Будучи великомасштабною комп’ютерною системою, поточна системна складність блокчейну значно перевищила рівень 5-річної давнини, ступінь модульності інфраструктури є більш досконалим, логіка смарт-контракту прикладного рівня стає все більш і більш багатою, і взаємодія між контрактами є дуже частою, що більш важливо, кількість активів, якими керує система блокчейну, вже дуже велика, тому останнім часом у співтоваристві безпеки блокчейну стало більше дискусій про цикл безпеки (ситуація така ж, як і в 2017 році). , коли люди думають про безпеку, вони думають лише про розробників. Написати контракт і кинути його друзям Ethereum Foundation, щоб вони подивилися та провели кілька базових тестів, це зовсім інше).
Протягом усього життєвого циклу безпеки блокчейн-програм (від тестування, запрошення сторонніх перевірок до моніторингу після подій, аудитів оновлень) спільнота винагород за помилки нагадує подушку безпеки, щоб залучити білих капелюхів до блокчейну через теорію ігор і кластерну роботу. Код учасника проекту буде переглянуто востаннє, і деякі працівники безпеки розумних контрактів вважають, що винагорода за помилку більше схожа на останню людину на лінії захисту, але я думаю, що винагорода за помилку та змагання з аудиту мають потенціал грати більшу роль у майбутньому, слугуючи системою, яка проходить через увесь життєвий цикл безпеки. Роль покращує загальну безпеку системи.
Звичайно, існують також програми винагороди за помилки (Bug Bounty або Vulnerabilty Rewards) у сфері традиційної мережевої безпеки.По-перше, великі технологічні компанії, такі як Facebook, Google, Microsoft тощо, розгорнуть програми винагороди для своїх власних команд безпеки та власні лінії продуктів.Сторонні платформи баунті, представлені HackerOne і Bugcrowd, з’явилися приблизно з 2015 р. Наразі ці дві провідні охоронні компанії покладаються на розподіл комісійних винагород як основний дохід, і їхній річний дохід може досягати майже 50 млн. доларів США і 20 млн. дол. У світі блокчейну винагорода є більш цікавою темою, яка часто обговорюється в колі безпеки. Основна причина полягає в тому, що відкритий вихідний код блокчейну фактично здешевлює вартість злому та оновлення стратегій атак. Крім того, криптосвіт сильно виступає за кластеризацію економіки роботи, творця та власності, відкритої для моделей внесків, які роблять більш відкриту економіку білого капелюха ще більш цінною.
Що таке премії за помилки та конкурси аудиту? Навіщо вони нам потрібні?
Безпека — це динамічна гра між зловмисником і захисником, як сказав експерт із комп’ютерної безпеки та криптограф Брюс Шнайєр: «Безпека — це процес, а не продукт. Це спосіб мислення, який має проходити через процес розробки програмного забезпечення в усіх аспектах "У світі блокчейну, темному лісі, де всі коди є відкритими та прозорими, проект блокчейну, який хоче вижити протягом тривалого часу, повинен мати постійний попит на безпеку своїх продуктів/контрактів. Усі продукти мережі мають більше або менше фінансових атрибутів Найважливішим активом у фінансах є довіра, а довіра користувача лише один раз.
Де недоліки та проблеми традиційного аудиту? Які переваги можуть мати винагороди за помилки та конкурси аудиту, спрямовані на вирішення цих проблем?
Розробники, які використовують послуги аудиту, часто виявляють, що:
Навіть після придбання послуг сторонньої аудиторської компанії все ще виникають проблеми з кодом після перевірки. Хоча причини цих проблем різні (технічні та нетехнічні), здається, що покладатися на них не цілком надійно зрештою на аудиторську компанію.Однак якість аудиту коду все одно залежить від рівня аудитора, і клієнтам часто не вистачає здатності розрізнити, «хто краще».
Платформа баунті та конкурс аудиту є більш відкритою «пісочницею», і код проекту можуть переглядати «білі капелюхи» за бажанням, незалежно від походження (можуть бути співробітники професійних аудиторських компаній, а можуть бути позаштатні аналітики безпеки), Арсенал необмежений, і все, що клієнти повинні зробити, це встановити розумну винагороду та сплатити свій внесок, коли білий капелюх виявить проблему.
Зазвичай клієнти спочатку надсилають свій код, який потрібно перевірити білому капелюху, визначають рівень безпеки вразливості (зазвичай це пов’язано з можливими економічними втратами, чим легша вразливість, яка безпосередньо спричиняє економічні втрати, тим вищий рівень серйозності) , бюджет баунті, обсяг коду тестування та навіть кроки тестування.
Наскільки великий ринок?
Бізнес-модель баунті-платформ і аудиторських змагань зазвичай полягає в отриманні частини винагороди, яку сплачують клієнти, або загального бонусного пулу, створеного як комісія за обслуговування платформи. Клієнти (учасники проекту), які потребують аудиту безпеки коду, оголосять про свої плани на платформі баунті відповідно до власних потреб (які коди потрібно перевірити, як визначити ступінь серйозності вразливості та яку винагороду вони готові заплатити), і білі капелюхи Уразливості будуть знайдені відповідно до потреб сторони проекту.Якщо лазівки будуть знайдені білими капелюхами та відповідатимуть потребам сторони проекту, винагорода буде розподілена між білими капелюхами, а платформа баунті розіграє комісія з нього як плата за обслуговування.
У сфері традиційної мережевої безпеки Web2 платформа bug bounty також є відносно молодим напрямком (з’явилася після 2012 року), і на даний момент найбільшими платформами bug bounty є HackerOne і Bugcrowd. У 2022 році річний дохід HackerOne сягне 58 мільйонів доларів США, оцінка компанії сягне приблизно 500 мільйонів доларів США, а загальна винагорода, виплачена в історії, становитиме 230 мільйонів доларів США (150 мільйонів доларів США у 2021 та 2022 роках). , має понад 1 мільйон зареєстрованих хакерів і понад 1000 клієнтів, які щомісяця користуються послугами HackerOne. Очікується, що його конкурент, Bugcrowd, заробить понад 20 мільйонів доларів у 2022 році.
У сфері безпеки Web3 у 2022 році всі платформи винагород за виявлення помилок і конкуренції за аудит web3 видадуть загалом 50 мільйонів доларів США винагород хакерам із білим капелюхом, а середній рівень оплати таких платформ становить приблизно від 10% до 30%. тому це консервативно оцінено. Поточний розмір ринку становить близько 5 ~ 15 млн. доларів США, і це все ще ринок, що розвивається.
Іншим цікавим моментом є те, що все більше клієнтів бажають напряму використовувати послуги аудиту коду, які надає спільнота децентралізованої безпеки. Натомість стороння аудиторська компанія обрала Code 4 Rena, найбільшу на даний момент платформу децентралізованого аудиту, і створила призовий фонд становить 1 мільйон доларів США. Сьогодні традиційний ринок аудиту безпеки залучається все більше (обсяг людських ресурсів, об’єм технічних інструментів, об’єм ринку BD), чи будуть децентралізовані послуги безпеки важливим зростанням цього ринку? (Зараз на ринку працює 56 аудиторських компаній, а дохід провідних компаній за минулий рік склав від 10 до 40 мільйонів доларів США. Я думаю, що на ринку децентралізованої безпеки є багато простору для фантазії).
Платформи Bug Bounty проти платформ Audit Contest
Хоча платформа винагород за помилки має десятирічну історію розвитку в web2, платформа змагання з аудиту є новою річчю в нативній версії web3. Об’єктом послуги конкурсу аудиту є сторони проекту, які збираються запустити продукти або деякі нові функції, і використовують силу децентралізованої спільноти, щоб допомогти їм завершити послугу аудиту протягом певного часу (більше 2 тижнів). З точки зору аудиторської конкуренції, вона не створить загрози для традиційних аудиторських компаній.
Нижче я покажу різницю між двома платформами щодо методів участі, структури винагороди та охоплення тестами:
спосіб участі
Платформи винагород за помилки, такі як Immunefi, зазвичай є відкритими проектами, де кожен може взяти участь у будь-який час. Зазвичай учасники самостійно досліджують уразливості та повідомляють про них в обмін на винагороду. Якщо двоє людей виявлять однакову повторювану вразливість, буде дотримано принципу «першим прийшов – першим обслужено», і той, хто першим надішле звіт, першим отримає винагороду.
Конкурентні платформи аудиту, керовані спільнотою (наприклад, Code 4 rena, Sherlock), часто обмежені в часі та змагаються з учасниками, щоб знайти та повідомити про вразливості протягом певного періоду часу. Порівняно з платформою баунті, буде певна командна робота (наприклад, кожен проект матиме чітке призначення провідного старшого аудитора та провідного суддю, і, нарешті, переглядатиме та підсумовуватиме всі результати аудиту в аудиторському звіті для клієнта, і ці два керівники також дотримуватися принципу децентралізації виборів і конкурсів у громадах). Крім того, якщо два конкуренти з аудиту виявлять повторювані лазівки протягом зазначеного часу, обидва вони можуть отримати винагороду.
структура винагороди
Фактична винагорода, яку видають обидва, в основному враховуватиме серйозність виявленої вразливості.
Єдина відмінність полягає в тому, що платформа змагань з аудиту, керована спільнотою, як-от Code 4 Rena, матиме фіксовану частину (5% ~ 10%) бонусного фонду для кожного проекту, призначеного провідному старшому аудитору та провідному судді, оскільки вони фактично проводять традиційний аудит проекти компанії Роль відповідального.
Ще один цікавий момент полягає в тому, що учасники проекту на платформі винагород за помилки іноді розміщують токени проекту як винагороду, але я також бачив, що деякі хакери білих капелюхів у спільноті воліють отримувати стабільні монети, такі як USDC і USDT, замість коливань цін.
обсяг і фокус
Проекти платформи винагород за помилки зазвичай мають широкий охоплення, тоді як проекти з конкурсів аудиту зазвичай мають більш зосереджену сферу, орієнтуючись на конкретну функцію чи аспект програмного забезпечення, вимагаючи від «білих капелюхів» зосередитися на виконанні роботи за коротший період часу.
Проекти, спрямовані на конкурси з аудиту
Code 4 Rena – схожа на кіберспорт платформа для змагань з аудиту, керована спільнотою
Code 4 Rena має три типи персонажів:
Аудитори (вардени) переглядають кодекс. Будь-хто, від професійного інженера безпеки до початківця розробника, який намагається отримати більше досвіду, може зареєструватися в якості аудитора для участі в публічному конкурсі з аудиту.
Судді зазвичай є найкращими інженерами в спільноті C 4. Вони визначають серйозність, ефективність і якість вразливостей і оцінюють продуктивність аудиту.
Спонсори — це сторони проекту, такі як Opensea, Blur, ENS, Chainlink тощо. Вони створюють бонусні пули, щоб залучати аудиторів для аудиту коду своїх проектів. Спонсори також мають можливість проводити приватні змагання лише за запрошеннями для додаткової конфіденційності.
Одним із найцікавіших моментів є культура, яку будує Code 4 Rena: заохочується співпраця та командна робота. На відміну від традиційних програм винагороди за помилки, Code 4 Rena платить усім аудиторам, які повідомляють про дійсну вразливість, навіть якщо про вразливість уже було повідомлено. Це заохочує здорову конкуренцію серед аудиторів, оскільки вони мотивовані знаходити серйозні та поширені вразливості. На цій платформі деякі аудитори формують тимчасові команди, щоб разом знаходити лазівки.
бізнес-модель:
Будь-який проект може перейти до Code 4 rena, щоб розпочати конкурсну програму аудиту та надати USDC або ETH для створення базового призового фонду (зазвичай розмір призового фонду становить $40 000 ~ $100 000), Code 4 rena стягуватиме 20% від основного призовий фонд як платформа Дохід від послуг для організації змагань, надання рецензій та сортування звітів про результати аудиту. Учасник проекту також може надати токени проекту на додаток до основного призового фонду, щоб створити додатковий призовий фонд, і Code 4 rena стягуватиме 40% від цього додаткового призового фонду.
Шерлок – аудит, керований спільнотою, зі страхуванням розумних контрактів
Подібно до Code 4 rena, Шерлок також має такі ролі, як аудитори, спонсори та судді.Унікальність Шерлока полягає в страхових послугах, які надає платформа. Будь-хто може інвестувати в страховий пул на платформі Sherlock. Інвестори вкладають USDC у страховий пул, а клієнти угод можуть придбати послуги для хеджування ризику злому смарт-контрактів. Джерела доходу для страхових інвесторів включають: премії, сплачені клієнтами за угодою + відсотки, отримані від розміщення коштів страхового пулу в інших пулах DeFi (Aave, Compound тощо) + заохочення токенів Sherlock. Але інвестор несе ризик погашення полісу, одночасно одержуючи вигоди.
Іншим моментом, який відрізняється від Code 4 rena, є механізм розподілу доходу від аудиторських послуг, який надає платформа. Порівняно з Code 4 rena, у Шерлока є правила, які дозволяють головному старшому аудитору безпеки та головному судді отримувати фіксовану суму (5% ~ 10%) із бонусного пулу для належної компенсації та мотивації старшого аудитора, який працює повний робочий день. Крім того, існують системи відбору та конкурсу на обрання керівних посад.
Як створити спільноту хакерів? Що найбільше хвилює білих капелюхів Web3?
Після того, як ми поспостерігали за різними децентралізованими спільнотами безпеки (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock тощо) і поспілкувалися з деякими підприємцями з безпеки, ми вважаємо, що всі децентралізовані платформи прагнуть: створити більш здорову та ефективну Платформа для спілкування та співпраці. Платформа баунті схожа на ринок між хакерами та проектами. Вони повинні розглядати свої потреби з точки зору хакерів (як показано в таблиці нижче) і в той же час розглядати найкраще Занепокоєння (якість аудиту) .
Джерело: 《Погляд мисливців на помилок щодо проблем і переваг Bug Bounty Eco》
Окрім деяких загальних потреб, я також побачив кілька цікавих тем у спільноті білих капелюхів Immunefi (найжвавіша спільнота білих капелюхів, яку я бачив).
наприклад:
Білий капелюх на ім’я Реппі хоче розкрити деякі лазівки проекту, які він/вона виявив раніше, і запитує, яких правил спільноти потрібно дотримуватися. (1. Розкривайте лише виправлені помилки. 2. Переконайтеся, що будь-яка загальнодоступна інформація не має негативного впливу на протокол або його користувачів. Зберігайте конфіденційну інформацію, наприклад: після того, як вони виправлять вашу вразливість SQL-ін’єкції, не оприлюднюйте інформацію про їх повна база даних 3. Переконайтеся, що вам потрібно надіслати приватне повідомлення команді проекту, перш ніж зробити його загальнодоступним).
Білий капелюх на ім’я Ноам Яков поставив під сумнів визначення проекту винагороди (це часто трапляється, тому що зазвичай винагороджуються лише серйозні вразливості безпеки. Як проект визначає рівень безпеки вразливості? Те, що дуже хвилює білих капелюхів, і у громаді багато чують про такі суперечки). У проекті винагороди Uniwhales він мав сумніви щодо їхнього визначення впливу MEV як серйозної вразливості безпеки. Зрештою всі обговорили, що цей тип опису не застосовується до всіх ситуацій MEV. Наприклад, для деяких токсичних потоків замовлень, protocol pool can Ситуація витоку активів, безперечно, є серйозним інцидентом безпеки (тому часто недостатньо визначити набір рамок рівня безпеки, і зазвичай потрібна подібна роль арбітра на платформі для втручання в різні фактичні випадки).
А на дуже цікаву тему «Які ваші вимоги та очікування щодо такої платформи баунті, як Immunefi?» Білий капелюх на ім’я ckksec дав свою відповідь: 1) Допоможіть їм отримати дохід від анонімних зашифрованих білих капелюхів Зробіть деякі юридичні роз’яснення, наприклад виставлення рахунків. 2) Платформа повинна мати не лише систему підрахунку балів для білих капелюхів, а й оцінювати якість проекту, оскільки білим капелюхам часто доводиться витрачати час на визначення якості проекту. 3) Для білих капелюхів, які бажають відкрити свій профіль, платформа може показати їхній робочий процес.У той же час, для платформи краще більш прозоро відображати інформацію звіту про аналіз безпеки, отриману стороною проекту.
Які засоби можуть допомогти білим капелюшкам?
Нещодавно я чув, як люди почали обговорювати, чи можна замінити аудит безпеки штучним інтелектом. Досвідчені практики безпеки, з якими я спілкувався, загалом вважають, що GPT важко безпосередньо замінити людський інтелект.Деякі слабкі плоди (проблеми, які легко знайти) можна виявити за допомогою мовних моделей, але для проблем із середнім і високим ризиком все одно потрібен експерт участь. Наприклад, згідно з відгуком старшого експерта з безпеки, для аналогічного аналізу даних і динамічного аналізу ці більш складні тести потрібно штучно поєднувати з фактичною бізнес-логікою протоколу, щоб заздалегідь провести тести аналізу безпеки та визначити очікувану ціль атрибути тесту заздалегідь.Найважча частина — написати хороші властивості та визначити правильне тестове поле. Згідно з їхніми експериментами з GPT, вони вважають, що GPT не може повністю замінити людину на цьому етапі.
Звичайно, наразі є більш оптимістичні результати, які показують, що LLM може значно підвищити ефективність аналізу інструментів аналізу безпеки та зменшити рівень помилкових позитивних результатів.
Давайте подумаємо про цю тему з іншої цікавої нетехнічної точки зору. Це динамічна гра між зловмисниками та захисниками. Магічна висота на одну ногу вища за іншу. Чи забезпечить ШІ відносну безпеку зловмисникам? Допоможе?
Безпека орієнтована на людей
Люди зазвичай будуть думати, що програмне забезпечення — це холодна, механічна та логічна річ, а для підвищення безпеки системи потрібно лише покращити технологію аналізу та рівень захисту системи. Проте людям бракує міркувань про проблеми безпеки з точки зору економічних стимулів і людської природи. У темному лісі відкритого вихідного коду нам потрібна система розповсюдження, яка більше відповідає припущенням раціональних людей. Позитивні та доброякісні економічні стимули залучити більше людей, які готові інвестувати в блокчейн протягом тривалого часу. Приєднуються люди, які вносять мудрість у безпеку системи.
Поточна структура ринку традиційного аудиту безпеки є стабільною, а репутація бренду є найважливішим нематеріальним активом компаній у цій галузі. З часом вплив провідних брендів безпеки та довіра клієнтів невпинно зростає, але традиційні аудити безпеки також мають свої власні проблеми (бізнес-модель покладається виключно на робочу силу, і її важко розвивати в масштабі, а провідним компаніям необхідно збалансувати зростання та якість аудиту. Деякі компанії зіткнулися з таким вузьким місцем і навіть вплинули на вартість бренду).
Змагання з аудиту безпеки, керовані спільнотою, є інноваційною бізнес-моделлю. Наразі понад 300 клієнтів двох платформ поступово знайшли PMF, а платформа баунті є гарним доповненням до життєвого циклу безпеки. Хоча ці децентралізовані платформи все ще залишаються Ми не знайшли особливо ефективної моделі токенів, але ми дуже оптимістично налаштовані щодо широкомасштабного зростання цього ринку в майбутньому (оскільки мудрість натовпу дуже підходить для сценаріїв наступальних і захисних ігор на ринку безпеки).
Чи створюватимуть громадські аудиторські платформи загрозу для централізованих аудиторських компаній? Ми вважаємо, що вони матимуть здорову взаємну конкуренцію та взаємодоповнюючі стосунки.У короткостроковій перспективі, коли така платформа, як Code 4 rena, сформує певний мережевий ефект і матиме хорошу історію (відсоток перевірених проектів, які були зламані, низький), вона може справді дають Деякі централізовані компанії в середині та хвості створять певний конкурентний тиск, але в довгостроковій перспективі це також може змусити централізовану платформу аудиту налагодити певну комерційну співпрацю з платформою, керованою спільнотою, оскільки це також може розширити клієнтську базу централізованої платформи аудиту безпеки та покращення якості аудиту (трохи схоже на оригінальний проект із винагороди за безпеку, яким незалежно керувала велика компанія web2, а пізніше сформував логіку співпраці зі сторонніми платформами, такими як HackerOne).
Хоча напрямок платформи безпеки, керованої спільнотою, полягає в тому, щоб бути більш орієнтованою на DAO (Forta фактично можна включити до цієї категорії), у фактичній роботі поточного проекту все ще існують такі проблеми, як: як зробити робочий процес і економічний процес розподілу більш прозорий і відкритий, як зважити конфіденційність і безпеку сторони проекту, як більш чітко визначити зв'язок між командною роботою та особистим внеском, як вирішувати проблеми відносно справедливим і професійним способом, коли виникають конфлікти інтересів , і т. д. Правий виклик.
Посилання:
《HackerOne Year Book》
《Bounty Everything - хакери та створення глобального ринку помилок》
《Емпіричне дослідження програм винагороди за вразливість》
《Звіт хакерів 2022》
《Продуктивність і моделі активності в програмах винагород за помилки》
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures: комплексна інтерпретація ринку винагород і аудиту, керованого спільнотою
Автор оригіналу: Рей, IOSG Ventures
Передмова
Будучи великомасштабною комп’ютерною системою, поточна системна складність блокчейну значно перевищила рівень 5-річної давнини, ступінь модульності інфраструктури є більш досконалим, логіка смарт-контракту прикладного рівня стає все більш і більш багатою, і взаємодія між контрактами є дуже частою, що більш важливо, кількість активів, якими керує система блокчейну, вже дуже велика, тому останнім часом у співтоваристві безпеки блокчейну стало більше дискусій про цикл безпеки (ситуація така ж, як і в 2017 році). , коли люди думають про безпеку, вони думають лише про розробників. Написати контракт і кинути його друзям Ethereum Foundation, щоб вони подивилися та провели кілька базових тестів, це зовсім інше).
Протягом усього життєвого циклу безпеки блокчейн-програм (від тестування, запрошення сторонніх перевірок до моніторингу після подій, аудитів оновлень) спільнота винагород за помилки нагадує подушку безпеки, щоб залучити білих капелюхів до блокчейну через теорію ігор і кластерну роботу. Код учасника проекту буде переглянуто востаннє, і деякі працівники безпеки розумних контрактів вважають, що винагорода за помилку більше схожа на останню людину на лінії захисту, але я думаю, що винагорода за помилку та змагання з аудиту мають потенціал грати більшу роль у майбутньому, слугуючи системою, яка проходить через увесь життєвий цикл безпеки. Роль покращує загальну безпеку системи.
Звичайно, існують також програми винагороди за помилки (Bug Bounty або Vulnerabilty Rewards) у сфері традиційної мережевої безпеки.По-перше, великі технологічні компанії, такі як Facebook, Google, Microsoft тощо, розгорнуть програми винагороди для своїх власних команд безпеки та власні лінії продуктів.Сторонні платформи баунті, представлені HackerOne і Bugcrowd, з’явилися приблизно з 2015 р. Наразі ці дві провідні охоронні компанії покладаються на розподіл комісійних винагород як основний дохід, і їхній річний дохід може досягати майже 50 млн. доларів США і 20 млн. дол. У світі блокчейну винагорода є більш цікавою темою, яка часто обговорюється в колі безпеки. Основна причина полягає в тому, що відкритий вихідний код блокчейну фактично здешевлює вартість злому та оновлення стратегій атак. Крім того, криптосвіт сильно виступає за кластеризацію економіки роботи, творця та власності, відкритої для моделей внесків, які роблять більш відкриту економіку білого капелюха ще більш цінною.
Що таке премії за помилки та конкурси аудиту? Навіщо вони нам потрібні?
Безпека — це динамічна гра між зловмисником і захисником, як сказав експерт із комп’ютерної безпеки та криптограф Брюс Шнайєр: «Безпека — це процес, а не продукт. Це спосіб мислення, який має проходити через процес розробки програмного забезпечення в усіх аспектах "У світі блокчейну, темному лісі, де всі коди є відкритими та прозорими, проект блокчейну, який хоче вижити протягом тривалого часу, повинен мати постійний попит на безпеку своїх продуктів/контрактів. Усі продукти мережі мають більше або менше фінансових атрибутів Найважливішим активом у фінансах є довіра, а довіра користувача лише один раз.
Де недоліки та проблеми традиційного аудиту? Які переваги можуть мати винагороди за помилки та конкурси аудиту, спрямовані на вирішення цих проблем?
Розробники, які використовують послуги аудиту, часто виявляють, що:
Наскільки великий ринок?
Бізнес-модель баунті-платформ і аудиторських змагань зазвичай полягає в отриманні частини винагороди, яку сплачують клієнти, або загального бонусного пулу, створеного як комісія за обслуговування платформи. Клієнти (учасники проекту), які потребують аудиту безпеки коду, оголосять про свої плани на платформі баунті відповідно до власних потреб (які коди потрібно перевірити, як визначити ступінь серйозності вразливості та яку винагороду вони готові заплатити), і білі капелюхи Уразливості будуть знайдені відповідно до потреб сторони проекту.Якщо лазівки будуть знайдені білими капелюхами та відповідатимуть потребам сторони проекту, винагорода буде розподілена між білими капелюхами, а платформа баунті розіграє комісія з нього як плата за обслуговування.
У сфері традиційної мережевої безпеки Web2 платформа bug bounty також є відносно молодим напрямком (з’явилася після 2012 року), і на даний момент найбільшими платформами bug bounty є HackerOne і Bugcrowd. У 2022 році річний дохід HackerOne сягне 58 мільйонів доларів США, оцінка компанії сягне приблизно 500 мільйонів доларів США, а загальна винагорода, виплачена в історії, становитиме 230 мільйонів доларів США (150 мільйонів доларів США у 2021 та 2022 роках). , має понад 1 мільйон зареєстрованих хакерів і понад 1000 клієнтів, які щомісяця користуються послугами HackerOne. Очікується, що його конкурент, Bugcrowd, заробить понад 20 мільйонів доларів у 2022 році.
У сфері безпеки Web3 у 2022 році всі платформи винагород за виявлення помилок і конкуренції за аудит web3 видадуть загалом 50 мільйонів доларів США винагород хакерам із білим капелюхом, а середній рівень оплати таких платформ становить приблизно від 10% до 30%. тому це консервативно оцінено. Поточний розмір ринку становить близько 5 ~ 15 млн. доларів США, і це все ще ринок, що розвивається.
Іншим цікавим моментом є те, що все більше клієнтів бажають напряму використовувати послуги аудиту коду, які надає спільнота децентралізованої безпеки. Натомість стороння аудиторська компанія обрала Code 4 Rena, найбільшу на даний момент платформу децентралізованого аудиту, і створила призовий фонд становить 1 мільйон доларів США. Сьогодні традиційний ринок аудиту безпеки залучається все більше (обсяг людських ресурсів, об’єм технічних інструментів, об’єм ринку BD), чи будуть децентралізовані послуги безпеки важливим зростанням цього ринку? (Зараз на ринку працює 56 аудиторських компаній, а дохід провідних компаній за минулий рік склав від 10 до 40 мільйонів доларів США. Я думаю, що на ринку децентралізованої безпеки є багато простору для фантазії).
Платформи Bug Bounty проти платформ Audit Contest
Хоча платформа винагород за помилки має десятирічну історію розвитку в web2, платформа змагання з аудиту є новою річчю в нативній версії web3. Об’єктом послуги конкурсу аудиту є сторони проекту, які збираються запустити продукти або деякі нові функції, і використовують силу децентралізованої спільноти, щоб допомогти їм завершити послугу аудиту протягом певного часу (більше 2 тижнів). З точки зору аудиторської конкуренції, вона не створить загрози для традиційних аудиторських компаній.
Нижче я покажу різницю між двома платформами щодо методів участі, структури винагороди та охоплення тестами:
спосіб участі
Платформи винагород за помилки, такі як Immunefi, зазвичай є відкритими проектами, де кожен може взяти участь у будь-який час. Зазвичай учасники самостійно досліджують уразливості та повідомляють про них в обмін на винагороду. Якщо двоє людей виявлять однакову повторювану вразливість, буде дотримано принципу «першим прийшов – першим обслужено», і той, хто першим надішле звіт, першим отримає винагороду.
Конкурентні платформи аудиту, керовані спільнотою (наприклад, Code 4 rena, Sherlock), часто обмежені в часі та змагаються з учасниками, щоб знайти та повідомити про вразливості протягом певного періоду часу. Порівняно з платформою баунті, буде певна командна робота (наприклад, кожен проект матиме чітке призначення провідного старшого аудитора та провідного суддю, і, нарешті, переглядатиме та підсумовуватиме всі результати аудиту в аудиторському звіті для клієнта, і ці два керівники також дотримуватися принципу децентралізації виборів і конкурсів у громадах). Крім того, якщо два конкуренти з аудиту виявлять повторювані лазівки протягом зазначеного часу, обидва вони можуть отримати винагороду.
структура винагороди
Фактична винагорода, яку видають обидва, в основному враховуватиме серйозність виявленої вразливості.
Єдина відмінність полягає в тому, що платформа змагань з аудиту, керована спільнотою, як-от Code 4 Rena, матиме фіксовану частину (5% ~ 10%) бонусного фонду для кожного проекту, призначеного провідному старшому аудитору та провідному судді, оскільки вони фактично проводять традиційний аудит проекти компанії Роль відповідального.
Ще один цікавий момент полягає в тому, що учасники проекту на платформі винагород за помилки іноді розміщують токени проекту як винагороду, але я також бачив, що деякі хакери білих капелюхів у спільноті воліють отримувати стабільні монети, такі як USDC і USDT, замість коливань цін.
обсяг і фокус
Проекти платформи винагород за помилки зазвичай мають широкий охоплення, тоді як проекти з конкурсів аудиту зазвичай мають більш зосереджену сферу, орієнтуючись на конкретну функцію чи аспект програмного забезпечення, вимагаючи від «білих капелюхів» зосередитися на виконанні роботи за коротший період часу.
Проекти, спрямовані на конкурси з аудиту
Code 4 Rena – схожа на кіберспорт платформа для змагань з аудиту, керована спільнотою
Code 4 Rena має три типи персонажів:
Аудитори (вардени) переглядають кодекс. Будь-хто, від професійного інженера безпеки до початківця розробника, який намагається отримати більше досвіду, може зареєструватися в якості аудитора для участі в публічному конкурсі з аудиту.
Судді зазвичай є найкращими інженерами в спільноті C 4. Вони визначають серйозність, ефективність і якість вразливостей і оцінюють продуктивність аудиту.
Спонсори — це сторони проекту, такі як Opensea, Blur, ENS, Chainlink тощо. Вони створюють бонусні пули, щоб залучати аудиторів для аудиту коду своїх проектів. Спонсори також мають можливість проводити приватні змагання лише за запрошеннями для додаткової конфіденційності.
Одним із найцікавіших моментів є культура, яку будує Code 4 Rena: заохочується співпраця та командна робота. На відміну від традиційних програм винагороди за помилки, Code 4 Rena платить усім аудиторам, які повідомляють про дійсну вразливість, навіть якщо про вразливість уже було повідомлено. Це заохочує здорову конкуренцію серед аудиторів, оскільки вони мотивовані знаходити серйозні та поширені вразливості. На цій платформі деякі аудитори формують тимчасові команди, щоб разом знаходити лазівки.
бізнес-модель:
Будь-який проект може перейти до Code 4 rena, щоб розпочати конкурсну програму аудиту та надати USDC або ETH для створення базового призового фонду (зазвичай розмір призового фонду становить $40 000 ~ $100 000), Code 4 rena стягуватиме 20% від основного призовий фонд як платформа Дохід від послуг для організації змагань, надання рецензій та сортування звітів про результати аудиту. Учасник проекту також може надати токени проекту на додаток до основного призового фонду, щоб створити додатковий призовий фонд, і Code 4 rena стягуватиме 40% від цього додаткового призового фонду.
Шерлок – аудит, керований спільнотою, зі страхуванням розумних контрактів
Подібно до Code 4 rena, Шерлок також має такі ролі, як аудитори, спонсори та судді.Унікальність Шерлока полягає в страхових послугах, які надає платформа. Будь-хто може інвестувати в страховий пул на платформі Sherlock. Інвестори вкладають USDC у страховий пул, а клієнти угод можуть придбати послуги для хеджування ризику злому смарт-контрактів. Джерела доходу для страхових інвесторів включають: премії, сплачені клієнтами за угодою + відсотки, отримані від розміщення коштів страхового пулу в інших пулах DeFi (Aave, Compound тощо) + заохочення токенів Sherlock. Але інвестор несе ризик погашення полісу, одночасно одержуючи вигоди.
Іншим моментом, який відрізняється від Code 4 rena, є механізм розподілу доходу від аудиторських послуг, який надає платформа. Порівняно з Code 4 rena, у Шерлока є правила, які дозволяють головному старшому аудитору безпеки та головному судді отримувати фіксовану суму (5% ~ 10%) із бонусного пулу для належної компенсації та мотивації старшого аудитора, який працює повний робочий день. Крім того, існують системи відбору та конкурсу на обрання керівних посад.
Як створити спільноту хакерів? Що найбільше хвилює білих капелюхів Web3?
Після того, як ми поспостерігали за різними децентралізованими спільнотами безпеки (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock тощо) і поспілкувалися з деякими підприємцями з безпеки, ми вважаємо, що всі децентралізовані платформи прагнуть: створити більш здорову та ефективну Платформа для спілкування та співпраці. Платформа баунті схожа на ринок між хакерами та проектами. Вони повинні розглядати свої потреби з точки зору хакерів (як показано в таблиці нижче) і в той же час розглядати найкраще Занепокоєння (якість аудиту) .
Джерело: 《Погляд мисливців на помилок щодо проблем і переваг Bug Bounty Eco》
Окрім деяких загальних потреб, я також побачив кілька цікавих тем у спільноті білих капелюхів Immunefi (найжвавіша спільнота білих капелюхів, яку я бачив).
наприклад:
Білий капелюх на ім’я Реппі хоче розкрити деякі лазівки проекту, які він/вона виявив раніше, і запитує, яких правил спільноти потрібно дотримуватися. (1. Розкривайте лише виправлені помилки. 2. Переконайтеся, що будь-яка загальнодоступна інформація не має негативного впливу на протокол або його користувачів. Зберігайте конфіденційну інформацію, наприклад: після того, як вони виправлять вашу вразливість SQL-ін’єкції, не оприлюднюйте інформацію про їх повна база даних 3. Переконайтеся, що вам потрібно надіслати приватне повідомлення команді проекту, перш ніж зробити його загальнодоступним).
Білий капелюх на ім’я Ноам Яков поставив під сумнів визначення проекту винагороди (це часто трапляється, тому що зазвичай винагороджуються лише серйозні вразливості безпеки. Як проект визначає рівень безпеки вразливості? Те, що дуже хвилює білих капелюхів, і у громаді багато чують про такі суперечки). У проекті винагороди Uniwhales він мав сумніви щодо їхнього визначення впливу MEV як серйозної вразливості безпеки. Зрештою всі обговорили, що цей тип опису не застосовується до всіх ситуацій MEV. Наприклад, для деяких токсичних потоків замовлень, protocol pool can Ситуація витоку активів, безперечно, є серйозним інцидентом безпеки (тому часто недостатньо визначити набір рамок рівня безпеки, і зазвичай потрібна подібна роль арбітра на платформі для втручання в різні фактичні випадки).
А на дуже цікаву тему «Які ваші вимоги та очікування щодо такої платформи баунті, як Immunefi?» Білий капелюх на ім’я ckksec дав свою відповідь: 1) Допоможіть їм отримати дохід від анонімних зашифрованих білих капелюхів Зробіть деякі юридичні роз’яснення, наприклад виставлення рахунків. 2) Платформа повинна мати не лише систему підрахунку балів для білих капелюхів, а й оцінювати якість проекту, оскільки білим капелюхам часто доводиться витрачати час на визначення якості проекту. 3) Для білих капелюхів, які бажають відкрити свій профіль, платформа може показати їхній робочий процес.У той же час, для платформи краще більш прозоро відображати інформацію звіту про аналіз безпеки, отриману стороною проекту.
Які засоби можуть допомогти білим капелюшкам?
Нещодавно я чув, як люди почали обговорювати, чи можна замінити аудит безпеки штучним інтелектом. Досвідчені практики безпеки, з якими я спілкувався, загалом вважають, що GPT важко безпосередньо замінити людський інтелект.Деякі слабкі плоди (проблеми, які легко знайти) можна виявити за допомогою мовних моделей, але для проблем із середнім і високим ризиком все одно потрібен експерт участь. Наприклад, згідно з відгуком старшого експерта з безпеки, для аналогічного аналізу даних і динамічного аналізу ці більш складні тести потрібно штучно поєднувати з фактичною бізнес-логікою протоколу, щоб заздалегідь провести тести аналізу безпеки та визначити очікувану ціль атрибути тесту заздалегідь.Найважча частина — написати хороші властивості та визначити правильне тестове поле. Згідно з їхніми експериментами з GPT, вони вважають, що GPT не може повністю замінити людину на цьому етапі.
Звичайно, наразі є більш оптимістичні результати, які показують, що LLM може значно підвищити ефективність аналізу інструментів аналізу безпеки та зменшити рівень помилкових позитивних результатів.
Давайте подумаємо про цю тему з іншої цікавої нетехнічної точки зору. Це динамічна гра між зловмисниками та захисниками. Магічна висота на одну ногу вища за іншу. Чи забезпечить ШІ відносну безпеку зловмисникам? Допоможе?
Безпека орієнтована на людей
Люди зазвичай будуть думати, що програмне забезпечення — це холодна, механічна та логічна річ, а для підвищення безпеки системи потрібно лише покращити технологію аналізу та рівень захисту системи. Проте людям бракує міркувань про проблеми безпеки з точки зору економічних стимулів і людської природи. У темному лісі відкритого вихідного коду нам потрібна система розповсюдження, яка більше відповідає припущенням раціональних людей. Позитивні та доброякісні економічні стимули залучити більше людей, які готові інвестувати в блокчейн протягом тривалого часу. Приєднуються люди, які вносять мудрість у безпеку системи.
Поточна структура ринку традиційного аудиту безпеки є стабільною, а репутація бренду є найважливішим нематеріальним активом компаній у цій галузі. З часом вплив провідних брендів безпеки та довіра клієнтів невпинно зростає, але традиційні аудити безпеки також мають свої власні проблеми (бізнес-модель покладається виключно на робочу силу, і її важко розвивати в масштабі, а провідним компаніям необхідно збалансувати зростання та якість аудиту. Деякі компанії зіткнулися з таким вузьким місцем і навіть вплинули на вартість бренду).
Змагання з аудиту безпеки, керовані спільнотою, є інноваційною бізнес-моделлю. Наразі понад 300 клієнтів двох платформ поступово знайшли PMF, а платформа баунті є гарним доповненням до життєвого циклу безпеки. Хоча ці децентралізовані платформи все ще залишаються Ми не знайшли особливо ефективної моделі токенів, але ми дуже оптимістично налаштовані щодо широкомасштабного зростання цього ринку в майбутньому (оскільки мудрість натовпу дуже підходить для сценаріїв наступальних і захисних ігор на ринку безпеки).
Чи створюватимуть громадські аудиторські платформи загрозу для централізованих аудиторських компаній? Ми вважаємо, що вони матимуть здорову взаємну конкуренцію та взаємодоповнюючі стосунки.У короткостроковій перспективі, коли така платформа, як Code 4 rena, сформує певний мережевий ефект і матиме хорошу історію (відсоток перевірених проектів, які були зламані, низький), вона може справді дають Деякі централізовані компанії в середині та хвості створять певний конкурентний тиск, але в довгостроковій перспективі це також може змусити централізовану платформу аудиту налагодити певну комерційну співпрацю з платформою, керованою спільнотою, оскільки це також може розширити клієнтську базу централізованої платформи аудиту безпеки та покращення якості аудиту (трохи схоже на оригінальний проект із винагороди за безпеку, яким незалежно керувала велика компанія web2, а пізніше сформував логіку співпраці зі сторонніми платформами, такими як HackerOne).
Хоча напрямок платформи безпеки, керованої спільнотою, полягає в тому, щоб бути більш орієнтованою на DAO (Forta фактично можна включити до цієї категорії), у фактичній роботі поточного проекту все ще існують такі проблеми, як: як зробити робочий процес і економічний процес розподілу більш прозорий і відкритий, як зважити конфіденційність і безпеку сторони проекту, як більш чітко визначити зв'язок між командною роботою та особистим внеском, як вирішувати проблеми відносно справедливим і професійним способом, коли виникають конфлікти інтересів , і т. д. Правий виклик.
Посилання: