düşünüyor, ancak böcek ödülü ve denetim yarışmalarının oynama potansiyeli olduğunu düşünüyorum. güvenlik yaşam döngüsü rolü, sistemin genel güvenliğini geliştirir.
Elbette geleneksel ağ güvenliği alanında bug bounty programları da (Bug Bounty veya Vulnerabilty Rewards) var.Öncelikle Facebook, Google, Microsoft gibi büyük teknoloji şirketleri kendi kurum içi güvenlik ekipleri için bounty programları devreye alacak ve İkinci olarak, HackerOne ve Bugcrowd tarafından temsil edilen Bug bounty üçüncü taraf platformları 2015'ten beri ortaya çıkıyor. sırasıyla yaklaşık 50 milyon ABD doları ve 20 milyon dolar. Blockchain dünyasında ödül, güvenlik çemberinde sıklıkla tartışılan daha ilginç bir konudur.Bunun başlıca nedeni, blockchain kodunun açık kaynağının aslında hackleme ve yükseltme saldırı stratejilerini daha ucuz hale getirmesidir.Ayrıca kripto dünyası güçlü bir şekilde daha açık bir beyaz şapka ekonomisini daha da değerli kılan katkı modellerine açık Çalışma, Yaratıcı ve Mülkiyet Ekonomilerinin kümelenmesini savunur.
Hata ödülleri ve denetim yarışmaları nedir? Onlara neden ihtiyacımız var?
Tıpkı bilgisayar güvenliği uzmanı ve kriptograf Bruce Schneier'in dediği gibi güvenlik, saldırgan ile savunan arasındaki dinamik bir oyundur, "Güvenlik bir süreçtir, bir ürün değil. Yazılım geliştirme sürecinden her yönüyle geçmesi gereken bir düşünce biçimidir. ." Blockchain dünyasında, tüm kodların açık kaynak ve şeffaf olduğu karanlık bir ormanda, uzun süre hayatta kalmak isteyen bir blockchain projesi, ürünlerinin/sözleşmelerinin güvenliği için sonsuz bir talebe sahip olmalıdır. daha az finansal özellik Finanstaki en önemli varlık güvendir ve kullanıcının güveni yalnızca bir kez olur.
Geleneksel denetimin eksiklikleri ve sorunları nerede? Topluluk odaklı böcek ödülleri ve denetim yarışmalarının bu sorunları telafi etmesi için ne gibi avantajları olabilir?
Denetim hizmetlerini kullanan geliştiriciler genellikle şunları bulur:
Üçüncü taraf bir denetim firmasının hizmetlerini satın aldıktan sonra bile, denetimden sonra kodla ilgili sorunlar devam etmektedir.Bu sorunların nedenleri farklı olsa da (teknik ve teknik olmayan), güvenmek tamamen güvenilir görünmemektedir. Ancak, kod denetiminin kalitesi yine de denetçinin seviyesine bağlıdır ve müşteriler genellikle "kimin daha iyi" olduğunu ayırt etme yeteneğinden yoksundur.
Ödül platformu ve denetim yarışması daha açık bir "korumalı alan"dır ve proje kodu, arka plandan bağımsız olarak beyaz şapkalar tarafından istenildiği zaman incelenebilir (profesyonel denetim şirketlerinden personel olabilir ve serbest çalışan güvenlik analistleri olabilir), cephanelik sınırsızdır ve müşterilerin tek yapması gereken makul bir ödül belirlemek ve beyaz şapka bir sorun bulduğunda katkılarını ödemektir.
Genellikle müşteriler önce beyaz şapka tarafından incelenmesi gereken kodlarını gönderir, güvenlik açığının güvenlik düzeyini tanımlar (genellikle olası ekonomik kayıpla ilgilidir, doğrudan ekonomik kayba neden olan güvenlik açığı ne kadar kolaysa, önem düzeyi o kadar yüksek olur) , ödül bütçesi, test kodu kapsamı ve hatta test adımları.
Pazar ne kadar büyük?
Ödül platformlarının ve denetim yarışmalarının iş modeli, genellikle müşteriler tarafından ödenen ödülün bir kısmını veya platformun hizmet bedeli olarak oluşturulan toplam bonus havuzundan çekmektir. Kod güvenliği denetimlerine ihtiyaç duyan müşteriler (proje tarafları), kendi ihtiyaçlarına göre (hangi kodların denetlenmesi gerektiği, güvenlik açıklarının ciddiyetinin nasıl tanımlanacağı ve ne kadar ödül ödemek istedikleri) planlarını bounty platformunda ilan edecekler. ve beyaz şapkalar Proje tarafının ihtiyacına göre zafiyetler bulunacaktır.Beyaz şapkalar tarafından boşluklar bulunup proje tarafının ihtiyaçlarını karşıladıktan sonra, ödül beyaz şapkalara dağıtılacak ve ödül platformu çekilecektir. hizmet bedeli olarak ondan bir komisyon.
Web2 geleneksel ağ güvenliği alanında, bug bounty platformu da nispeten genç bir yöndür (2012'den sonra ortaya çıkmıştır) ve şu anda en büyük bug bounty platformları HackerOne ve Bugcrowd'dur. 2022'de HackerOne'ın yıllık geliri 58 milyon ABD dolarına, şirketin değerlemesi yaklaşık 500 milyon ABD dolarına ve tarihte ödenen kümülatif ödül 230 milyon ABD dolarına (2021 ve 2022'de 150 milyon ABD doları) ulaşacak. , 1 milyondan fazla kayıtlı bilgisayar korsanına ve her ay HackerOne hizmetlerini kullanan 1.000'den fazla müşteriye sahiptir. Rakibi Bugcrowd'un 2022'de 20 milyon dolardan fazla kazanması bekleniyor.
Web3 güvenliği alanında, 2022 yılında, tüm web3 bug bounty ve denetim yarışması platformları, beyaz şapka korsanlarına toplam 50 milyon ABD doları ödül verecek ve bu tür platformların ortalama ücretlendirme seviyesi %10 ila %30 civarında, bu nedenle ihtiyatlı bir şekilde tahmin ediliyor Mevcut pazar büyüklüğü yaklaşık 5 milyon~15 milyon dolar ve hala çok gelişmekte olan bir pazar.
Bir başka ilginç şey de, giderek daha fazla müşterinin merkezi olmayan güvenlik topluluğu tarafından sağlanan kod denetim hizmetlerini doğrudan kullanmaya istekli olmasıdır.Bunun yerine, üçüncü taraf denetim şirketi, şu anda en büyük merkezi olmayan denetim rekabet platformu olan Code 4 Rena'yı seçti ve kurdu. 1 milyon ABD doları ödül havuzu Günümüzde, geleneksel güvenlik denetim pazarı giderek daha fazla dahil oluyor (hacim insan kaynakları, hacim teknik araçlar, hacim Pazar BD), merkezi olmayan güvenlik hizmetleri bu pazarda önemli bir büyüme olacak mı? (Şu anda piyasada 56 denetim şirketi var ve önde gelen şirketlerin geçen yılki geliri 10 milyon ABD Doları ile 40 milyon ABD Doları arasındaydı. Merkezi olmayan güvenlik pazarında hayal gücüne çok yer olduğunu düşünüyorum).
Bug Bounty Platformları ve Denetim Yarışması Platformları
bug bounty platformunun web2'de on yıllık bir geliştirme geçmişi olmasına rağmen, denetim rekabeti platformu web3 native'de yeni bir şeydir. Denetim rekabeti hizmetinin amacı, ürünleri veya bazı yeni işlevleri piyasaya sürmek üzere olan ve denetim hizmetini belirli bir süre içinde (2 haftadan fazla) tamamlamalarına yardımcı olmak için merkezi olmayan topluluğun gücünü kullanan proje taraflarıdır. bakış açısından, denetim rekabeti geleneksel denetim şirketlerine küçük işletme tehdidi getirmeyecektir.
Aşağıda katılım yöntemleri, ödül yapısı ve test kapsamı açısından iki platform arasındaki farkları göstereceğim:
katılım yolu
Immunefi gibi hata ödül platformları genellikle herkesin her an katılabileceği açık projelerdir. Katılımcılar genellikle ödüller karşılığında güvenlik açıklarını bağımsız olarak keşfeder ve bildirir. İki kişi aynı tekrarlanan güvenlik açığını bulursa, önce gelen alır ilkesi izlenecek ve raporu ilk gönderen ödülü ilk alacak.
Topluluk odaklı denetim rekabeti platformları (örn. Code 4 rena, Sherlock) genellikle zaman sınırlıdır ve güvenlik açıklarını belirli bir zaman çerçevesi içinde bulup bildirmek için katılımcılarla rekabet eder. Bounty platformuyla karşılaştırıldığında, biraz ekip çalışması olacaktır (örneğin, her projede Baş Kıdemli Denetçi ve Baş Hakem açık bir şekilde atanacak ve son olarak tüm denetim sonuçlarını gözden geçirip müşteriye ve bu iki lidere bir denetim raporu halinde özetleyecektir) ayrıca topluluk seçimlerinin ve yarışmalarının ademi merkeziyetçiliği ilkesini de takip edin). Ayrıca, iki denetim yarışmacısı belirtilen süre içinde tekrarlanan boşluklar bulursa, her ikisi de ödül alabilir.
ödül yapısı
Her ikisi tarafından verilen gerçek ödüller, esas olarak keşfedilen güvenlik açığının ciddiyetini dikkate alacaktır.
Tek fark, Code 4 Rena gibi topluluk odaklı bir denetim yarışması platformunun, aslında geleneksel denetimi üstlendikleri için Baş Kıdemli Denetçi ve Baş Hakeme tahsis edilen her proje için ödül havuzunun sabit bir kısmına (%5 ~ %10) sahip olacak olmasıdır. şirket projeleri Sorumlu kişinin rolü.
Bir başka ilginç nokta da bug bounty platformundaki proje partisinin bazen proje tokenlerini ödül olarak vermesi, ancak topluluktaki bazı beyaz şapka korsanlarının fiyat dalgalanmaları yerine USDC ve USDT gibi sabit coinleri almayı tercih ettiğini de gördüm.
kapsam ve odak
Bug bounty platformu projeleri genellikle geniş bir kapsama sahipken, denetim yarışmalarına ilişkin projeler genellikle daha odaklı bir kapsama sahiptir, yazılımın belirli bir işlevini veya yönünü hedeflerken beyaz şapkalıların işi daha kısa sürede tamamlamaya odaklanmalarını gerektirir.
Denetçiler (Bekçiler) kodu inceler. Profesyonel bir güvenlik mühendisinden daha fazla deneyim kazanmaya çalışan acemi bir geliştiriciye kadar herkes, kamu denetimi yarışmasına katılmak için denetçi olarak kayıt yaptırabilir.
Hakemler genellikle C 4 topluluğundaki en iyi mühendislerdir. Güvenlik açıklarının ciddiyetini, etkinliğini ve kalitesini belirler ve denetim performansını değerlendirirler.
Sponsorlar, Opensea, Blur, ENS, Chainlink vb. gibi proje taraflarıdır. Projelerinin kodunu denetlemek üzere denetçileri çekmek için bonus havuzları oluştururlar. Sponsorlar ayrıca daha fazla mahremiyet için özel, yalnızca davetli yarışmalara ev sahipliği yapma seçeneğine sahiptir.
En ilginç noktalardan biri, Code 4 Rena'nın inşa ettiği kültür: işbirliği ve ekip çalışması teşvik ediliyor. Geleneksel hata ödül programlarından farklı olarak, Code 4 Rena, güvenlik açığı zaten rapor edilmiş olsa bile geçerli bir güvenlik açığı bildiren tüm denetçilere ödeme yapar. Bu, yüksek öneme sahip ve yaygın güvenlik açıklarını bulmaya motive oldukları için denetçiler arasında sağlıklı rekabeti teşvik eder. Bu platformda, bazı denetçiler boşlukları birlikte bulmak için geçici ekipler oluşturacak.
iş modeli:
Herhangi bir proje, bir denetim yarışması programı başlatmak için Code 4 rena'ya gidebilir ve temel bir ödül havuzu oluşturmak için USDC veya ETH sağlayabilir (genellikle ödül havuzunun boyutu 40.000$ ~ 100.000$'dır), Code 4 rena, temel ödül havuzundan %20 ücret alacaktır. bir platform olarak ödül havuzu Yarışmalar düzenlemek, incelemeler sağlamak ve denetim çıktı raporlarını düzenlemek için Hizmet geliri. Proje tarafı ayrıca ek bir ödül havuzu oluşturmak için temel ödül havuzunun üzerinde proje belirteçleri sağlayabilir ve Code 4 rena bu ek ödül havuzunun %40'ını alacaktır.
Sherlock - Akıllı sözleşme sigortasıyla topluluk güdümlü denetim
Code 4 rena'ya benzer şekilde, Sherlock'un denetçi, sponsor ve jüri gibi rolleri de vardır.Sherlock'un benzersizliği, platformun sunduğu sigorta hizmetlerinde yatmaktadır. Sherlock platformundaki sigorta havuzuna herkes yatırım yapabilir.Yatırımcılar sigorta havuzuna USDC yatırır ve sözleşme müşterileri, akıllı sözleşmelerin saldırıya uğrama riskinden korunmak için hizmetler satın alabilir. Sigorta yatırımcılarının gelir kaynakları şunları içerir: sözleşmeli müşteriler tarafından ödenen primler + sigorta havuzu fonlarını diğer DeFi havuzlarına (Aave, Compound vb.) yatırarak kazanılan faiz + Sherlock token teşvikleri. Ancak yatırımcı, faydalardan yararlanırken politikayı geri ödeme riskini taşır.
Code 4 rena'dan farklı olan bir diğer nokta ise platformun sağladığı denetim hizmeti gelirlerinin dağıtım mekanizmasıdır. Code 4 rena ile karşılaştırıldığında, Sherlock'un, tam zamanlı kıdemli denetçiyi uygun şekilde telafi etmek ve motive etmek için baş güvenlik denetçisi ve baş yargıcın ikramiye havuzundan sabit bir miktar (%5 ~ %10) almasına izin veren kuralları vardır. Ek olarak, liderlik rollerinin seçimi için seçim ve rekabet sistemleri vardır.
Hacker topluluğu nasıl kurulur? Web3 beyaz şapkalarının en büyük endişesi nedir?
Farklı merkezi olmayan güvenlik topluluklarını (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, vb.) gözlemledikten ve bazı güvenlik girişimcileriyle sohbet ettikten sonra, tüm merkezi olmayan platformların yapmayı taahhüt ettiği şeyin daha sağlıklı ve verimli bir A oluşturmak olduğunu düşünüyoruz. iletişim ve işbirliği platformu Bounty platformu, Bilgisayar Korsanları ve projeler arasındaki bir pazar yeri gibidir. İhtiyaçlarını bilgisayar korsanlarının bakış açısından değerlendirmeleri gerekir (aşağıdaki tabloda gösterildiği gibi) ve aynı zamanda en iyi Endişe Edilenleri (denetim kalitesi) dikkate almalıdırlar. .
Bazı ortak ihtiyaçlara ek olarak, Immunefi beyaz şapka topluluğunda (gördüğüm en canlı beyaz şapka discord topluluğu) bazı ilginç konular da gördüm.
Örneğin:
Rappie adlı beyaz bir şapka, daha önce keşfettiği bazı proje boşluklarını ifşa etmek istiyor ve hangi topluluk kurallarına uyulması gerektiğini soruyor. (1. Yalnızca düzeltilen hataları ifşa edin. 2. Herkese açık bilgilerin protokol veya kullanıcıları üzerinde olumsuz bir etkisi olmadığından emin olun. Gizli bilgileri saklayın, örneğin: SQL enjeksiyon güvenlik açığınızı düzelttikten sonra, onların hakkında bilgi vermeyin. 3. Herkese açık hale getirmeden önce proje ekibine özel bir mesaj göndermeniz gerektiğinden emin olun).
Noam Yakov adlı bir beyaz şapka, bir ödül projesinin tanımı hakkında şüphelere sahiptir (bu genellikle olur, çünkü genellikle yalnızca ciddi güvenlik açıkları ödüllendirilebilir. Proje, güvenlik açığının güvenlik seviyesini nasıl tanımlar? Beyaz şapkalıların derinden önemsediği bir şey) ve topluluk bu tür anlaşmazlıkları çok duyuyor). Uniwhales ödül projesinde, MEV etkisini ciddi bir güvenlik açığı olarak tanımladıkları konusunda şüpheleri vardı. Sonunda herkes bu tür açıklamaların tüm MEV durumları için geçerli olmadığını tartıştı. Örneğin, bazı toksik sipariş akışları için, protokol havuzu olabilir Varlık boşaltma durumu kesinlikle ciddi bir güvenlik olayıdır (bu nedenle, genellikle bir dizi güvenlik seviyesi çerçevesi tanımlamak yeterli değildir ve farklı gerçek vakalara müdahale etmek için genellikle platformda benzer bir hakem rolü gerekir).
Ve çok ilginç bir konu olan "Immunefi gibi bir bounty platformu için talep ve beklentileriniz nelerdir?" diyen ckksec isimli beyaz bir şapkalı cevap verdi: 1) Bu anonim şifreli beyaz şapkalıların emek gelirlerini elde etmelerine yardımcı olmak için faturalandırma gibi bazı yasal açıklamalar yapın. 2) Platform sadece beyaz şapkalar için bir puanlama sistemine sahip olmamalı, aynı zamanda projenin kalitesini de puanlamalıdır çünkü beyaz şapkalılar genellikle projenin kalitesini ayırt etmek için zaman harcamak zorundadır. 3) Profillerini açmak isteyen beyaz şapkalılar için platform iş akışlarını gösterebilir.Aynı zamanda proje tarafı tarafından alınan güvenlik analiz raporu bilgilerini platformun daha şeffaf bir şekilde göstermesi daha iyidir.
Beyaz şapkalara hangi araçlar yardımcı olabilir?
LLM'ler GPT'nin ateşlenmesiyle, son zamanlarda insanların güvenlik denetimlerinin de AI tarafından değiştirilip değiştirilemeyeceğini sık sık tartıştıklarını duydum. Konuştuğum deneyimli güvenlik pratisyenleri genellikle GPT'nin doğrudan insan zekasının yerini almasının zor olduğuna inanıyor. Bazı düşük asılı meyveler (bulması kolay problemler) dil modelleri tarafından tespit edilebilir, ancak orta ve yüksek riskli problemler yine de uzman gerektirir. katılım. Örneğin, kıdemli bir güvenlik uzmanının geri bildirimine göre, benzer veri analizi ve dinamik analiz için, güvenlik analizi testlerini önceden yapmak ve beklenen hedefi tanımlamak için bu daha karmaşık testlerin protokolün gerçek iş mantığıyla yapay olarak birleştirilmesi gerekir. testin özniteliklerini önceden belirleyin.En zor kısım, iyi bir özellik yazmak ve doğru test alanını tanımlamaktır. GPT üzerinde yaptıkları deneylere göre, GPT'nin bu aşamada tamamen insanların yerini alamayacağına inanıyorlar.
Elbette, şu anda LLM'nin güvenlik analiz araçlarının analiz verimliliğini büyük ölçüde artırabileceğini ve yanlış pozitif oranını azaltabileceğini gösteren daha iyimser sonuçlar var.
Bu konuyu teknik olmayan başka bir ilginç açıdan düşünelim. Bu, güvenlik saldırganları ve savunucuları arasında dinamik bir oyundur. Sihir yüksekliği bir ayak diğerinden daha yüksektir. AI, güvenlik saldırganlarına göreli güvenlik getirecek mi? yardım?
Güvenlik insan odaklıdır
İnsanlar, yazılımın soğuk, mekanik ve mantıklı bir şey olduğunu ve sistem güvenliğini geliştirmenin yalnızca analiz teknolojisini ve sistem savunma seviyesini iyileştirmeye ihtiyacı olduğunu alışkanlıkla düşünecekler. Bununla birlikte, insanlar güvenlik konularını ekonomik teşvikler ve insan doğası açısından düşünmekten yoksundur.Açık kaynak kodunun karanlık ormanında, rasyonel insanların varsayımlarına daha uygun bir dağıtım sistemine ihtiyacımız var.Olumlu ve iyi huylu ekonomik teşvikler Blok zincirine uzun süre yatırım yapmak isteyen daha fazla insanı çekmek Sistem güvenliğine bilgelik katan insanlar katılır.
Mevcut geleneksel güvenlik denetimi pazar yapısı istikrarlıdır ve marka itibarı bu alandaki şirketlerin en önemli maddi olmayan varlığıdır.Zamanla, en iyi güvenlik markalarının etkisi ve müşterilerin güveni istikrarlı bir şekilde arttı, ancak geleneksel güvenlik denetimleri de kendi kendi sorunları (iş modeli sadece insan gücüne dayanır ve ölçek olarak büyümek zordur ve lider şirketlerin büyüme ile denetim kalitesini dengelemesi gerekir. Bazı şirketler böyle bir darboğazla karşılaştı ve hatta markanın değerini etkiledi).
Topluluk odaklı güvenlik denetimi yarışması yenilikçi bir iş modelidir. Şu anda, iki platformdan 300'den fazla müşteri kademeli olarak PMF'yi bulmuştur ve ödül platformu, güvenlik yaşam döngüsü için iyi bir tamamlayıcıdır. Bu merkezi olmayan platformlar hala Biz özellikle etkili bir belirteç modeli bulamadık, ancak gelecekte bu pazarın büyük ölçekli büyümesi konusunda çok iyimseriz (çünkü kalabalığın bilgeliği, güvenlik pazarındaki saldırı ve savunma oyunu senaryoları için çok uygundur).
Topluluk odaklı denetim platformları, merkezi denetim firmaları için bir tehdit oluşturacak mı? Sağlıklı bir karşılıklı rekabet ve tamamlayıcı bir ilişkiye sahip olacaklarını düşünüyoruz.Kısa vadede, Code 4 rena gibi bir platform belirli bir ağ etkisi oluşturduğunda ve iyi bir sicile sahip olduğunda (denetlenen projelerin saldırıya uğrama oranı düşüktür), Orta ve kuyruktaki bazı merkezi şirketler belirli rekabet baskıları getirecektir, ancak uzun vadede bu aynı zamanda merkezi denetim platformunu topluluk odaklı platformla bir miktar ticari işbirliği oluşturmaya zorlayabilir çünkü bu aynı zamanda müşteri tabanını da genişletebilir. merkezi güvenlik denetim platformunun ve Denetim kalitesinin iyileştirilmesi (biraz büyük bir web2 şirketi tarafından bağımsız olarak yürütülen ve daha sonra HackerOne gibi üçüncü taraf platformlarla bir işbirliği mantığı oluşturan orijinal güvenlik ödül projesi gibi).
Topluluk odaklı güvenlik platformunun yönü daha DAO odaklı olmak olsa da (Forta aslında bu kategoriye dahil edilebilir), mevcut projenin fiili işleyişinde hala şu gibi sorunlar var: iş akışının nasıl yapılacağı ve ekonomik dağıtım süreci daha şeffaf ve açık , Proje tarafının mahremiyet ve güvenlik hususları nasıl tartılır, ekip çalışması ile kişisel katkı arasındaki ilişkinin nasıl daha net bir şekilde tanımlanacağı, çıkar çatışmaları ortaya çıktığında sorunların nispeten adil ve profesyonel bir şekilde nasıl çözüleceği , vb. Doğru meydan okuma.
Referans:
《HackerOne Year Book》
《Bounty Everything - Bilgisayar Korsanları ve Küresel Hata Pazarının Oluşumu》
《Kırılganlık ödül programlarına ilişkin ampirik bir çalışma》
《2022 Hacker Raporu》
《Bug Bounty Programlarında Verimlilik ve Etkinlik Kalıpları》
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures: Topluluk odaklı ödül ve denetim pazarının kapsamlı bir yorumu
Orijinal yazar: Ray, IOSG Ventures
Önsöz
Büyük ölçekli bir bilgisayar sistemi olarak, blok zincirinin mevcut sistem karmaşıklığı 5 yıl önceki seviyeyi çok aştı, altyapı modülerleştirme derecesi daha rafine edildi, uygulama katmanının akıllı sözleşme mantığı giderek daha bol hale geliyor ve sözleşmeler arasındaki etkileşim çok sık, daha da önemlisi, blockchain sistemi tarafından yönetilen varlıkların sayısı zaten çok fazla, bu nedenle son zamanlarda blockchain güvenlik topluluğunda güvenlik döngüsü hakkında daha fazla tartışma var (durum 2017'dekiyle aynı) , insanlar güvenliği düşündüklerinde sadece geliştiricileri düşünürler. Sözleşmeyi yazıp Ethereum Vakfı'nın arkadaşlarına atıp bir göz atıp bazı temel testler yapmak çok farklıdır).
Bir blockchain programının güvenlik yaşam döngüsü boyunca (testten, üçüncü taraf denetimlerini davet etmeye, olay sonrası izlemeye ve güncelleme denetimlerine kadar), bug bounty topluluğu, oyun teorisi ve küme çalışması yoluyla beyaz şapkaları çekmek için bir güvenlik yastığı gibidir. proje tarafı son kez gözden geçirilecek ve bazı akıllı sözleşmeli güvenlik çalışanları, böcek ödülünün savunma hattındaki son kişi gibi olduğunu düşünüyor, ancak böcek ödülü ve denetim yarışmalarının oynama potansiyeli olduğunu düşünüyorum. güvenlik yaşam döngüsü rolü, sistemin genel güvenliğini geliştirir.
Elbette geleneksel ağ güvenliği alanında bug bounty programları da (Bug Bounty veya Vulnerabilty Rewards) var.Öncelikle Facebook, Google, Microsoft gibi büyük teknoloji şirketleri kendi kurum içi güvenlik ekipleri için bounty programları devreye alacak ve İkinci olarak, HackerOne ve Bugcrowd tarafından temsil edilen Bug bounty üçüncü taraf platformları 2015'ten beri ortaya çıkıyor. sırasıyla yaklaşık 50 milyon ABD doları ve 20 milyon dolar. Blockchain dünyasında ödül, güvenlik çemberinde sıklıkla tartışılan daha ilginç bir konudur.Bunun başlıca nedeni, blockchain kodunun açık kaynağının aslında hackleme ve yükseltme saldırı stratejilerini daha ucuz hale getirmesidir.Ayrıca kripto dünyası güçlü bir şekilde daha açık bir beyaz şapka ekonomisini daha da değerli kılan katkı modellerine açık Çalışma, Yaratıcı ve Mülkiyet Ekonomilerinin kümelenmesini savunur.
Hata ödülleri ve denetim yarışmaları nedir? Onlara neden ihtiyacımız var?
Tıpkı bilgisayar güvenliği uzmanı ve kriptograf Bruce Schneier'in dediği gibi güvenlik, saldırgan ile savunan arasındaki dinamik bir oyundur, "Güvenlik bir süreçtir, bir ürün değil. Yazılım geliştirme sürecinden her yönüyle geçmesi gereken bir düşünce biçimidir. ." Blockchain dünyasında, tüm kodların açık kaynak ve şeffaf olduğu karanlık bir ormanda, uzun süre hayatta kalmak isteyen bir blockchain projesi, ürünlerinin/sözleşmelerinin güvenliği için sonsuz bir talebe sahip olmalıdır. daha az finansal özellik Finanstaki en önemli varlık güvendir ve kullanıcının güveni yalnızca bir kez olur.
Geleneksel denetimin eksiklikleri ve sorunları nerede? Topluluk odaklı böcek ödülleri ve denetim yarışmalarının bu sorunları telafi etmesi için ne gibi avantajları olabilir?
Denetim hizmetlerini kullanan geliştiriciler genellikle şunları bulur:
Pazar ne kadar büyük?
Ödül platformlarının ve denetim yarışmalarının iş modeli, genellikle müşteriler tarafından ödenen ödülün bir kısmını veya platformun hizmet bedeli olarak oluşturulan toplam bonus havuzundan çekmektir. Kod güvenliği denetimlerine ihtiyaç duyan müşteriler (proje tarafları), kendi ihtiyaçlarına göre (hangi kodların denetlenmesi gerektiği, güvenlik açıklarının ciddiyetinin nasıl tanımlanacağı ve ne kadar ödül ödemek istedikleri) planlarını bounty platformunda ilan edecekler. ve beyaz şapkalar Proje tarafının ihtiyacına göre zafiyetler bulunacaktır.Beyaz şapkalar tarafından boşluklar bulunup proje tarafının ihtiyaçlarını karşıladıktan sonra, ödül beyaz şapkalara dağıtılacak ve ödül platformu çekilecektir. hizmet bedeli olarak ondan bir komisyon.
Web2 geleneksel ağ güvenliği alanında, bug bounty platformu da nispeten genç bir yöndür (2012'den sonra ortaya çıkmıştır) ve şu anda en büyük bug bounty platformları HackerOne ve Bugcrowd'dur. 2022'de HackerOne'ın yıllık geliri 58 milyon ABD dolarına, şirketin değerlemesi yaklaşık 500 milyon ABD dolarına ve tarihte ödenen kümülatif ödül 230 milyon ABD dolarına (2021 ve 2022'de 150 milyon ABD doları) ulaşacak. , 1 milyondan fazla kayıtlı bilgisayar korsanına ve her ay HackerOne hizmetlerini kullanan 1.000'den fazla müşteriye sahiptir. Rakibi Bugcrowd'un 2022'de 20 milyon dolardan fazla kazanması bekleniyor.
Web3 güvenliği alanında, 2022 yılında, tüm web3 bug bounty ve denetim yarışması platformları, beyaz şapka korsanlarına toplam 50 milyon ABD doları ödül verecek ve bu tür platformların ortalama ücretlendirme seviyesi %10 ila %30 civarında, bu nedenle ihtiyatlı bir şekilde tahmin ediliyor Mevcut pazar büyüklüğü yaklaşık 5 milyon~15 milyon dolar ve hala çok gelişmekte olan bir pazar.
Bir başka ilginç şey de, giderek daha fazla müşterinin merkezi olmayan güvenlik topluluğu tarafından sağlanan kod denetim hizmetlerini doğrudan kullanmaya istekli olmasıdır.Bunun yerine, üçüncü taraf denetim şirketi, şu anda en büyük merkezi olmayan denetim rekabet platformu olan Code 4 Rena'yı seçti ve kurdu. 1 milyon ABD doları ödül havuzu Günümüzde, geleneksel güvenlik denetim pazarı giderek daha fazla dahil oluyor (hacim insan kaynakları, hacim teknik araçlar, hacim Pazar BD), merkezi olmayan güvenlik hizmetleri bu pazarda önemli bir büyüme olacak mı? (Şu anda piyasada 56 denetim şirketi var ve önde gelen şirketlerin geçen yılki geliri 10 milyon ABD Doları ile 40 milyon ABD Doları arasındaydı. Merkezi olmayan güvenlik pazarında hayal gücüne çok yer olduğunu düşünüyorum).
Bug Bounty Platformları ve Denetim Yarışması Platformları
bug bounty platformunun web2'de on yıllık bir geliştirme geçmişi olmasına rağmen, denetim rekabeti platformu web3 native'de yeni bir şeydir. Denetim rekabeti hizmetinin amacı, ürünleri veya bazı yeni işlevleri piyasaya sürmek üzere olan ve denetim hizmetini belirli bir süre içinde (2 haftadan fazla) tamamlamalarına yardımcı olmak için merkezi olmayan topluluğun gücünü kullanan proje taraflarıdır. bakış açısından, denetim rekabeti geleneksel denetim şirketlerine küçük işletme tehdidi getirmeyecektir.
Aşağıda katılım yöntemleri, ödül yapısı ve test kapsamı açısından iki platform arasındaki farkları göstereceğim:
katılım yolu
Immunefi gibi hata ödül platformları genellikle herkesin her an katılabileceği açık projelerdir. Katılımcılar genellikle ödüller karşılığında güvenlik açıklarını bağımsız olarak keşfeder ve bildirir. İki kişi aynı tekrarlanan güvenlik açığını bulursa, önce gelen alır ilkesi izlenecek ve raporu ilk gönderen ödülü ilk alacak.
Topluluk odaklı denetim rekabeti platformları (örn. Code 4 rena, Sherlock) genellikle zaman sınırlıdır ve güvenlik açıklarını belirli bir zaman çerçevesi içinde bulup bildirmek için katılımcılarla rekabet eder. Bounty platformuyla karşılaştırıldığında, biraz ekip çalışması olacaktır (örneğin, her projede Baş Kıdemli Denetçi ve Baş Hakem açık bir şekilde atanacak ve son olarak tüm denetim sonuçlarını gözden geçirip müşteriye ve bu iki lidere bir denetim raporu halinde özetleyecektir) ayrıca topluluk seçimlerinin ve yarışmalarının ademi merkeziyetçiliği ilkesini de takip edin). Ayrıca, iki denetim yarışmacısı belirtilen süre içinde tekrarlanan boşluklar bulursa, her ikisi de ödül alabilir.
ödül yapısı
Her ikisi tarafından verilen gerçek ödüller, esas olarak keşfedilen güvenlik açığının ciddiyetini dikkate alacaktır.
Tek fark, Code 4 Rena gibi topluluk odaklı bir denetim yarışması platformunun, aslında geleneksel denetimi üstlendikleri için Baş Kıdemli Denetçi ve Baş Hakeme tahsis edilen her proje için ödül havuzunun sabit bir kısmına (%5 ~ %10) sahip olacak olmasıdır. şirket projeleri Sorumlu kişinin rolü.
Bir başka ilginç nokta da bug bounty platformundaki proje partisinin bazen proje tokenlerini ödül olarak vermesi, ancak topluluktaki bazı beyaz şapka korsanlarının fiyat dalgalanmaları yerine USDC ve USDT gibi sabit coinleri almayı tercih ettiğini de gördüm.
kapsam ve odak
Bug bounty platformu projeleri genellikle geniş bir kapsama sahipken, denetim yarışmalarına ilişkin projeler genellikle daha odaklı bir kapsama sahiptir, yazılımın belirli bir işlevini veya yönünü hedeflerken beyaz şapkalıların işi daha kısa sürede tamamlamaya odaklanmalarını gerektirir.
Yarışmaları denetlemeye odaklanan projeler
Code 4 Rena - E-spor benzeri, topluluk odaklı bir denetim rekabeti platformu
Code 4 Rena'nın üç karakter türü vardır:
Denetçiler (Bekçiler) kodu inceler. Profesyonel bir güvenlik mühendisinden daha fazla deneyim kazanmaya çalışan acemi bir geliştiriciye kadar herkes, kamu denetimi yarışmasına katılmak için denetçi olarak kayıt yaptırabilir.
Hakemler genellikle C 4 topluluğundaki en iyi mühendislerdir. Güvenlik açıklarının ciddiyetini, etkinliğini ve kalitesini belirler ve denetim performansını değerlendirirler.
Sponsorlar, Opensea, Blur, ENS, Chainlink vb. gibi proje taraflarıdır. Projelerinin kodunu denetlemek üzere denetçileri çekmek için bonus havuzları oluştururlar. Sponsorlar ayrıca daha fazla mahremiyet için özel, yalnızca davetli yarışmalara ev sahipliği yapma seçeneğine sahiptir.
En ilginç noktalardan biri, Code 4 Rena'nın inşa ettiği kültür: işbirliği ve ekip çalışması teşvik ediliyor. Geleneksel hata ödül programlarından farklı olarak, Code 4 Rena, güvenlik açığı zaten rapor edilmiş olsa bile geçerli bir güvenlik açığı bildiren tüm denetçilere ödeme yapar. Bu, yüksek öneme sahip ve yaygın güvenlik açıklarını bulmaya motive oldukları için denetçiler arasında sağlıklı rekabeti teşvik eder. Bu platformda, bazı denetçiler boşlukları birlikte bulmak için geçici ekipler oluşturacak.
iş modeli:
Herhangi bir proje, bir denetim yarışması programı başlatmak için Code 4 rena'ya gidebilir ve temel bir ödül havuzu oluşturmak için USDC veya ETH sağlayabilir (genellikle ödül havuzunun boyutu 40.000$ ~ 100.000$'dır), Code 4 rena, temel ödül havuzundan %20 ücret alacaktır. bir platform olarak ödül havuzu Yarışmalar düzenlemek, incelemeler sağlamak ve denetim çıktı raporlarını düzenlemek için Hizmet geliri. Proje tarafı ayrıca ek bir ödül havuzu oluşturmak için temel ödül havuzunun üzerinde proje belirteçleri sağlayabilir ve Code 4 rena bu ek ödül havuzunun %40'ını alacaktır.
Sherlock - Akıllı sözleşme sigortasıyla topluluk güdümlü denetim
Code 4 rena'ya benzer şekilde, Sherlock'un denetçi, sponsor ve jüri gibi rolleri de vardır.Sherlock'un benzersizliği, platformun sunduğu sigorta hizmetlerinde yatmaktadır. Sherlock platformundaki sigorta havuzuna herkes yatırım yapabilir.Yatırımcılar sigorta havuzuna USDC yatırır ve sözleşme müşterileri, akıllı sözleşmelerin saldırıya uğrama riskinden korunmak için hizmetler satın alabilir. Sigorta yatırımcılarının gelir kaynakları şunları içerir: sözleşmeli müşteriler tarafından ödenen primler + sigorta havuzu fonlarını diğer DeFi havuzlarına (Aave, Compound vb.) yatırarak kazanılan faiz + Sherlock token teşvikleri. Ancak yatırımcı, faydalardan yararlanırken politikayı geri ödeme riskini taşır.
Code 4 rena'dan farklı olan bir diğer nokta ise platformun sağladığı denetim hizmeti gelirlerinin dağıtım mekanizmasıdır. Code 4 rena ile karşılaştırıldığında, Sherlock'un, tam zamanlı kıdemli denetçiyi uygun şekilde telafi etmek ve motive etmek için baş güvenlik denetçisi ve baş yargıcın ikramiye havuzundan sabit bir miktar (%5 ~ %10) almasına izin veren kuralları vardır. Ek olarak, liderlik rollerinin seçimi için seçim ve rekabet sistemleri vardır.
Hacker topluluğu nasıl kurulur? Web3 beyaz şapkalarının en büyük endişesi nedir?
Farklı merkezi olmayan güvenlik topluluklarını (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, vb.) gözlemledikten ve bazı güvenlik girişimcileriyle sohbet ettikten sonra, tüm merkezi olmayan platformların yapmayı taahhüt ettiği şeyin daha sağlıklı ve verimli bir A oluşturmak olduğunu düşünüyoruz. iletişim ve işbirliği platformu Bounty platformu, Bilgisayar Korsanları ve projeler arasındaki bir pazar yeri gibidir. İhtiyaçlarını bilgisayar korsanlarının bakış açısından değerlendirmeleri gerekir (aşağıdaki tabloda gösterildiği gibi) ve aynı zamanda en iyi Endişe Edilenleri (denetim kalitesi) dikkate almalıdırlar. .
Kaynak: 《Böcek Avcılarının Bug Bounty Eco'nun Zorlukları ve Faydalarına İlişkin Perspektifleri》
Bazı ortak ihtiyaçlara ek olarak, Immunefi beyaz şapka topluluğunda (gördüğüm en canlı beyaz şapka discord topluluğu) bazı ilginç konular da gördüm.
Örneğin:
Rappie adlı beyaz bir şapka, daha önce keşfettiği bazı proje boşluklarını ifşa etmek istiyor ve hangi topluluk kurallarına uyulması gerektiğini soruyor. (1. Yalnızca düzeltilen hataları ifşa edin. 2. Herkese açık bilgilerin protokol veya kullanıcıları üzerinde olumsuz bir etkisi olmadığından emin olun. Gizli bilgileri saklayın, örneğin: SQL enjeksiyon güvenlik açığınızı düzelttikten sonra, onların hakkında bilgi vermeyin. 3. Herkese açık hale getirmeden önce proje ekibine özel bir mesaj göndermeniz gerektiğinden emin olun).
Noam Yakov adlı bir beyaz şapka, bir ödül projesinin tanımı hakkında şüphelere sahiptir (bu genellikle olur, çünkü genellikle yalnızca ciddi güvenlik açıkları ödüllendirilebilir. Proje, güvenlik açığının güvenlik seviyesini nasıl tanımlar? Beyaz şapkalıların derinden önemsediği bir şey) ve topluluk bu tür anlaşmazlıkları çok duyuyor). Uniwhales ödül projesinde, MEV etkisini ciddi bir güvenlik açığı olarak tanımladıkları konusunda şüpheleri vardı. Sonunda herkes bu tür açıklamaların tüm MEV durumları için geçerli olmadığını tartıştı. Örneğin, bazı toksik sipariş akışları için, protokol havuzu olabilir Varlık boşaltma durumu kesinlikle ciddi bir güvenlik olayıdır (bu nedenle, genellikle bir dizi güvenlik seviyesi çerçevesi tanımlamak yeterli değildir ve farklı gerçek vakalara müdahale etmek için genellikle platformda benzer bir hakem rolü gerekir).
Ve çok ilginç bir konu olan "Immunefi gibi bir bounty platformu için talep ve beklentileriniz nelerdir?" diyen ckksec isimli beyaz bir şapkalı cevap verdi: 1) Bu anonim şifreli beyaz şapkalıların emek gelirlerini elde etmelerine yardımcı olmak için faturalandırma gibi bazı yasal açıklamalar yapın. 2) Platform sadece beyaz şapkalar için bir puanlama sistemine sahip olmamalı, aynı zamanda projenin kalitesini de puanlamalıdır çünkü beyaz şapkalılar genellikle projenin kalitesini ayırt etmek için zaman harcamak zorundadır. 3) Profillerini açmak isteyen beyaz şapkalılar için platform iş akışlarını gösterebilir.Aynı zamanda proje tarafı tarafından alınan güvenlik analiz raporu bilgilerini platformun daha şeffaf bir şekilde göstermesi daha iyidir.
Beyaz şapkalara hangi araçlar yardımcı olabilir?
LLM'ler GPT'nin ateşlenmesiyle, son zamanlarda insanların güvenlik denetimlerinin de AI tarafından değiştirilip değiştirilemeyeceğini sık sık tartıştıklarını duydum. Konuştuğum deneyimli güvenlik pratisyenleri genellikle GPT'nin doğrudan insan zekasının yerini almasının zor olduğuna inanıyor. Bazı düşük asılı meyveler (bulması kolay problemler) dil modelleri tarafından tespit edilebilir, ancak orta ve yüksek riskli problemler yine de uzman gerektirir. katılım. Örneğin, kıdemli bir güvenlik uzmanının geri bildirimine göre, benzer veri analizi ve dinamik analiz için, güvenlik analizi testlerini önceden yapmak ve beklenen hedefi tanımlamak için bu daha karmaşık testlerin protokolün gerçek iş mantığıyla yapay olarak birleştirilmesi gerekir. testin özniteliklerini önceden belirleyin.En zor kısım, iyi bir özellik yazmak ve doğru test alanını tanımlamaktır. GPT üzerinde yaptıkları deneylere göre, GPT'nin bu aşamada tamamen insanların yerini alamayacağına inanıyorlar.
Elbette, şu anda LLM'nin güvenlik analiz araçlarının analiz verimliliğini büyük ölçüde artırabileceğini ve yanlış pozitif oranını azaltabileceğini gösteren daha iyimser sonuçlar var.
Bu konuyu teknik olmayan başka bir ilginç açıdan düşünelim. Bu, güvenlik saldırganları ve savunucuları arasında dinamik bir oyundur. Sihir yüksekliği bir ayak diğerinden daha yüksektir. AI, güvenlik saldırganlarına göreli güvenlik getirecek mi? yardım?
Güvenlik insan odaklıdır
İnsanlar, yazılımın soğuk, mekanik ve mantıklı bir şey olduğunu ve sistem güvenliğini geliştirmenin yalnızca analiz teknolojisini ve sistem savunma seviyesini iyileştirmeye ihtiyacı olduğunu alışkanlıkla düşünecekler. Bununla birlikte, insanlar güvenlik konularını ekonomik teşvikler ve insan doğası açısından düşünmekten yoksundur.Açık kaynak kodunun karanlık ormanında, rasyonel insanların varsayımlarına daha uygun bir dağıtım sistemine ihtiyacımız var.Olumlu ve iyi huylu ekonomik teşvikler Blok zincirine uzun süre yatırım yapmak isteyen daha fazla insanı çekmek Sistem güvenliğine bilgelik katan insanlar katılır.
Mevcut geleneksel güvenlik denetimi pazar yapısı istikrarlıdır ve marka itibarı bu alandaki şirketlerin en önemli maddi olmayan varlığıdır.Zamanla, en iyi güvenlik markalarının etkisi ve müşterilerin güveni istikrarlı bir şekilde arttı, ancak geleneksel güvenlik denetimleri de kendi kendi sorunları (iş modeli sadece insan gücüne dayanır ve ölçek olarak büyümek zordur ve lider şirketlerin büyüme ile denetim kalitesini dengelemesi gerekir. Bazı şirketler böyle bir darboğazla karşılaştı ve hatta markanın değerini etkiledi).
Topluluk odaklı güvenlik denetimi yarışması yenilikçi bir iş modelidir. Şu anda, iki platformdan 300'den fazla müşteri kademeli olarak PMF'yi bulmuştur ve ödül platformu, güvenlik yaşam döngüsü için iyi bir tamamlayıcıdır. Bu merkezi olmayan platformlar hala Biz özellikle etkili bir belirteç modeli bulamadık, ancak gelecekte bu pazarın büyük ölçekli büyümesi konusunda çok iyimseriz (çünkü kalabalığın bilgeliği, güvenlik pazarındaki saldırı ve savunma oyunu senaryoları için çok uygundur).
Topluluk odaklı denetim platformları, merkezi denetim firmaları için bir tehdit oluşturacak mı? Sağlıklı bir karşılıklı rekabet ve tamamlayıcı bir ilişkiye sahip olacaklarını düşünüyoruz.Kısa vadede, Code 4 rena gibi bir platform belirli bir ağ etkisi oluşturduğunda ve iyi bir sicile sahip olduğunda (denetlenen projelerin saldırıya uğrama oranı düşüktür), Orta ve kuyruktaki bazı merkezi şirketler belirli rekabet baskıları getirecektir, ancak uzun vadede bu aynı zamanda merkezi denetim platformunu topluluk odaklı platformla bir miktar ticari işbirliği oluşturmaya zorlayabilir çünkü bu aynı zamanda müşteri tabanını da genişletebilir. merkezi güvenlik denetim platformunun ve Denetim kalitesinin iyileştirilmesi (biraz büyük bir web2 şirketi tarafından bağımsız olarak yürütülen ve daha sonra HackerOne gibi üçüncü taraf platformlarla bir işbirliği mantığı oluşturan orijinal güvenlik ödül projesi gibi).
Topluluk odaklı güvenlik platformunun yönü daha DAO odaklı olmak olsa da (Forta aslında bu kategoriye dahil edilebilir), mevcut projenin fiili işleyişinde hala şu gibi sorunlar var: iş akışının nasıl yapılacağı ve ekonomik dağıtım süreci daha şeffaf ve açık , Proje tarafının mahremiyet ve güvenlik hususları nasıl tartılır, ekip çalışması ile kişisel katkı arasındaki ilişkinin nasıl daha net bir şekilde tanımlanacağı, çıkar çatışmaları ortaya çıktığında sorunların nispeten adil ve profesyonel bir şekilde nasıl çözüleceği , vb. Doğru meydan okuma.
Referans: