Будучи великомасштабною комп’ютерною системою, поточна системна складність блокчейну значно перевищила рівень 5-річної давнини, ступінь модульності інфраструктури є більш досконалим, логіка смарт-контрактів на прикладному рівні стає все більш і більш багатою, і взаємодія між контрактами є дуже частою, що більш важливо, кількість активів, якими керує система блокчейну, вже дуже велика, тому останнім часом у співтоваристві безпеки блокчейну стало більше дискусій про цикл безпеки (ситуація така ж, як і в 2017 році). , коли люди згадують про безпеку, вони думають лише про розробників. Написати контракт і кинути його друзям Ethereum Foundation, щоб вони подивилися та провели деякі базові тести – це зовсім інше).
Упродовж усього життєвого циклу безпеки блокчейн-програм (від тестування, запрошення сторонніх перевірок до моніторингу після подій, аудитів оновлень) спільнота винагород за помилки схожа на подушку безпеки, щоб залучити білих капелюхів через теорію ігор і кластерну роботу. Вони проводять останні перегляд коду сторони проекту, і деякі працівники служби безпеки смарт-контрактів вважають, що винагорода за помилку більше схожа на останню людину на лінії оборони, але я думаю, що винагорода за помилку та конкуренція в аудиті можуть відіграти більшу роль у майбутнє, діючи як Ролі протягом усього життєвого циклу безпеки покращують безпеку системи в цілому. **
Звичайно, існують також програми винагороди за помилки (Bug Bounty або Vulnerabilty Rewards) у сфері традиційної мережевої безпеки.По-перше, великі технологічні компанії, такі як Facebook, Google, Microsoft тощо, розгорнуть програми винагороди для своїх власних команд безпеки та їхні власні лінії продуктів. По-друге, приблизно з 2015 року з’явилися сторонні платформи баунті, представлені HackerOne і Bugcrowd. Наразі ці дві провідні охоронні компанії покладаються на розіграші баунті як на свій основний дохід, і їхній річний дохід може сягати майже 50 мільйонів США та 20 млн. доларів США відповідно. У світі блокчейну баунті є більш цікавою темою, яка часто обговорюється в колі безпеки. Основна причина полягає в тому, що відкритий код блокчейну фактично здешевлює вартість злому та вдосконалення стратегій атак. Крім того, криптосвіт прихильників кластеризація економіки праці, творця та власності, відкриті для моделей внеску, які роблять більш відкриту економіку білого капелюха ще більш цінною.
**Що таке премії за помилки та конкурси аудиту? Навіщо вони нам потрібні? **
Безпека — це динамічна гра між зловмисником і захисником, як сказав експерт із комп’ютерної безпеки та криптограф Брюс Шнайєр: «Безпека — це процес, а не продукт. Це спосіб мислення, який повинен проходити через кожен аспект процесу розробки програмного забезпечення. "У світі блокчейну, темному лісі, де всі коди є відкритими та прозорими, проект блокчейну, який хоче вижити протягом тривалого часу, повинен мати вічні потреби у безпеці своїх продуктів/контрактів. Всі продукти мережі мають більш-менш фінансові Найважливішим активом у фінансах є довіра, а довіра користувача лише один раз.
Де недоліки та проблеми традиційного аудиту? Які переваги можуть мати винагороди за помилки та конкурси аудиту, спрямовані на вирішення цих проблем?
Розробники, які використовують послуги аудиту, часто виявляють, що:
Навіть після придбання послуг сторонньої аудиторської компанії все ще виникають проблеми з кодом після перевірки. Хоча причини цих проблем різні (технічні та нетехнічні), здається, що покладатися на них не цілком надійно на аудиторську компанію врешті-решт.Однак якість аудиту коду все одно залежить від рівня аудиторів, і клієнтам часто не вистачає здатності розрізнити, «хто краще».
Платформа баунті та конкурс аудиту є більш відкритою «пісочницею», і код проекту може переглядатися білими капелюхами за бажанням, без обмежень щодо досвіду (можуть бути співробітники професійних аудиторських компаній, а також позаштатні аналітики безпеки) , арсенал необмежений, і все, що клієнти повинні зробити, це встановити розумну винагороду та сплатити свій внесок, коли білий капелюх виявить проблему.
Зазвичай клієнти спочатку надсилають свій код, який потрібно перевірити білому капелюху, визначають рівень безпеки вразливості (зазвичай це пов’язано з можливими економічними втратами, чим легша вразливість, яка безпосередньо спричиняє економічні втрати, тим вищий рівень серйозності) , бюджет баунті, обсяг коду тестування та навіть кроки тестування.
Наскільки великий ринок?
Бізнес-модель баунті-платформ і аудиторських змагань зазвичай полягає в отриманні частини винагороди, яку сплачують клієнти, або загального бонусного пулу, створеного як комісія за обслуговування платформи. Клієнти (учасники проекту), які потребують аудиту безпеки коду, оголосять про свої плани на платформі баунті відповідно до власних потреб (які коди потрібно перевірити, як визначити ступінь серйозності вразливості та яку винагороду вони готові заплатити), і білі капелюхи Уразливості будуть знайдені відповідно до потреб сторони проекту.Якщо лазівки будуть знайдені білими капелюхами та відповідатимуть потребам сторони проекту, винагорода буде розподілена між білими капелюхами, а платформа баунті розіграє комісія з нього як плата за обслуговування.
У сфері традиційної мережевої безпеки Web2 платформа bug bounty також є відносно молодим напрямком (з’явилася після 2012 року), і на даний момент найбільшими платформами bug bounty є HackerOne і Bugcrowd. У 2022 році річний дохід HackerOne сягне 58 мільйонів доларів США, оцінка компанії сягне приблизно 500 мільйонів доларів США, а сукупна винагорода, виплачена в історії, становитиме 230 мільйонів доларів США (у 2021 та 2022 роках буде виплачено 150 мільйонів доларів США винагороди) , і буде виявлено понад 65 000 програмного забезпечення Уразливості, з більш ніж 1 мільйоном зареєстрованих хакерів і понад 1000 клієнтів, які використовують служби HackerOne щомісяця. Очікується, що його конкурент, Bugcrowd, отримає понад 20 мільйонів доларів доходу у 2022 році.
У сфері безпеки Web3 у 2022 році всі платформи винагород за помилки та аудиту web3 розподілять загалом 50 мільйонів доларів США у вигляді премій білим хакерам, а середній рівень комісії таких платформ становить приблизно від 10% до 30%. тому це консервативно оцінено. Поточний розмір ринку становить близько 5-15 млн. доларів США, і це все ще ринок, що розвивається.
Ще одна цікава річ полягає в тому, що все більше і більше клієнтів бажають безпосередньо використовувати послуги аудиту коду, які надає це децентралізоване співтовариство безпеки.Найвідомішим прикладом є те, що Opensea не знайшла напряму службу аудиту другого рівня до запуску своєї нової платформи Seaport. тристороння аудиторська компанія обрала Code4Rena, найбільшу децентралізовану конкурсну платформу аудиту на даний момент, і створила призовий фонд у 1 мільйон доларів США.Сьогодні традиційний ринок аудиту безпеки все більше залучається (людські ресурси, технологічні інструменти, ринок BD ), чи будуть децентралізовані послуги безпеки важливим зростанням цього ринку? (Зараз на ринку працює 56 аудиторських компаній, а дохід провідних компаній за минулий рік склав від 10 до 40 мільйонів доларів США. Я думаю, що на ринку децентралізованої безпеки є багато простору для фантазії).
Платформа Bug Bounty проти платформи Audit Contest
Хоча платформа винагород за помилки має десятирічну історію розвитку в web2, платформа змагання з аудиту є новою річчю в нативній версії web3. Об’єктом послуги конкурсу аудиту є сторони проекту, які збираються запустити продукти або деякі нові функції, і використовують силу децентралізованої спільноти, щоб допомогти їм завершити послугу аудиту протягом певного часу (більше 2 тижнів). З точки зору аудиторської конкуренції, вона не створить загрози для традиційних аудиторських компаній.
Нижче я покажу різницю між двома платформами щодо методів участі, структури винагороди та охоплення тестами:
спосіб участі
Платформи винагород за помилки, такі як Immunefi, зазвичай є відкритими проектами, де кожен може взяти участь у будь-який час. Зазвичай учасники самостійно досліджують уразливості та повідомляють про них в обмін на винагороду. Якщо двоє людей виявлять однакову повторювану вразливість, буде дотримано принципу «першим прийшов – першим обслужено», і той, хто першим надішле звіт, першим отримає винагороду.
Конкурентні платформи аудиту, керовані спільнотою (наприклад, Code4rena, Sherlock), часто обмежені в часі, конкуруючи з учасниками, щоб знайти та повідомити про вразливості протягом певного періоду часу. Порівняно з платформою баунті, буде певна командна робота (наприклад, кожен проект матиме чітке призначення провідного старшого аудитора та провідного суддю, і, нарешті, переглядатиме та підсумовуватиме всі результати аудиту в аудиторському звіті для клієнта, і ці два керівники також дотримуватися принципу децентралізації виборів і конкурсів у громадах). Крім того, якщо два конкуренти з аудиту виявлять повторювані лазівки протягом зазначеного часу, обидва вони можуть отримати винагороду.
Структура винагороди
Фактична винагорода, яку видають обидва, в основному враховуватиме серйозність виявленої вразливості.
Єдина відмінність полягає в тому, що платформа змагань з аудиту, керована спільнотою, як-от Code4Rena, матиме фіксовану частину (5%~10%) бонусного фонду для кожного проекту, призначеного провідному старшому аудитору та провідному судді, оскільки вони фактично беруть на себе роль проектних лідери традиційних аудиторських компаній.
Інший цікавий момент полягає в тому, що учасники проекту на платформі винагород за помилки іноді розміщують токени проекту як винагороду, але я також бачу, що деякі хакери в спільноті вважають за краще отримувати стабільні монети USDC, USDT, а не токени проекту коливання цін.
Обсяг і фокус
Проекти платформи винагород за помилки зазвичай мають широкий охоплення, тоді як проекти з конкурсів аудиту зазвичай мають більш зосереджену сферу, орієнтуючись на конкретну функцію чи аспект програмного забезпечення, вимагаючи від «білих капелюхів» зосередитися на виконанні роботи за коротший період часу.
Проекти, орієнтовані на конкурси аудиту
Code4Rena – схожа на кіберспортивну платформу змагань з аудиту, керована спільнотою
Code4Rena має три типи символів:
1 Код перевірки Аудитор (Сторожі). Будь-хто, від професійного інженера безпеки до початківця розробника, який намагається отримати більше досвіду, може зареєструватися в якості аудитора для участі в публічному конкурсі з аудиту.
2 Судді (судді) зазвичай є найкращими інженерами в спільноті C4. Вони визначають серйозність, ефективність і якість вразливостей і оцінюють продуктивність аудиту.
3 Спонсори (Спонсори) — це учасники проекту, такі як Opensea, Blur, ENS, Chainlink тощо. Вони створюють бонусні пули, щоб залучити аудиторів для перевірки коду своїх проектів. Спонсори також мають можливість проводити приватні змагання лише за запрошеннями для додаткової конфіденційності.
Одним із найцікавіших моментів є культура, яку будує Code4Rena: заохочується співпраця та командна робота. На відміну від традиційних програм винагороди за помилки, Code4Rena платить усім аудиторам, які повідомляють про дійсну вразливість, навіть якщо про вразливість уже було повідомлено. Це заохочує здорову конкуренцію серед аудиторів, оскільки вони мотивовані знаходити серйозні та поширені вразливості. На цій платформі деякі аудитори формують тимчасові команди, щоб разом знаходити лазівки.
бізнес-модель:
Будь-який проект може звернутися до Code4rena, щоб розпочати конкурсну програму аудиту та надати USDC або ETH для створення базового призового фонду (зазвичай розмір призового фонду становить $40 000 ~ $100 000), і Code4rena стягуватиме 20% від основного призового фонду як платформа для організації конкурсів, надання оглядів і організації результатів аудиту Дохід від послуг для звітування про результати. Сторона проекту також може надати токени проекту на додаток до основного призового фонду, щоб створити додатковий призовий фонд, і Code4rena стягуватиме 40% від цього додаткового призового фонду.
Sherlock – аудит, керований спільнотою, зі страхуванням смарт-контрактів
Подібно до Code4rena, Sherlock також має такі ролі, як аудитори, спонсори та судді.Унікальність Sherlock полягає в страхових послугах, які надає платформа. Будь-хто може інвестувати в страховий пул на платформі Sherlock. Інвестори вкладають USDC у страховий пул, а клієнти угод можуть придбати послуги для хеджування ризику злому смарт-контрактів. Джерела доходу для страхових інвесторів включають: премії, сплачені клієнтами за угодою + відсотки, отримані від розміщення коштів страхового пулу в інших пулах DeFi (Aave, Compound тощо) + заохочення токенів Sherlock. Але інвестор несе ризик погашення поліса, одночасно одержуючи вигоди.
Ще одна відмінність від Code4rena — це механізм розподілу доходів від аудиторських послуг, які надає платформа. У порівнянні з Code4rena, Sherlock має правила, які дозволяють головному старшому аудитору безпеки та головному судді отримувати фіксовану суму (5%~10%) із бонусного пулу для належної компенсації та мотивації старших аудиторів, які працюють повний робочий день. Крім того, існують системи відбору та конкурсу на обрання керівних посад.
**Як створити спільноту хакерів? Що найбільше хвилює білих капелюхів Web3? **
Після того, як ми спостерігали за різними децентралізованими спільнотами безпеки (ImmuneFi, Hats Finance, Code4Rena, Sherlock тощо) і спілкувалися з деякими підприємцями з безпеки, ми вважаємо, що всі децентралізовані платформи прагнуть створити більш здорову, ефективну платформу для спілкування та співпраці. , платформа баунті схожа на ринок між хакерами та проектами, вони повинні розглядати свої потреби з точки зору хакерів (як показано в таблиці нижче), і в той же час враховувати, що сторона проекту найбільше піклується з точки зору проекту (Аудит якості).
Джерело: 《Погляд мисливців на помилок щодо проблем і переваг Bug Bounty Eco》
Окрім деяких загальних потреб, я також побачив кілька цікавих тем у спільноті білих капелюхів Immunefi (найжвавіша спільнота білих капелюхів, яку я бачив).
наприклад:
Є білий капелюх на ім’я Реппі, який хоче розкрити деякі лазівки проекту, які він/вона виявив раніше, і запитує, яких правил спільноти потрібно дотримуватися. (1. Публікуйте лише виправлені помилки. 2. Переконайтеся, що будь-яка загальнодоступна інформація не має негативного впливу на протокол або його користувачів. Зберігайте конфіденційну інформацію, наприклад, після усунення вашої вразливості SQL-ін’єкцій, не публікуйте інформацію про їхню повну 3. Переконайтеся, що вам потрібно надіслати приватне повідомлення команді проекту, перш ніж зробити його загальнодоступним).
Білий капелюх на ім’я Ноам Яків має сумніви щодо визначення проекту винагороди (це часто трапляється, тому що зазвичай винагороджуються лише серйозні вразливості безпеки. Як проект визначає рівень безпеки вразливості? Те, що дуже хвилює білих капелюхів , і про такі суперечки в громаді чути багато). У проекті винагороди Uniwhales він мав сумніви щодо їхнього визначення впливу MEV як серйозної вразливості безпеки. Зрештою всі обговорили, що цей тип опису не застосовується до всіх ситуацій MEV. Наприклад, для деяких токсичних потоків замовлень, Пул протоколів. Ситуація витоку активів, безперечно, є серйозним інцидентом безпеки (тому визначення набору рамок рівня безпеки часто недостатньо, і зазвичай вимагає залучення подібних ролей арбітрів на платформі у фактично різних випадках).
А на дуже цікаву тему «Які ваші вимоги та очікування щодо такої платформи винагород, як Immunefi?» Білий капелюх на ім’я ckksec дав свою відповідь: 1) Допоможіть цим білим капелюхам анонімного шифрування заробити свій трудовий прибуток Зробіть деякі юридичні роз’яснення, як-от виставлення рахунків. 2) Платформа повинна мати не лише систему підрахунку балів для білих капелюхів, а й оцінювати якість проекту, оскільки білим капелюхам часто доводиться витрачати час на визначення якості проекту. 3) Для білих капелюхів, які бажають відкрити свій профіль, платформа може показати їхній робочий процес.У той же час, для платформи краще більш прозоро відображати інформацію звіту про аналіз безпеки, отриману стороною проекту.
Які інструменти можуть допомогти білим капелюшкам?
Нещодавно я чув, як люди почали обговорювати, чи можна замінити аудит безпеки штучним інтелектом. Досвідчені практики безпеки, з якими я спілкувався, загалом вважають, що GPT важко безпосередньо замінити людську мудрість.Деякі слабкі плоди (проблеми, які легко знайти) можуть бути виявлені за допомогою мовних моделей, але для тих проблем із середнім і високим ризиком все одно потрібен експерт участь. Наприклад, згідно з відгуком старшого експерта з безпеки, для аналогічного аналізу даних і динамічного аналізу ці більш складні тести потрібно штучно поєднувати з фактичною бізнес-логікою протоколу, щоб заздалегідь провести тести аналізу безпеки та визначити очікувану ціль атрибути тесту заздалегідь.Найважча частина — написати хороші властивості та визначити правильне тестове поле. Згідно з їхніми експериментами з GPT, вони вважають, що GPT не може повністю замінити людину на цьому етапі.
Звичайно, наразі є більш оптимістичні результати, які показують, що LLM може значно підвищити ефективність аналізу інструментів аналізу безпеки та зменшити рівень помилкових позитивних результатів:
Давайте подумаємо про цю тему з іншої цікавої нетехнічної точки зору. Це динамічна гра між зловмисниками та захисниками. Магічна висота на одну ногу вища за іншу. Чи штучний інтелект створить проблеми з безпекою для зловмисників? Допоможіть?
Безпека орієнтована на людей
Люди зазвичай будуть думати, що програмне забезпечення — це холодна, механічна та логічна річ, а для підвищення безпеки системи потрібно лише покращити технологію аналізу та рівень захисту системи. Проте людям бракує міркувань про проблеми безпеки з точки зору економічних стимулів і людської природи. У темному лісі відкритого вихідного коду нам потрібна система розповсюдження, яка більше відповідає припущенням раціональних людей. Позитивні та доброякісні економічні стимули залучити більше людей, які готові інвестувати в блокчейн протягом тривалого часу. Приєднуються люди, які вносять мудрість у безпеку системи.
Поточна структура ринку традиційного аудиту безпеки є стабільною, а репутація бренду є найважливішим нематеріальним активом компаній у цій галузі. З часом вплив провідних брендів безпеки та довіра клієнтів невпинно зростає, але традиційні аудити безпеки також мають свої власні проблеми (бізнес-модель покладається виключно на робочу силу, і її важко розвивати в масштабі, а провідним компаніям необхідно збалансувати зростання та якість аудиту. Деякі компанії зіткнулися з таким вузьким місцем і навіть вплинули на вартість бренду).
**Конкурс з аудиту безпеки, керований спільнотою, є інноваційною бізнес-моделлю. **Наразі кількість клієнтів двох платформ перевищила 300 і поступово знайшли PMF. *Платформа баунті є хорошим доповненням до життєвого циклу безпеки. * Хоча ці децентралізовані платформи ще не знайшли особливо ефективної моделі токенів, ми дуже оптимістично налаштовані щодо широкомасштабного зростання цього ринку в майбутньому (оскільки мудрість натовпу дуже підходить для сценаріїв наступальної та захисної гри в ринок безпеки).
** Чи становлять аудиторські платформи, керовані громадою, загрозу для централізованих аудиторських компаній? Ми вважаємо, що вони матимуть доброзичливу взаємну конкуренцію та взаємодоповнюючі відносини. У короткостроковій перспективі, коли така платформа, як Code4rena, сформує певний мережевий ефект і матиме хорошу історію (частка перевірених проектів, які зламано, є низькою), вона може справді, деякі централізовані компанії в середині та хвості створять певний конкурентний тиск, але в довгостроковій перспективі це також може змусити централізовану платформу аудиту налагодити певну комерційну співпрацю з платформою, керованою спільнотою, оскільки це також може розширити кількість клієнтів централізовану платформу аудиту безпеки Group і покращення якості аудиту (трохи схоже на оригінальний проект із винагороди за безпеку, який незалежно керував великою компанією web2, а пізніше сформував логіку співпраці зі сторонніми платформами, такими як HackerOne).
Хоча напрямок платформи безпеки, керованої спільнотою, полягає в тому, щоб бути більш орієнтованою на DAO (Forta фактично можна включити до цієї категорії), у фактичній роботі поточного проекту все ще існують такі проблеми, як: як зробити робочий процес і економічний процес розподілу більш прозорий і відкритий, як зважити конфіденційність і безпеку сторони проекту, як більш чітко визначити зв'язок між командною роботою та особистим внеском, як вирішити проблему більш чесним і професійним способом у разі конфлікту інтересів виникають і т.д. Це речі, з якими безпеки DAO повинні зіткнутися з правильним викликом.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Crowd Intelligence in Security - Ринок премій і аудиту, керований спільнотою
Рей, IOSG Ventures
Будучи великомасштабною комп’ютерною системою, поточна системна складність блокчейну значно перевищила рівень 5-річної давнини, ступінь модульності інфраструктури є більш досконалим, логіка смарт-контрактів на прикладному рівні стає все більш і більш багатою, і взаємодія між контрактами є дуже частою, що більш важливо, кількість активів, якими керує система блокчейну, вже дуже велика, тому останнім часом у співтоваристві безпеки блокчейну стало більше дискусій про цикл безпеки (ситуація така ж, як і в 2017 році). , коли люди згадують про безпеку, вони думають лише про розробників. Написати контракт і кинути його друзям Ethereum Foundation, щоб вони подивилися та провели деякі базові тести – це зовсім інше).
Упродовж усього життєвого циклу безпеки блокчейн-програм (від тестування, запрошення сторонніх перевірок до моніторингу після подій, аудитів оновлень) спільнота винагород за помилки схожа на подушку безпеки, щоб залучити білих капелюхів через теорію ігор і кластерну роботу. Вони проводять останні перегляд коду сторони проекту, і деякі працівники служби безпеки смарт-контрактів вважають, що винагорода за помилку більше схожа на останню людину на лінії оборони, але я думаю, що винагорода за помилку та конкуренція в аудиті можуть відіграти більшу роль у майбутнє, діючи як Ролі протягом усього життєвого циклу безпеки покращують безпеку системи в цілому. **
Звичайно, існують також програми винагороди за помилки (Bug Bounty або Vulnerabilty Rewards) у сфері традиційної мережевої безпеки.По-перше, великі технологічні компанії, такі як Facebook, Google, Microsoft тощо, розгорнуть програми винагороди для своїх власних команд безпеки та їхні власні лінії продуктів. По-друге, приблизно з 2015 року з’явилися сторонні платформи баунті, представлені HackerOne і Bugcrowd. Наразі ці дві провідні охоронні компанії покладаються на розіграші баунті як на свій основний дохід, і їхній річний дохід може сягати майже 50 мільйонів США та 20 млн. доларів США відповідно. У світі блокчейну баунті є більш цікавою темою, яка часто обговорюється в колі безпеки. Основна причина полягає в тому, що відкритий код блокчейну фактично здешевлює вартість злому та вдосконалення стратегій атак. Крім того, криптосвіт прихильників кластеризація економіки праці, творця та власності, відкриті для моделей внеску, які роблять більш відкриту економіку білого капелюха ще більш цінною.
**Що таке премії за помилки та конкурси аудиту? Навіщо вони нам потрібні? **
Безпека — це динамічна гра між зловмисником і захисником, як сказав експерт із комп’ютерної безпеки та криптограф Брюс Шнайєр: «Безпека — це процес, а не продукт. Це спосіб мислення, який повинен проходити через кожен аспект процесу розробки програмного забезпечення. "У світі блокчейну, темному лісі, де всі коди є відкритими та прозорими, проект блокчейну, який хоче вижити протягом тривалого часу, повинен мати вічні потреби у безпеці своїх продуктів/контрактів. Всі продукти мережі мають більш-менш фінансові Найважливішим активом у фінансах є довіра, а довіра користувача лише один раз.
Де недоліки та проблеми традиційного аудиту? Які переваги можуть мати винагороди за помилки та конкурси аудиту, спрямовані на вирішення цих проблем?
Розробники, які використовують послуги аудиту, часто виявляють, що:
Наскільки великий ринок?
Бізнес-модель баунті-платформ і аудиторських змагань зазвичай полягає в отриманні частини винагороди, яку сплачують клієнти, або загального бонусного пулу, створеного як комісія за обслуговування платформи. Клієнти (учасники проекту), які потребують аудиту безпеки коду, оголосять про свої плани на платформі баунті відповідно до власних потреб (які коди потрібно перевірити, як визначити ступінь серйозності вразливості та яку винагороду вони готові заплатити), і білі капелюхи Уразливості будуть знайдені відповідно до потреб сторони проекту.Якщо лазівки будуть знайдені білими капелюхами та відповідатимуть потребам сторони проекту, винагорода буде розподілена між білими капелюхами, а платформа баунті розіграє комісія з нього як плата за обслуговування.
У сфері традиційної мережевої безпеки Web2 платформа bug bounty також є відносно молодим напрямком (з’явилася після 2012 року), і на даний момент найбільшими платформами bug bounty є HackerOne і Bugcrowd. У 2022 році річний дохід HackerOne сягне 58 мільйонів доларів США, оцінка компанії сягне приблизно 500 мільйонів доларів США, а сукупна винагорода, виплачена в історії, становитиме 230 мільйонів доларів США (у 2021 та 2022 роках буде виплачено 150 мільйонів доларів США винагороди) , і буде виявлено понад 65 000 програмного забезпечення Уразливості, з більш ніж 1 мільйоном зареєстрованих хакерів і понад 1000 клієнтів, які використовують служби HackerOne щомісяця. Очікується, що його конкурент, Bugcrowd, отримає понад 20 мільйонів доларів доходу у 2022 році.
У сфері безпеки Web3 у 2022 році всі платформи винагород за помилки та аудиту web3 розподілять загалом 50 мільйонів доларів США у вигляді премій білим хакерам, а середній рівень комісії таких платформ становить приблизно від 10% до 30%. тому це консервативно оцінено. Поточний розмір ринку становить близько 5-15 млн. доларів США, і це все ще ринок, що розвивається.
Ще одна цікава річ полягає в тому, що все більше і більше клієнтів бажають безпосередньо використовувати послуги аудиту коду, які надає це децентралізоване співтовариство безпеки.Найвідомішим прикладом є те, що Opensea не знайшла напряму службу аудиту другого рівня до запуску своєї нової платформи Seaport. тристороння аудиторська компанія обрала Code4Rena, найбільшу децентралізовану конкурсну платформу аудиту на даний момент, і створила призовий фонд у 1 мільйон доларів США.Сьогодні традиційний ринок аудиту безпеки все більше залучається (людські ресурси, технологічні інструменти, ринок BD ), чи будуть децентралізовані послуги безпеки важливим зростанням цього ринку? (Зараз на ринку працює 56 аудиторських компаній, а дохід провідних компаній за минулий рік склав від 10 до 40 мільйонів доларів США. Я думаю, що на ринку децентралізованої безпеки є багато простору для фантазії).
Платформа Bug Bounty проти платформи Audit Contest
Хоча платформа винагород за помилки має десятирічну історію розвитку в web2, платформа змагання з аудиту є новою річчю в нативній версії web3. Об’єктом послуги конкурсу аудиту є сторони проекту, які збираються запустити продукти або деякі нові функції, і використовують силу децентралізованої спільноти, щоб допомогти їм завершити послугу аудиту протягом певного часу (більше 2 тижнів). З точки зору аудиторської конкуренції, вона не створить загрози для традиційних аудиторських компаній.
Нижче я покажу різницю між двома платформами щодо методів участі, структури винагороди та охоплення тестами:
спосіб участі
Платформи винагород за помилки, такі як Immunefi, зазвичай є відкритими проектами, де кожен може взяти участь у будь-який час. Зазвичай учасники самостійно досліджують уразливості та повідомляють про них в обмін на винагороду. Якщо двоє людей виявлять однакову повторювану вразливість, буде дотримано принципу «першим прийшов – першим обслужено», і той, хто першим надішле звіт, першим отримає винагороду.
Конкурентні платформи аудиту, керовані спільнотою (наприклад, Code4rena, Sherlock), часто обмежені в часі, конкуруючи з учасниками, щоб знайти та повідомити про вразливості протягом певного періоду часу. Порівняно з платформою баунті, буде певна командна робота (наприклад, кожен проект матиме чітке призначення провідного старшого аудитора та провідного суддю, і, нарешті, переглядатиме та підсумовуватиме всі результати аудиту в аудиторському звіті для клієнта, і ці два керівники також дотримуватися принципу децентралізації виборів і конкурсів у громадах). Крім того, якщо два конкуренти з аудиту виявлять повторювані лазівки протягом зазначеного часу, обидва вони можуть отримати винагороду.
Структура винагороди
Фактична винагорода, яку видають обидва, в основному враховуватиме серйозність виявленої вразливості.
Єдина відмінність полягає в тому, що платформа змагань з аудиту, керована спільнотою, як-от Code4Rena, матиме фіксовану частину (5%~10%) бонусного фонду для кожного проекту, призначеного провідному старшому аудитору та провідному судді, оскільки вони фактично беруть на себе роль проектних лідери традиційних аудиторських компаній.
Інший цікавий момент полягає в тому, що учасники проекту на платформі винагород за помилки іноді розміщують токени проекту як винагороду, але я також бачу, що деякі хакери в спільноті вважають за краще отримувати стабільні монети USDC, USDT, а не токени проекту коливання цін.
Обсяг і фокус
Проекти платформи винагород за помилки зазвичай мають широкий охоплення, тоді як проекти з конкурсів аудиту зазвичай мають більш зосереджену сферу, орієнтуючись на конкретну функцію чи аспект програмного забезпечення, вимагаючи від «білих капелюхів» зосередитися на виконанні роботи за коротший період часу.
Проекти, орієнтовані на конкурси аудиту
Code4Rena – схожа на кіберспортивну платформу змагань з аудиту, керована спільнотою
Code4Rena має три типи символів:
1 Код перевірки Аудитор (Сторожі). Будь-хто, від професійного інженера безпеки до початківця розробника, який намагається отримати більше досвіду, може зареєструватися в якості аудитора для участі в публічному конкурсі з аудиту.
2 Судді (судді) зазвичай є найкращими інженерами в спільноті C4. Вони визначають серйозність, ефективність і якість вразливостей і оцінюють продуктивність аудиту.
3 Спонсори (Спонсори) — це учасники проекту, такі як Opensea, Blur, ENS, Chainlink тощо. Вони створюють бонусні пули, щоб залучити аудиторів для перевірки коду своїх проектів. Спонсори також мають можливість проводити приватні змагання лише за запрошеннями для додаткової конфіденційності.
Одним із найцікавіших моментів є культура, яку будує Code4Rena: заохочується співпраця та командна робота. На відміну від традиційних програм винагороди за помилки, Code4Rena платить усім аудиторам, які повідомляють про дійсну вразливість, навіть якщо про вразливість уже було повідомлено. Це заохочує здорову конкуренцію серед аудиторів, оскільки вони мотивовані знаходити серйозні та поширені вразливості. На цій платформі деякі аудитори формують тимчасові команди, щоб разом знаходити лазівки.
бізнес-модель:
Будь-який проект може звернутися до Code4rena, щоб розпочати конкурсну програму аудиту та надати USDC або ETH для створення базового призового фонду (зазвичай розмір призового фонду становить $40 000 ~ $100 000), і Code4rena стягуватиме 20% від основного призового фонду як платформа для організації конкурсів, надання оглядів і організації результатів аудиту Дохід від послуг для звітування про результати. Сторона проекту також може надати токени проекту на додаток до основного призового фонду, щоб створити додатковий призовий фонд, і Code4rena стягуватиме 40% від цього додаткового призового фонду.
Sherlock – аудит, керований спільнотою, зі страхуванням смарт-контрактів
Подібно до Code4rena, Sherlock також має такі ролі, як аудитори, спонсори та судді.Унікальність Sherlock полягає в страхових послугах, які надає платформа. Будь-хто може інвестувати в страховий пул на платформі Sherlock. Інвестори вкладають USDC у страховий пул, а клієнти угод можуть придбати послуги для хеджування ризику злому смарт-контрактів. Джерела доходу для страхових інвесторів включають: премії, сплачені клієнтами за угодою + відсотки, отримані від розміщення коштів страхового пулу в інших пулах DeFi (Aave, Compound тощо) + заохочення токенів Sherlock. Але інвестор несе ризик погашення поліса, одночасно одержуючи вигоди.
Ще одна відмінність від Code4rena — це механізм розподілу доходів від аудиторських послуг, які надає платформа. У порівнянні з Code4rena, Sherlock має правила, які дозволяють головному старшому аудитору безпеки та головному судді отримувати фіксовану суму (5%~10%) із бонусного пулу для належної компенсації та мотивації старших аудиторів, які працюють повний робочий день. Крім того, існують системи відбору та конкурсу на обрання керівних посад.
**Як створити спільноту хакерів? Що найбільше хвилює білих капелюхів Web3? **
Після того, як ми спостерігали за різними децентралізованими спільнотами безпеки (ImmuneFi, Hats Finance, Code4Rena, Sherlock тощо) і спілкувалися з деякими підприємцями з безпеки, ми вважаємо, що всі децентралізовані платформи прагнуть створити більш здорову, ефективну платформу для спілкування та співпраці. , платформа баунті схожа на ринок між хакерами та проектами, вони повинні розглядати свої потреби з точки зору хакерів (як показано в таблиці нижче), і в той же час враховувати, що сторона проекту найбільше піклується з точки зору проекту (Аудит якості).
Джерело: 《Погляд мисливців на помилок щодо проблем і переваг Bug Bounty Eco》
Окрім деяких загальних потреб, я також побачив кілька цікавих тем у спільноті білих капелюхів Immunefi (найжвавіша спільнота білих капелюхів, яку я бачив).
наприклад:
Є білий капелюх на ім’я Реппі, який хоче розкрити деякі лазівки проекту, які він/вона виявив раніше, і запитує, яких правил спільноти потрібно дотримуватися. (1. Публікуйте лише виправлені помилки. 2. Переконайтеся, що будь-яка загальнодоступна інформація не має негативного впливу на протокол або його користувачів. Зберігайте конфіденційну інформацію, наприклад, після усунення вашої вразливості SQL-ін’єкцій, не публікуйте інформацію про їхню повну 3. Переконайтеся, що вам потрібно надіслати приватне повідомлення команді проекту, перш ніж зробити його загальнодоступним).
Білий капелюх на ім’я Ноам Яків має сумніви щодо визначення проекту винагороди (це часто трапляється, тому що зазвичай винагороджуються лише серйозні вразливості безпеки. Як проект визначає рівень безпеки вразливості? Те, що дуже хвилює білих капелюхів , і про такі суперечки в громаді чути багато). У проекті винагороди Uniwhales він мав сумніви щодо їхнього визначення впливу MEV як серйозної вразливості безпеки. Зрештою всі обговорили, що цей тип опису не застосовується до всіх ситуацій MEV. Наприклад, для деяких токсичних потоків замовлень, Пул протоколів. Ситуація витоку активів, безперечно, є серйозним інцидентом безпеки (тому визначення набору рамок рівня безпеки часто недостатньо, і зазвичай вимагає залучення подібних ролей арбітрів на платформі у фактично різних випадках).
А на дуже цікаву тему «Які ваші вимоги та очікування щодо такої платформи винагород, як Immunefi?» Білий капелюх на ім’я ckksec дав свою відповідь: 1) Допоможіть цим білим капелюхам анонімного шифрування заробити свій трудовий прибуток Зробіть деякі юридичні роз’яснення, як-от виставлення рахунків. 2) Платформа повинна мати не лише систему підрахунку балів для білих капелюхів, а й оцінювати якість проекту, оскільки білим капелюхам часто доводиться витрачати час на визначення якості проекту. 3) Для білих капелюхів, які бажають відкрити свій профіль, платформа може показати їхній робочий процес.У той же час, для платформи краще більш прозоро відображати інформацію звіту про аналіз безпеки, отриману стороною проекту.
Які інструменти можуть допомогти білим капелюшкам?
Нещодавно я чув, як люди почали обговорювати, чи можна замінити аудит безпеки штучним інтелектом. Досвідчені практики безпеки, з якими я спілкувався, загалом вважають, що GPT важко безпосередньо замінити людську мудрість.Деякі слабкі плоди (проблеми, які легко знайти) можуть бути виявлені за допомогою мовних моделей, але для тих проблем із середнім і високим ризиком все одно потрібен експерт участь. Наприклад, згідно з відгуком старшого експерта з безпеки, для аналогічного аналізу даних і динамічного аналізу ці більш складні тести потрібно штучно поєднувати з фактичною бізнес-логікою протоколу, щоб заздалегідь провести тести аналізу безпеки та визначити очікувану ціль атрибути тесту заздалегідь.Найважча частина — написати хороші властивості та визначити правильне тестове поле. Згідно з їхніми експериментами з GPT, вони вважають, що GPT не може повністю замінити людину на цьому етапі.
Звичайно, наразі є більш оптимістичні результати, які показують, що LLM може значно підвищити ефективність аналізу інструментів аналізу безпеки та зменшити рівень помилкових позитивних результатів:
Давайте подумаємо про цю тему з іншої цікавої нетехнічної точки зору. Це динамічна гра між зловмисниками та захисниками. Магічна висота на одну ногу вища за іншу. Чи штучний інтелект створить проблеми з безпекою для зловмисників? Допоможіть?
Безпека орієнтована на людей
Люди зазвичай будуть думати, що програмне забезпечення — це холодна, механічна та логічна річ, а для підвищення безпеки системи потрібно лише покращити технологію аналізу та рівень захисту системи. Проте людям бракує міркувань про проблеми безпеки з точки зору економічних стимулів і людської природи. У темному лісі відкритого вихідного коду нам потрібна система розповсюдження, яка більше відповідає припущенням раціональних людей. Позитивні та доброякісні економічні стимули залучити більше людей, які готові інвестувати в блокчейн протягом тривалого часу. Приєднуються люди, які вносять мудрість у безпеку системи.
Поточна структура ринку традиційного аудиту безпеки є стабільною, а репутація бренду є найважливішим нематеріальним активом компаній у цій галузі. З часом вплив провідних брендів безпеки та довіра клієнтів невпинно зростає, але традиційні аудити безпеки також мають свої власні проблеми (бізнес-модель покладається виключно на робочу силу, і її важко розвивати в масштабі, а провідним компаніям необхідно збалансувати зростання та якість аудиту. Деякі компанії зіткнулися з таким вузьким місцем і навіть вплинули на вартість бренду).
**Конкурс з аудиту безпеки, керований спільнотою, є інноваційною бізнес-моделлю. **Наразі кількість клієнтів двох платформ перевищила 300 і поступово знайшли PMF. *Платформа баунті є хорошим доповненням до життєвого циклу безпеки. * Хоча ці децентралізовані платформи ще не знайшли особливо ефективної моделі токенів, ми дуже оптимістично налаштовані щодо широкомасштабного зростання цього ринку в майбутньому (оскільки мудрість натовпу дуже підходить для сценаріїв наступальної та захисної гри в ринок безпеки).
** Чи становлять аудиторські платформи, керовані громадою, загрозу для централізованих аудиторських компаній? Ми вважаємо, що вони матимуть доброзичливу взаємну конкуренцію та взаємодоповнюючі відносини. У короткостроковій перспективі, коли така платформа, як Code4rena, сформує певний мережевий ефект і матиме хорошу історію (частка перевірених проектів, які зламано, є низькою), вона може справді, деякі централізовані компанії в середині та хвості створять певний конкурентний тиск, але в довгостроковій перспективі це також може змусити централізовану платформу аудиту налагодити певну комерційну співпрацю з платформою, керованою спільнотою, оскільки це також може розширити кількість клієнтів централізовану платформу аудиту безпеки Group і покращення якості аудиту (трохи схоже на оригінальний проект із винагороди за безпеку, який незалежно керував великою компанією web2, а пізніше сформував логіку співпраці зі сторонніми платформами, такими як HackerOne).
Хоча напрямок платформи безпеки, керованої спільнотою, полягає в тому, щоб бути більш орієнтованою на DAO (Forta фактично можна включити до цієї категорії), у фактичній роботі поточного проекту все ще існують такі проблеми, як: як зробити робочий процес і економічний процес розподілу більш прозорий і відкритий, як зважити конфіденційність і безпеку сторони проекту, як більш чітко визначити зв'язок між командною роботою та особистим внеском, як вирішити проблему більш чесним і професійним способом у разі конфлікту інтересів виникають і т.д. Це речі, з якими безпеки DAO повинні зіткнутися з правильним викликом.