Là một hệ thống máy tính quy mô lớn, độ phức tạp hệ thống hiện tại của chuỗi khối đã vượt xa mức 5 năm trước, mức độ mô đun hóa cơ sở hạ tầng được tinh chỉnh hơn, logic hợp đồng thông minh của lớp ứng dụng ngày càng phong phú hơn và sự tương tác giữa các hợp đồng là rất thường xuyên, quan trọng hơn, số lượng tài sản được quản lý bởi hệ thống blockchain đã rất lớn, vì vậy gần đây đã có nhiều cuộc thảo luận về chu kỳ bảo mật trong cộng đồng bảo mật blockchain (tình hình giống như năm 2017 , khi mọi người nghĩ đến bảo mật, họ chỉ nghĩ đến các nhà phát triển. Nó rất khác khi viết hợp đồng và ném nó cho những người bạn của Ethereum Foundation để xem qua và thực hiện một số thử nghiệm cơ bản).
Trong suốt vòng đời bảo mật của các chương trình chuỗi khối (từ thử nghiệm, mời kiểm tra của bên thứ ba đến giám sát sau sự kiện, cập nhật kiểm tra), cộng đồng tiền thưởng lỗi giống như một tấm đệm an toàn để thu hút những người mũ trắng tham gia chuỗi khối thông qua lý thuyết trò chơi và hoạt động theo cụm. Mã của bên dự án sẽ được xem xét lần cuối và một số nhân viên bảo mật hợp đồng thông minh cảm thấy rằng tiền thưởng lỗi giống như người cuối cùng trong hàng phòng thủ, nhưng tôi nghĩ rằng tiền thưởng lỗi và các cuộc thi kiểm toán có khả năng đóng một vai trò lớn hơn trong tương lai, phục vụ như một hệ thống chạy qua toàn bộ Vai trò vòng đời bảo mật giúp cải thiện tính bảo mật tổng thể của hệ thống.
Tất nhiên, trong lĩnh vực an ninh mạng truyền thống cũng có các chương trình tiền thưởng tìm lỗi (Bug Bounty hay Vulnerabilty Rewards) Đầu tiên, các hãng công nghệ lớn như Facebook, Google, Microsoft… sẽ triển khai các chương trình tiền thưởng cho đội ngũ bảo mật nội bộ của mình và Các dòng sản phẩm của riêng họ Thứ hai, các nền tảng của bên thứ ba về tiền thưởng cho Bug bounty do HackerOne và Bugcrowd đại diện đã xuất hiện từ khoảng năm 2015. Hiện tại, hai công ty bảo mật hàng đầu này dựa vào việc phân phối hoa hồng tiền thưởng làm thu nhập chính và thu nhập hàng năm của họ có thể đạt tới lần lượt gần 50 triệu đô la Mỹ và 20 triệu đô la Mỹ. Trong thế giới blockchain, tiền thưởng là một chủ đề thú vị hơn thường được thảo luận trong giới bảo mật. Lý do chính là nguồn mở của mã blockchain thực sự làm cho chi phí hack và nâng cấp các chiến lược tấn công rẻ hơn. ủng hộ việc nhóm các nền kinh tế làm việc, người sáng tạo và quyền sở hữu mở ra các mô hình đóng góp làm cho nền kinh tế mũ trắng cởi mở hơn thậm chí còn có giá trị hơn.
Tiền thưởng lỗi và cuộc thi kiểm tra là gì?Tại sao chúng ta cần chúng?
Bảo mật là một trò chơi năng động giữa kẻ tấn công và người bảo vệ, giống như chuyên gia bảo mật máy tính và nhà mật mã học Bruce Schneier đã nói, "Bảo mật là một quá trình, không phải là một sản phẩm. Đó là một cách suy nghĩ phải xuyên suốt quá trình phát triển phần mềm ở mọi khía cạnh .” Trong thế giới blockchain, một khu rừng tối nơi tất cả các mã đều là mã nguồn mở và minh bạch, một dự án blockchain muốn tồn tại lâu dài phải có nhu cầu vĩnh cửu về tính bảo mật của các sản phẩm/hợp đồng của nó. Các sản phẩm chuỗi đều có nhiều hoặc ít thuộc tính tài chính hơn. Tài sản quan trọng nhất trong tài chính là niềm tin và niềm tin của người dùng chỉ có một lần.
Đâu là những bất cập và vấn đề của kiểm toán truyền thống? Những lợi thế nào có thể bù đắp cho những vấn đề này?
Các nhà phát triển sử dụng dịch vụ kiểm toán thường thấy rằng:
Ngay cả sau khi mua dịch vụ của công ty kiểm toán bên thứ ba, vẫn có vấn đề với mã sau khi kiểm toán. Tuy nhiên, chất lượng kiểm toán mã vẫn phụ thuộc vào trình độ của kiểm toán viên và khách hàng thường thiếu khả năng phân biệt “ai tốt hơn”.
Nền tảng tiền thưởng và cuộc thi kiểm toán là một "hộp cát" cởi mở hơn và mã dự án có thể được xem xét bởi mũ trắng theo ý muốn, bất kể nền tảng (có thể có nhân sự từ các công ty kiểm toán chuyên nghiệp và có thể có các nhà phân tích bảo mật tự do), kho vũ khí là không giới hạn, và tất cả những gì khách hàng phải làm là đặt một mức tiền thưởng hợp lý và thanh toán khoản đóng góp của họ khi chiếc mũ trắng phát hiện ra vấn đề.
Thông thường, trước tiên khách hàng sẽ gửi mã cần được mũ trắng xem xét, xác định mức độ bảo mật của lỗ hổng (thường liên quan đến thiệt hại kinh tế có thể xảy ra, lỗ hổng càng dễ gây thiệt hại kinh tế trực tiếp thì mức độ nghiêm trọng càng cao) , ngân sách tiền thưởng, phạm vi mã thử nghiệm và thậm chí cả các bước thử nghiệm.
Thị trường lớn như thế nào?
Mô hình kinh doanh của các nền tảng tiền thưởng và các cuộc thi kiểm toán thường là lấy một phần tiền thưởng do khách hàng trả hoặc tổng số tiền thưởng được thiết lập làm phí dịch vụ của nền tảng. Khách hàng (các bên dự án) cần kiểm tra bảo mật mã sẽ thông báo kế hoạch của họ trên nền tảng tiền thưởng theo nhu cầu của riêng họ (mã nào cần được kiểm tra, cách xác định mức độ nghiêm trọng của lỗ hổng và số tiền thưởng mà họ sẵn sàng trả), và mũ trắng Các lỗ hổng sẽ được tìm ra theo nhu cầu của phía dự án. Sau khi mũ trắng tìm ra kẽ hở và đáp ứng nhu cầu của phía dự án, tiền thưởng sẽ được phân phối cho các mũ trắng và nền tảng tiền thưởng sẽ rút ra một khoản hoa hồng từ nó như một khoản phí dịch vụ.
Trong lĩnh vực bảo mật mạng truyền thống Web2, nền tảng tiền thưởng lỗi cũng là một hướng đi khá trẻ (xuất hiện sau năm 2012), và các nền tảng tiền thưởng lỗi lớn nhất hiện nay là HackerOne và Bugcrowd. Vào năm 2022, doanh thu hàng năm của HackerOne sẽ đạt 58 triệu đô la Mỹ, định giá của công ty sẽ đạt khoảng 500 triệu đô la Mỹ và tiền thưởng tích lũy được trả trong lịch sử sẽ là 230 triệu đô la Mỹ (150 triệu đô la Mỹ vào năm 2021 và 2022). , có hơn 1 triệu tin tặc đã đăng ký và hơn 1.000 khách hàng sử dụng dịch vụ HackerOne mỗi tháng. Đối thủ cạnh tranh của nó, Bugcrowd, dự kiến sẽ kiếm được hơn 20 triệu đô la vào năm 2022.
Trong lĩnh vực bảo mật Web3, vào năm 2022, tất cả các nền tảng cạnh tranh tiền thưởng và kiểm toán lỗi web3 sẽ phát hành tổng tiền thưởng 50 triệu đô la Mỹ cho các hacker mũ trắng và mức tính phí trung bình của các nền tảng đó là khoảng 10% đến 30%, vì vậy nó được ước tính một cách thận trọng Quy mô thị trường hiện tại là khoảng 5 triệu đô la ~ 15 triệu đô la và đây vẫn là một thị trường rất mới nổi.
Một điều thú vị nữa là ngày càng có nhiều khách hàng sẵn sàng sử dụng trực tiếp các dịch vụ kiểm tra mã được cung cấp bởi cộng đồng bảo mật phi tập trung này. , công ty kiểm toán bên thứ ba đã chọn Code 4 Rena, nền tảng cạnh tranh kiểm toán phi tập trung lớn nhất hiện nay và thiết lập tổng giải thưởng trị giá 1 triệu đô la Mỹ. tools, khối lượng Thị trường BD), liệu các dịch vụ bảo mật phi tập trung có phải là một bước tăng trưởng quan trọng trong thị trường này không? (Hiện tại có 56 công ty kiểm toán trên thị trường và doanh thu của các công ty hàng đầu trong năm qua là từ 10 triệu đô la Mỹ đến 40 triệu đô la Mỹ. Tôi nghĩ rằng thị trường bảo mật phi tập trung có rất nhiều chỗ cho trí tưởng tượng).
Nền tảng tiền thưởng lỗi so với Nền tảng cuộc thi kiểm toán
Mặc dù nền tảng tiền thưởng lỗi đã có lịch sử phát triển mười năm trong web2, nền tảng cạnh tranh kiểm toán là một điều mới trong web3 bản địa. Đối tượng của dịch vụ cạnh tranh kiểm toán là các bên dự án sắp ra mắt sản phẩm hoặc một số chức năng mới và sử dụng sức mạnh của cộng đồng phi tập trung để giúp họ hoàn thành dịch vụ kiểm toán trong một thời gian cụ thể (hơn 2 tuần). viễn cảnh, sự cạnh tranh kiểm toán sẽ Nó sẽ mang lại mối đe dọa kinh doanh không nhỏ cho các công ty kiểm toán truyền thống.
Dưới đây tôi sẽ chỉ ra sự khác biệt giữa hai nền tảng về phương thức tham gia, cấu trúc phần thưởng và phạm vi kiểm tra:
cách thức tham gia
Các nền tảng tiền thưởng lỗi như Immunefi thường là các dự án mở mà mọi người có thể tham gia bất cứ lúc nào. Những người tham gia thường độc lập khám phá và báo cáo các lỗ hổng để đổi lấy phần thưởng. Nếu hai người tìm thấy cùng một lỗ hổng lặp đi lặp lại, nguyên tắc ai đến trước được phục vụ trước sẽ được tuân theo và ai nộp báo cáo trước sẽ nhận được phần thưởng trước.
Các nền tảng cạnh tranh kiểm toán dựa vào cộng đồng (ví dụ: Code 4 rena, Sherlock) thường bị giới hạn thời gian và cạnh tranh với những người tham gia để tìm và báo cáo các lỗ hổng trong một khung thời gian nhất định. So với nền tảng tiền thưởng, sẽ có một số hoạt động làm việc theo nhóm (ví dụ: mỗi dự án sẽ có sự phân công rõ ràng giữa Kiểm toán viên cấp cao và Giám khảo chính, cuối cùng sẽ xem xét và tổng hợp tất cả các kết quả kiểm toán thành báo cáo kiểm toán cho khách hàng và hai nhà lãnh đạo này cũng tuân theo Nguyên tắc phân cấp bầu cử và thi đấu của cộng đồng). Ngoài ra, nếu hai đối thủ cạnh tranh kiểm toán tìm thấy kẽ hở lặp đi lặp lại trong thời gian quy định, cả hai đều có thể nhận được phần thưởng.
cơ cấu khen thưởng
Phần thưởng thực tế do cả hai phát hành sẽ chủ yếu xem xét mức độ nghiêm trọng của lỗ hổng được phát hiện.
Điểm khác biệt duy nhất là một nền tảng cạnh tranh kiểm toán dựa vào cộng đồng như Code 4 Rena sẽ có một phần cố định (5% ~ 10%) tổng giải thưởng cho mỗi dự án được phân bổ cho Kiểm toán viên chính cấp cao và Giám khảo chính, bởi vì họ thực sự thực hiện kiểm toán truyền thống. các dự án của công ty Vai trò của người phụ trách.
Một điểm thú vị khác là bên dự án trên nền tảng tiền thưởng lỗi đôi khi đặt mã thông báo dự án làm phần thưởng, nhưng tôi cũng thấy rằng một số hacker mũ trắng trong cộng đồng thích nhận các đồng tiền ổn định như USDC và USDT thay vì biến động giá của mã thông báo dự án.
phạm vi và trọng tâm
Các dự án nền tảng tiền thưởng lỗi thường có phạm vi rộng, trong khi các dự án về cuộc thi kiểm toán thường có phạm vi tập trung hơn, nhắm mục tiêu vào một chức năng hoặc khía cạnh cụ thể của phần mềm, đồng thời yêu cầu đội mũ trắng tập trung hoàn thành công việc trong khoảng thời gian ngắn hơn
Các dự án tập trung vào các cuộc thi kiểm toán
Code 4 Rena - Một nền tảng cạnh tranh kiểm toán hướng đến cộng đồng giống như thể thao điện tử
Code 4 Rena có ba loại ký tự:
Kiểm toán viên (Wardens) xem xét mã. Bất kỳ ai, từ kỹ sư bảo mật chuyên nghiệp đến nhà phát triển mới làm quen đang cố gắng tích lũy thêm kinh nghiệm đều có thể đăng ký làm kiểm toán viên để tham gia cuộc thi kiểm toán công khai.
Giám khảo thường là những kỹ sư giỏi nhất trong cộng đồng C 4. Họ xác định mức độ nghiêm trọng, hiệu quả và chất lượng của các lỗ hổng và đánh giá hiệu suất kiểm toán.
Nhà tài trợ là các bên của dự án, chẳng hạn như Opensea, Blur, ENS, Chainlink, v.v. Họ tạo ra các nhóm tiền thưởng để thu hút kiểm toán viên kiểm tra mã dự án của họ. Các nhà tài trợ cũng có tùy chọn tổ chức các cuộc thi riêng tư, chỉ dành cho những người được mời để tăng thêm sự riêng tư.
Một trong những điểm thú vị nhất là văn hóa mà Code 4 Rena đang xây dựng: sự cộng tác và tinh thần đồng đội được khuyến khích. Không giống như các chương trình tiền thưởng lỗi truyền thống, Code 4 Rena trả tiền cho tất cả những người kiểm tra báo cáo lỗ hổng hợp lệ ngay cả khi lỗ hổng đó đã được báo cáo. Điều này khuyến khích sự cạnh tranh lành mạnh giữa các kiểm toán viên vì họ có động lực để tìm ra các lỗ hổng phổ biến và có mức độ nghiêm trọng cao. Trên nền tảng này, một số kiểm toán viên sẽ thành lập các nhóm tạm thời để cùng nhau tìm ra sơ hở.
mô hình kinh doanh:
Bất kỳ dự án nào cũng có thể đến Code 4 rena để bắt đầu chương trình cạnh tranh kiểm toán và cung cấp USDC hoặc ETH để thiết lập nhóm giải thưởng cơ bản (thường quy mô của nhóm giải thưởng là $40.000 ~ $100.000), Code 4 rena sẽ tính phí 20% từ cơ bản nhóm giải thưởng làm nền tảng Thu nhập dịch vụ để tổ chức các cuộc thi, cung cấp đánh giá và sắp xếp các báo cáo đầu ra kiểm toán. Bên dự án cũng có thể cung cấp mã thông báo dự án trên tổng giải thưởng cơ bản để thiết lập một nhóm giải thưởng bổ sung và Code 4 rena sẽ tính phí 40% tổng giải thưởng bổ sung này.
Sherlock - Kiểm toán dựa trên cộng đồng với bảo hiểm hợp đồng thông minh
Tương tự như Code 4 rena, Sherlock cũng có các vai trò như kiểm toán viên, nhà tài trợ và thẩm phán... Điểm độc đáo của Sherlock nằm ở các dịch vụ bảo hiểm được cung cấp bởi nền tảng này. Bất kỳ ai cũng có thể đầu tư vào nhóm bảo hiểm trên nền tảng Sherlock.Các nhà đầu tư gửi USDC vào nhóm bảo hiểm và khách hàng thỏa thuận có thể mua dịch vụ để phòng ngừa rủi ro hợp đồng thông minh bị tấn công. Các nguồn thu nhập cho các nhà đầu tư bảo hiểm bao gồm: phí bảo hiểm do khách hàng thỏa thuận trả + tiền lãi kiếm được bằng cách gửi quỹ nhóm bảo hiểm vào các nhóm DeFi khác (Aave, Compound, v.v.) + Ưu đãi mã thông báo Sherlock. Nhưng nhà đầu tư chịu rủi ro hoàn trả chính sách trong khi gặt hái những lợi ích.
Một điểm khác với Code 4 rena là cơ chế phân phối thu nhập dịch vụ kiểm toán do nền tảng cung cấp. So với Code 4 rena, Sherlock có các quy tắc cho phép trưởng kiểm toán an ninh cấp cao và chánh án nhận một số tiền cố định (5% ~ 10%) từ quỹ tiền thưởng để đền bù và động viên hợp lý cho kiểm toán viên cấp cao toàn thời gian. Ngoài ra, còn có các hệ thống lựa chọn và cạnh tranh để lựa chọn vai trò lãnh đạo.
Làm thế nào để xây dựng cộng đồng hacker? Mối quan tâm lớn nhất của Web3 mũ trắng là gì?
Sau khi chúng tôi quan sát các cộng đồng bảo mật phi tập trung khác nhau (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, v.v.) và trò chuyện với một số doanh nhân bảo mật, chúng tôi nghĩ rằng điều mà tất cả các nền tảng phi tập trung cam kết thực hiện là: xây dựng một A lành mạnh và hiệu quả hơn nền tảng giao tiếp và cộng tác. Nền tảng tiền thưởng giống như một thị trường giữa Hacker và dự án. Họ phải xem xét nhu cầu của họ từ góc độ của hacker (như trong bảng bên dưới), đồng thời xem xét mối quan tâm tốt nhất (chất lượng kiểm toán) .
Nguồn: 《Góc nhìn của những người săn bọ về những thách thức và lợi ích của hệ sinh thái tiền thưởng bọ》
Ngoài một số nhu cầu chung, tôi cũng thấy một số chủ đề thú vị trong cộng đồng mũ trắng Immunefi (cộng đồng bất hòa mũ trắng sôi nổi nhất mà tôi thấy).
Ví dụ:
Một người đội mũ trắng tên là Rappie muốn tiết lộ một số sơ hở của dự án mà anh ấy/cô ấy đã phát hiện ra trước đây và hỏi những quy tắc cộng đồng nào cần phải tuân theo. (1. Chỉ công bố các lỗi đã được sửa. 2. Đảm bảo rằng bất kỳ thông tin công khai nào không có tác động tiêu cực đến giao thức hoặc người dùng của nó. Giữ bí mật thông tin, ví dụ: sau khi họ khắc phục lỗ hổng SQL injection của bạn, không tiết lộ thông tin về lỗi của họ cơ sở dữ liệu đầy đủ.3. Đảm bảo rằng bạn cần gửi tin nhắn riêng cho nhóm dự án trước khi công khai).
Một người mũ trắng tên là Noam Yakov nghi ngờ về định nghĩa của dự án tiền thưởng (điều này thường xảy ra, vì thông thường chỉ những lỗ hổng bảo mật nghiêm trọng mới có thể được thưởng. Dự án xác định mức độ bảo mật của lỗ hổng như thế nào? Điều mà mũ trắng quan tâm sâu sắc và cộng đồng đã nghe rất nhiều về những tranh chấp như vậy). Trong dự án tiền thưởng Uniwhales, anh ấy đã nghi ngờ về định nghĩa của họ về tác động của MEV như một lỗ hổng bảo mật nghiêm trọng. Cuối cùng, mọi người thảo luận rằng loại mô tả này không áp dụng cho tất cả các tình huống MEV. Ví dụ: đối với một số luồng đơn đặt hàng độc hại, Nhóm giao thức có thể Tình trạng cạn kiệt tài sản chắc chắn là một sự cố bảo mật nghiêm trọng (do đó, việc xác định một bộ khung cấp độ bảo mật thường là không đủ và thường cần phải có vai trò tương tự của trọng tài viên trong nền tảng để can thiệp vào các trường hợp thực tế khác nhau).
Và đối với một chủ đề rất thú vị, "Yêu cầu và mong đợi của bạn đối với một nền tảng tiền thưởng như Immunefi là gì?" Một người đội mũ trắng có tên ckksec đã đưa ra câu trả lời của mình: 1) Giúp những người đội mũ trắng được mã hóa ẩn danh này kiếm được thu nhập lao động của họ Thực hiện một số giải thích pháp lý như lập hóa đơn. 2) Nền tảng không chỉ nên có hệ thống tính điểm cho mũ trắng mà còn cho điểm chất lượng của dự án vì mũ trắng thường cần dành thời gian để phân biệt chất lượng của dự án. 3) Đối với những người mũ trắng sẵn sàng mở hồ sơ của họ, nền tảng có thể hiển thị quy trình làm việc của họ, đồng thời nền tảng sẽ hiển thị thông tin báo cáo phân tích bảo mật mà bên dự án nhận được một cách minh bạch hơn.
Những công cụ nào có thể giúp mũ trắng?
Với sự bùng nổ của LLMs GPT, gần đây tôi đã nghe mọi người thường xuyên thảo luận về việc liệu kiểm toán bảo mật cũng có thể được thay thế bằng AI hay không. Các chuyên gia bảo mật có kinh nghiệm mà tôi đã nói chuyện thường tin rằng GPT khó có thể thay thế trực tiếp trí thông minh của con người. Một số kết quả treo thấp (các vấn đề dễ phát hiện) có thể được phát hiện bằng các mô hình ngôn ngữ, nhưng những vấn đề có rủi ro trung bình và cao vẫn cần có chuyên gia sự tham gia. Ví dụ: theo phản hồi của một chuyên gia bảo mật cao cấp, để phân tích dữ liệu tương tự và phân tích động, các thử nghiệm phức tạp hơn này cần được kết hợp một cách giả tạo với logic nghiệp vụ thực tế của giao thức để tiến hành trước các thử nghiệm phân tích bảo mật và xác định mục tiêu dự kiến các thuộc tính của bài kiểm tra trước Phần khó nhất là viết một thuộc tính tốt và xác định trường kiểm tra chính xác. Theo các thí nghiệm của họ về GPT, họ tin rằng GPT không thể thay thế hoàn toàn con người ở giai đoạn này.
Tất nhiên, hiện tại có nhiều kết quả lạc quan hơn cho thấy LLM có thể cải thiện đáng kể hiệu quả phân tích của các công cụ phân tích bảo mật và giảm tỷ lệ dương tính giả.
Chúng ta hãy nghĩ về chủ đề này từ một góc độ phi kỹ thuật thú vị khác. Đó là một trò chơi năng động giữa những kẻ tấn công bảo mật và những người bảo vệ. Chiều cao kỳ diệu cao hơn một bước so với người kia. Liệu AI có mang lại sự bảo mật tương đối cho những kẻ tấn công bảo mật? Giúp đỡ?
An toàn hướng đến con người
Mọi người sẽ có thói quen nghĩ rằng phần mềm là một thứ lạnh lùng, máy móc và logic, và việc cải thiện bảo mật hệ thống chỉ cần cải thiện công nghệ phân tích và mức độ phòng thủ của hệ thống. Tuy nhiên, mọi người thiếu suy nghĩ về các vấn đề bảo mật từ góc độ khuyến khích kinh tế và bản chất con người.Trong khu rừng tối của mã nguồn mở, chúng ta cần một hệ thống phân phối phù hợp hơn với giả định của những người có lý trí. thu hút thêm những người sẵn sàng đầu tư lâu dài vào blockchain, những người đóng góp trí tuệ để bảo mật hệ thống tham gia.
Cấu trúc thị trường kiểm toán bảo mật truyền thống hiện tại là ổn định và danh tiếng thương hiệu là tài sản vô hình quan trọng nhất của các công ty trong lĩnh vực này. các vấn đề riêng (mô hình kinh doanh chỉ dựa vào nhân lực và khó phát triển về quy mô, và các công ty hàng đầu cần cân bằng giữa tăng trưởng và chất lượng kiểm toán. Một số công ty đã gặp phải nút thắt cổ chai như vậy và thậm chí ảnh hưởng đến giá trị của thương hiệu).
Cuộc thi kiểm toán bảo mật dựa vào cộng đồng là một mô hình kinh doanh sáng tạo. Hiện tại, hơn 300 khách hàng của hai nền tảng đã dần tìm thấy PMF và nền tảng tiền thưởng là một bổ sung tốt cho vòng đời bảo mật. Mặc dù các nền tảng phi tập trung này vẫn là Chúng tôi chưa tìm thấy mô hình mã thông báo đặc biệt hiệu quả, nhưng chúng tôi rất lạc quan về sự phát triển quy mô lớn của thị trường này trong tương lai (vì trí tuệ của đám đông rất phù hợp với các kịch bản trò chơi tấn công và phòng thủ trên thị trường chứng khoán).
Liệu các nền tảng kiểm toán dựa vào cộng đồng có gây ra mối đe dọa cho các công ty kiểm toán tập trung không? Chúng tôi cho rằng họ sẽ có mối quan hệ cạnh tranh và bổ trợ lẫn nhau lành mạnh, trong ngắn hạn khi một nền tảng như Code 4 rena tạo được hiệu ứng mạng nhất định và có thành tích tốt (tỷ lệ dự án đã kiểm toán bị hack thấp) thì có thể thực sự mang lại cho một số công ty tập trung ở giữa và đuôi sẽ mang lại áp lực cạnh tranh nhất định, nhưng về lâu dài, điều này cũng có thể buộc nền tảng kiểm toán tập trung hình thành một số hợp tác thương mại với nền tảng hướng đến cộng đồng, bởi vì điều này cũng có thể mở rộng cơ sở khách hàng của nền tảng kiểm toán bảo mật tập trung và Cải thiện chất lượng kiểm toán (hơi giống với dự án tiền thưởng bảo mật ban đầu được vận hành độc lập bởi một công ty web2 lớn và sau đó hình thành logic hợp tác với các nền tảng của bên thứ ba như HackerOne).
Mặc dù hướng của nền tảng bảo mật hướng đến cộng đồng là hướng đến DAO nhiều hơn (Forta thực sự có thể được đưa vào danh mục này), nhưng trong hoạt động thực tế của dự án hiện tại, vẫn còn những vấn đề như: cách tạo quy trình làm việc và quy trình phân phối kinh tế minh bạch và cởi mở hơn, Cách cân nhắc các cân nhắc về quyền riêng tư và bảo mật của phía dự án, cách xác định rõ ràng hơn mối quan hệ giữa làm việc nhóm và đóng góp cá nhân, cách giải quyết vấn đề một cách tương đối công bằng và chuyên nghiệp khi phát sinh xung đột lợi ích , v.v. Đúng thách thức.
Thẩm quyền giải quyết:
《HackerOne Year Book》
《Bounty Everything - Tin tặc và việc tạo ra thị trường lỗi toàn cầu》
《Một nghiên cứu thực nghiệm về các chương trình thưởng lỗ hổng》
《Báo cáo hacker năm 2022》
《Năng suất và Mô hình Hoạt động trong Chương trình Tiền thưởng Lỗi》
số 8.
9.
10.
11.
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
IOSG Ventures: Giải thích toàn diện về thị trường kiểm toán và tiền thưởng dựa vào cộng đồng
Tác giả gốc: Ray, IOSG Ventures
Lời nói đầu
Là một hệ thống máy tính quy mô lớn, độ phức tạp hệ thống hiện tại của chuỗi khối đã vượt xa mức 5 năm trước, mức độ mô đun hóa cơ sở hạ tầng được tinh chỉnh hơn, logic hợp đồng thông minh của lớp ứng dụng ngày càng phong phú hơn và sự tương tác giữa các hợp đồng là rất thường xuyên, quan trọng hơn, số lượng tài sản được quản lý bởi hệ thống blockchain đã rất lớn, vì vậy gần đây đã có nhiều cuộc thảo luận về chu kỳ bảo mật trong cộng đồng bảo mật blockchain (tình hình giống như năm 2017 , khi mọi người nghĩ đến bảo mật, họ chỉ nghĩ đến các nhà phát triển. Nó rất khác khi viết hợp đồng và ném nó cho những người bạn của Ethereum Foundation để xem qua và thực hiện một số thử nghiệm cơ bản).
Trong suốt vòng đời bảo mật của các chương trình chuỗi khối (từ thử nghiệm, mời kiểm tra của bên thứ ba đến giám sát sau sự kiện, cập nhật kiểm tra), cộng đồng tiền thưởng lỗi giống như một tấm đệm an toàn để thu hút những người mũ trắng tham gia chuỗi khối thông qua lý thuyết trò chơi và hoạt động theo cụm. Mã của bên dự án sẽ được xem xét lần cuối và một số nhân viên bảo mật hợp đồng thông minh cảm thấy rằng tiền thưởng lỗi giống như người cuối cùng trong hàng phòng thủ, nhưng tôi nghĩ rằng tiền thưởng lỗi và các cuộc thi kiểm toán có khả năng đóng một vai trò lớn hơn trong tương lai, phục vụ như một hệ thống chạy qua toàn bộ Vai trò vòng đời bảo mật giúp cải thiện tính bảo mật tổng thể của hệ thống.
Tất nhiên, trong lĩnh vực an ninh mạng truyền thống cũng có các chương trình tiền thưởng tìm lỗi (Bug Bounty hay Vulnerabilty Rewards) Đầu tiên, các hãng công nghệ lớn như Facebook, Google, Microsoft… sẽ triển khai các chương trình tiền thưởng cho đội ngũ bảo mật nội bộ của mình và Các dòng sản phẩm của riêng họ Thứ hai, các nền tảng của bên thứ ba về tiền thưởng cho Bug bounty do HackerOne và Bugcrowd đại diện đã xuất hiện từ khoảng năm 2015. Hiện tại, hai công ty bảo mật hàng đầu này dựa vào việc phân phối hoa hồng tiền thưởng làm thu nhập chính và thu nhập hàng năm của họ có thể đạt tới lần lượt gần 50 triệu đô la Mỹ và 20 triệu đô la Mỹ. Trong thế giới blockchain, tiền thưởng là một chủ đề thú vị hơn thường được thảo luận trong giới bảo mật. Lý do chính là nguồn mở của mã blockchain thực sự làm cho chi phí hack và nâng cấp các chiến lược tấn công rẻ hơn. ủng hộ việc nhóm các nền kinh tế làm việc, người sáng tạo và quyền sở hữu mở ra các mô hình đóng góp làm cho nền kinh tế mũ trắng cởi mở hơn thậm chí còn có giá trị hơn.
Tiền thưởng lỗi và cuộc thi kiểm tra là gì?Tại sao chúng ta cần chúng?
Bảo mật là một trò chơi năng động giữa kẻ tấn công và người bảo vệ, giống như chuyên gia bảo mật máy tính và nhà mật mã học Bruce Schneier đã nói, "Bảo mật là một quá trình, không phải là một sản phẩm. Đó là một cách suy nghĩ phải xuyên suốt quá trình phát triển phần mềm ở mọi khía cạnh .” Trong thế giới blockchain, một khu rừng tối nơi tất cả các mã đều là mã nguồn mở và minh bạch, một dự án blockchain muốn tồn tại lâu dài phải có nhu cầu vĩnh cửu về tính bảo mật của các sản phẩm/hợp đồng của nó. Các sản phẩm chuỗi đều có nhiều hoặc ít thuộc tính tài chính hơn. Tài sản quan trọng nhất trong tài chính là niềm tin và niềm tin của người dùng chỉ có một lần.
Đâu là những bất cập và vấn đề của kiểm toán truyền thống? Những lợi thế nào có thể bù đắp cho những vấn đề này?
Các nhà phát triển sử dụng dịch vụ kiểm toán thường thấy rằng:
Thị trường lớn như thế nào?
Mô hình kinh doanh của các nền tảng tiền thưởng và các cuộc thi kiểm toán thường là lấy một phần tiền thưởng do khách hàng trả hoặc tổng số tiền thưởng được thiết lập làm phí dịch vụ của nền tảng. Khách hàng (các bên dự án) cần kiểm tra bảo mật mã sẽ thông báo kế hoạch của họ trên nền tảng tiền thưởng theo nhu cầu của riêng họ (mã nào cần được kiểm tra, cách xác định mức độ nghiêm trọng của lỗ hổng và số tiền thưởng mà họ sẵn sàng trả), và mũ trắng Các lỗ hổng sẽ được tìm ra theo nhu cầu của phía dự án. Sau khi mũ trắng tìm ra kẽ hở và đáp ứng nhu cầu của phía dự án, tiền thưởng sẽ được phân phối cho các mũ trắng và nền tảng tiền thưởng sẽ rút ra một khoản hoa hồng từ nó như một khoản phí dịch vụ.
Trong lĩnh vực bảo mật mạng truyền thống Web2, nền tảng tiền thưởng lỗi cũng là một hướng đi khá trẻ (xuất hiện sau năm 2012), và các nền tảng tiền thưởng lỗi lớn nhất hiện nay là HackerOne và Bugcrowd. Vào năm 2022, doanh thu hàng năm của HackerOne sẽ đạt 58 triệu đô la Mỹ, định giá của công ty sẽ đạt khoảng 500 triệu đô la Mỹ và tiền thưởng tích lũy được trả trong lịch sử sẽ là 230 triệu đô la Mỹ (150 triệu đô la Mỹ vào năm 2021 và 2022). , có hơn 1 triệu tin tặc đã đăng ký và hơn 1.000 khách hàng sử dụng dịch vụ HackerOne mỗi tháng. Đối thủ cạnh tranh của nó, Bugcrowd, dự kiến sẽ kiếm được hơn 20 triệu đô la vào năm 2022.
Trong lĩnh vực bảo mật Web3, vào năm 2022, tất cả các nền tảng cạnh tranh tiền thưởng và kiểm toán lỗi web3 sẽ phát hành tổng tiền thưởng 50 triệu đô la Mỹ cho các hacker mũ trắng và mức tính phí trung bình của các nền tảng đó là khoảng 10% đến 30%, vì vậy nó được ước tính một cách thận trọng Quy mô thị trường hiện tại là khoảng 5 triệu đô la ~ 15 triệu đô la và đây vẫn là một thị trường rất mới nổi.
Một điều thú vị nữa là ngày càng có nhiều khách hàng sẵn sàng sử dụng trực tiếp các dịch vụ kiểm tra mã được cung cấp bởi cộng đồng bảo mật phi tập trung này. , công ty kiểm toán bên thứ ba đã chọn Code 4 Rena, nền tảng cạnh tranh kiểm toán phi tập trung lớn nhất hiện nay và thiết lập tổng giải thưởng trị giá 1 triệu đô la Mỹ. tools, khối lượng Thị trường BD), liệu các dịch vụ bảo mật phi tập trung có phải là một bước tăng trưởng quan trọng trong thị trường này không? (Hiện tại có 56 công ty kiểm toán trên thị trường và doanh thu của các công ty hàng đầu trong năm qua là từ 10 triệu đô la Mỹ đến 40 triệu đô la Mỹ. Tôi nghĩ rằng thị trường bảo mật phi tập trung có rất nhiều chỗ cho trí tưởng tượng).
Nền tảng tiền thưởng lỗi so với Nền tảng cuộc thi kiểm toán
Mặc dù nền tảng tiền thưởng lỗi đã có lịch sử phát triển mười năm trong web2, nền tảng cạnh tranh kiểm toán là một điều mới trong web3 bản địa. Đối tượng của dịch vụ cạnh tranh kiểm toán là các bên dự án sắp ra mắt sản phẩm hoặc một số chức năng mới và sử dụng sức mạnh của cộng đồng phi tập trung để giúp họ hoàn thành dịch vụ kiểm toán trong một thời gian cụ thể (hơn 2 tuần). viễn cảnh, sự cạnh tranh kiểm toán sẽ Nó sẽ mang lại mối đe dọa kinh doanh không nhỏ cho các công ty kiểm toán truyền thống.
Dưới đây tôi sẽ chỉ ra sự khác biệt giữa hai nền tảng về phương thức tham gia, cấu trúc phần thưởng và phạm vi kiểm tra:
cách thức tham gia
Các nền tảng tiền thưởng lỗi như Immunefi thường là các dự án mở mà mọi người có thể tham gia bất cứ lúc nào. Những người tham gia thường độc lập khám phá và báo cáo các lỗ hổng để đổi lấy phần thưởng. Nếu hai người tìm thấy cùng một lỗ hổng lặp đi lặp lại, nguyên tắc ai đến trước được phục vụ trước sẽ được tuân theo và ai nộp báo cáo trước sẽ nhận được phần thưởng trước.
Các nền tảng cạnh tranh kiểm toán dựa vào cộng đồng (ví dụ: Code 4 rena, Sherlock) thường bị giới hạn thời gian và cạnh tranh với những người tham gia để tìm và báo cáo các lỗ hổng trong một khung thời gian nhất định. So với nền tảng tiền thưởng, sẽ có một số hoạt động làm việc theo nhóm (ví dụ: mỗi dự án sẽ có sự phân công rõ ràng giữa Kiểm toán viên cấp cao và Giám khảo chính, cuối cùng sẽ xem xét và tổng hợp tất cả các kết quả kiểm toán thành báo cáo kiểm toán cho khách hàng và hai nhà lãnh đạo này cũng tuân theo Nguyên tắc phân cấp bầu cử và thi đấu của cộng đồng). Ngoài ra, nếu hai đối thủ cạnh tranh kiểm toán tìm thấy kẽ hở lặp đi lặp lại trong thời gian quy định, cả hai đều có thể nhận được phần thưởng.
cơ cấu khen thưởng
Phần thưởng thực tế do cả hai phát hành sẽ chủ yếu xem xét mức độ nghiêm trọng của lỗ hổng được phát hiện.
Điểm khác biệt duy nhất là một nền tảng cạnh tranh kiểm toán dựa vào cộng đồng như Code 4 Rena sẽ có một phần cố định (5% ~ 10%) tổng giải thưởng cho mỗi dự án được phân bổ cho Kiểm toán viên chính cấp cao và Giám khảo chính, bởi vì họ thực sự thực hiện kiểm toán truyền thống. các dự án của công ty Vai trò của người phụ trách.
Một điểm thú vị khác là bên dự án trên nền tảng tiền thưởng lỗi đôi khi đặt mã thông báo dự án làm phần thưởng, nhưng tôi cũng thấy rằng một số hacker mũ trắng trong cộng đồng thích nhận các đồng tiền ổn định như USDC và USDT thay vì biến động giá của mã thông báo dự án.
phạm vi và trọng tâm
Các dự án nền tảng tiền thưởng lỗi thường có phạm vi rộng, trong khi các dự án về cuộc thi kiểm toán thường có phạm vi tập trung hơn, nhắm mục tiêu vào một chức năng hoặc khía cạnh cụ thể của phần mềm, đồng thời yêu cầu đội mũ trắng tập trung hoàn thành công việc trong khoảng thời gian ngắn hơn
Các dự án tập trung vào các cuộc thi kiểm toán
Code 4 Rena - Một nền tảng cạnh tranh kiểm toán hướng đến cộng đồng giống như thể thao điện tử
Code 4 Rena có ba loại ký tự:
Kiểm toán viên (Wardens) xem xét mã. Bất kỳ ai, từ kỹ sư bảo mật chuyên nghiệp đến nhà phát triển mới làm quen đang cố gắng tích lũy thêm kinh nghiệm đều có thể đăng ký làm kiểm toán viên để tham gia cuộc thi kiểm toán công khai.
Giám khảo thường là những kỹ sư giỏi nhất trong cộng đồng C 4. Họ xác định mức độ nghiêm trọng, hiệu quả và chất lượng của các lỗ hổng và đánh giá hiệu suất kiểm toán.
Nhà tài trợ là các bên của dự án, chẳng hạn như Opensea, Blur, ENS, Chainlink, v.v. Họ tạo ra các nhóm tiền thưởng để thu hút kiểm toán viên kiểm tra mã dự án của họ. Các nhà tài trợ cũng có tùy chọn tổ chức các cuộc thi riêng tư, chỉ dành cho những người được mời để tăng thêm sự riêng tư.
Một trong những điểm thú vị nhất là văn hóa mà Code 4 Rena đang xây dựng: sự cộng tác và tinh thần đồng đội được khuyến khích. Không giống như các chương trình tiền thưởng lỗi truyền thống, Code 4 Rena trả tiền cho tất cả những người kiểm tra báo cáo lỗ hổng hợp lệ ngay cả khi lỗ hổng đó đã được báo cáo. Điều này khuyến khích sự cạnh tranh lành mạnh giữa các kiểm toán viên vì họ có động lực để tìm ra các lỗ hổng phổ biến và có mức độ nghiêm trọng cao. Trên nền tảng này, một số kiểm toán viên sẽ thành lập các nhóm tạm thời để cùng nhau tìm ra sơ hở.
mô hình kinh doanh:
Bất kỳ dự án nào cũng có thể đến Code 4 rena để bắt đầu chương trình cạnh tranh kiểm toán và cung cấp USDC hoặc ETH để thiết lập nhóm giải thưởng cơ bản (thường quy mô của nhóm giải thưởng là $40.000 ~ $100.000), Code 4 rena sẽ tính phí 20% từ cơ bản nhóm giải thưởng làm nền tảng Thu nhập dịch vụ để tổ chức các cuộc thi, cung cấp đánh giá và sắp xếp các báo cáo đầu ra kiểm toán. Bên dự án cũng có thể cung cấp mã thông báo dự án trên tổng giải thưởng cơ bản để thiết lập một nhóm giải thưởng bổ sung và Code 4 rena sẽ tính phí 40% tổng giải thưởng bổ sung này.
Sherlock - Kiểm toán dựa trên cộng đồng với bảo hiểm hợp đồng thông minh
Tương tự như Code 4 rena, Sherlock cũng có các vai trò như kiểm toán viên, nhà tài trợ và thẩm phán... Điểm độc đáo của Sherlock nằm ở các dịch vụ bảo hiểm được cung cấp bởi nền tảng này. Bất kỳ ai cũng có thể đầu tư vào nhóm bảo hiểm trên nền tảng Sherlock.Các nhà đầu tư gửi USDC vào nhóm bảo hiểm và khách hàng thỏa thuận có thể mua dịch vụ để phòng ngừa rủi ro hợp đồng thông minh bị tấn công. Các nguồn thu nhập cho các nhà đầu tư bảo hiểm bao gồm: phí bảo hiểm do khách hàng thỏa thuận trả + tiền lãi kiếm được bằng cách gửi quỹ nhóm bảo hiểm vào các nhóm DeFi khác (Aave, Compound, v.v.) + Ưu đãi mã thông báo Sherlock. Nhưng nhà đầu tư chịu rủi ro hoàn trả chính sách trong khi gặt hái những lợi ích.
Một điểm khác với Code 4 rena là cơ chế phân phối thu nhập dịch vụ kiểm toán do nền tảng cung cấp. So với Code 4 rena, Sherlock có các quy tắc cho phép trưởng kiểm toán an ninh cấp cao và chánh án nhận một số tiền cố định (5% ~ 10%) từ quỹ tiền thưởng để đền bù và động viên hợp lý cho kiểm toán viên cấp cao toàn thời gian. Ngoài ra, còn có các hệ thống lựa chọn và cạnh tranh để lựa chọn vai trò lãnh đạo.
Làm thế nào để xây dựng cộng đồng hacker? Mối quan tâm lớn nhất của Web3 mũ trắng là gì?
Sau khi chúng tôi quan sát các cộng đồng bảo mật phi tập trung khác nhau (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, v.v.) và trò chuyện với một số doanh nhân bảo mật, chúng tôi nghĩ rằng điều mà tất cả các nền tảng phi tập trung cam kết thực hiện là: xây dựng một A lành mạnh và hiệu quả hơn nền tảng giao tiếp và cộng tác. Nền tảng tiền thưởng giống như một thị trường giữa Hacker và dự án. Họ phải xem xét nhu cầu của họ từ góc độ của hacker (như trong bảng bên dưới), đồng thời xem xét mối quan tâm tốt nhất (chất lượng kiểm toán) .
Nguồn: 《Góc nhìn của những người săn bọ về những thách thức và lợi ích của hệ sinh thái tiền thưởng bọ》
Ngoài một số nhu cầu chung, tôi cũng thấy một số chủ đề thú vị trong cộng đồng mũ trắng Immunefi (cộng đồng bất hòa mũ trắng sôi nổi nhất mà tôi thấy).
Ví dụ:
Một người đội mũ trắng tên là Rappie muốn tiết lộ một số sơ hở của dự án mà anh ấy/cô ấy đã phát hiện ra trước đây và hỏi những quy tắc cộng đồng nào cần phải tuân theo. (1. Chỉ công bố các lỗi đã được sửa. 2. Đảm bảo rằng bất kỳ thông tin công khai nào không có tác động tiêu cực đến giao thức hoặc người dùng của nó. Giữ bí mật thông tin, ví dụ: sau khi họ khắc phục lỗ hổng SQL injection của bạn, không tiết lộ thông tin về lỗi của họ cơ sở dữ liệu đầy đủ.3. Đảm bảo rằng bạn cần gửi tin nhắn riêng cho nhóm dự án trước khi công khai).
Một người mũ trắng tên là Noam Yakov nghi ngờ về định nghĩa của dự án tiền thưởng (điều này thường xảy ra, vì thông thường chỉ những lỗ hổng bảo mật nghiêm trọng mới có thể được thưởng. Dự án xác định mức độ bảo mật của lỗ hổng như thế nào? Điều mà mũ trắng quan tâm sâu sắc và cộng đồng đã nghe rất nhiều về những tranh chấp như vậy). Trong dự án tiền thưởng Uniwhales, anh ấy đã nghi ngờ về định nghĩa của họ về tác động của MEV như một lỗ hổng bảo mật nghiêm trọng. Cuối cùng, mọi người thảo luận rằng loại mô tả này không áp dụng cho tất cả các tình huống MEV. Ví dụ: đối với một số luồng đơn đặt hàng độc hại, Nhóm giao thức có thể Tình trạng cạn kiệt tài sản chắc chắn là một sự cố bảo mật nghiêm trọng (do đó, việc xác định một bộ khung cấp độ bảo mật thường là không đủ và thường cần phải có vai trò tương tự của trọng tài viên trong nền tảng để can thiệp vào các trường hợp thực tế khác nhau).
Và đối với một chủ đề rất thú vị, "Yêu cầu và mong đợi của bạn đối với một nền tảng tiền thưởng như Immunefi là gì?" Một người đội mũ trắng có tên ckksec đã đưa ra câu trả lời của mình: 1) Giúp những người đội mũ trắng được mã hóa ẩn danh này kiếm được thu nhập lao động của họ Thực hiện một số giải thích pháp lý như lập hóa đơn. 2) Nền tảng không chỉ nên có hệ thống tính điểm cho mũ trắng mà còn cho điểm chất lượng của dự án vì mũ trắng thường cần dành thời gian để phân biệt chất lượng của dự án. 3) Đối với những người mũ trắng sẵn sàng mở hồ sơ của họ, nền tảng có thể hiển thị quy trình làm việc của họ, đồng thời nền tảng sẽ hiển thị thông tin báo cáo phân tích bảo mật mà bên dự án nhận được một cách minh bạch hơn.
Những công cụ nào có thể giúp mũ trắng?
Với sự bùng nổ của LLMs GPT, gần đây tôi đã nghe mọi người thường xuyên thảo luận về việc liệu kiểm toán bảo mật cũng có thể được thay thế bằng AI hay không. Các chuyên gia bảo mật có kinh nghiệm mà tôi đã nói chuyện thường tin rằng GPT khó có thể thay thế trực tiếp trí thông minh của con người. Một số kết quả treo thấp (các vấn đề dễ phát hiện) có thể được phát hiện bằng các mô hình ngôn ngữ, nhưng những vấn đề có rủi ro trung bình và cao vẫn cần có chuyên gia sự tham gia. Ví dụ: theo phản hồi của một chuyên gia bảo mật cao cấp, để phân tích dữ liệu tương tự và phân tích động, các thử nghiệm phức tạp hơn này cần được kết hợp một cách giả tạo với logic nghiệp vụ thực tế của giao thức để tiến hành trước các thử nghiệm phân tích bảo mật và xác định mục tiêu dự kiến các thuộc tính của bài kiểm tra trước Phần khó nhất là viết một thuộc tính tốt và xác định trường kiểm tra chính xác. Theo các thí nghiệm của họ về GPT, họ tin rằng GPT không thể thay thế hoàn toàn con người ở giai đoạn này.
Tất nhiên, hiện tại có nhiều kết quả lạc quan hơn cho thấy LLM có thể cải thiện đáng kể hiệu quả phân tích của các công cụ phân tích bảo mật và giảm tỷ lệ dương tính giả.
Chúng ta hãy nghĩ về chủ đề này từ một góc độ phi kỹ thuật thú vị khác. Đó là một trò chơi năng động giữa những kẻ tấn công bảo mật và những người bảo vệ. Chiều cao kỳ diệu cao hơn một bước so với người kia. Liệu AI có mang lại sự bảo mật tương đối cho những kẻ tấn công bảo mật? Giúp đỡ?
An toàn hướng đến con người
Mọi người sẽ có thói quen nghĩ rằng phần mềm là một thứ lạnh lùng, máy móc và logic, và việc cải thiện bảo mật hệ thống chỉ cần cải thiện công nghệ phân tích và mức độ phòng thủ của hệ thống. Tuy nhiên, mọi người thiếu suy nghĩ về các vấn đề bảo mật từ góc độ khuyến khích kinh tế và bản chất con người.Trong khu rừng tối của mã nguồn mở, chúng ta cần một hệ thống phân phối phù hợp hơn với giả định của những người có lý trí. thu hút thêm những người sẵn sàng đầu tư lâu dài vào blockchain, những người đóng góp trí tuệ để bảo mật hệ thống tham gia.
Cấu trúc thị trường kiểm toán bảo mật truyền thống hiện tại là ổn định và danh tiếng thương hiệu là tài sản vô hình quan trọng nhất của các công ty trong lĩnh vực này. các vấn đề riêng (mô hình kinh doanh chỉ dựa vào nhân lực và khó phát triển về quy mô, và các công ty hàng đầu cần cân bằng giữa tăng trưởng và chất lượng kiểm toán. Một số công ty đã gặp phải nút thắt cổ chai như vậy và thậm chí ảnh hưởng đến giá trị của thương hiệu).
Cuộc thi kiểm toán bảo mật dựa vào cộng đồng là một mô hình kinh doanh sáng tạo. Hiện tại, hơn 300 khách hàng của hai nền tảng đã dần tìm thấy PMF và nền tảng tiền thưởng là một bổ sung tốt cho vòng đời bảo mật. Mặc dù các nền tảng phi tập trung này vẫn là Chúng tôi chưa tìm thấy mô hình mã thông báo đặc biệt hiệu quả, nhưng chúng tôi rất lạc quan về sự phát triển quy mô lớn của thị trường này trong tương lai (vì trí tuệ của đám đông rất phù hợp với các kịch bản trò chơi tấn công và phòng thủ trên thị trường chứng khoán).
Liệu các nền tảng kiểm toán dựa vào cộng đồng có gây ra mối đe dọa cho các công ty kiểm toán tập trung không? Chúng tôi cho rằng họ sẽ có mối quan hệ cạnh tranh và bổ trợ lẫn nhau lành mạnh, trong ngắn hạn khi một nền tảng như Code 4 rena tạo được hiệu ứng mạng nhất định và có thành tích tốt (tỷ lệ dự án đã kiểm toán bị hack thấp) thì có thể thực sự mang lại cho một số công ty tập trung ở giữa và đuôi sẽ mang lại áp lực cạnh tranh nhất định, nhưng về lâu dài, điều này cũng có thể buộc nền tảng kiểm toán tập trung hình thành một số hợp tác thương mại với nền tảng hướng đến cộng đồng, bởi vì điều này cũng có thể mở rộng cơ sở khách hàng của nền tảng kiểm toán bảo mật tập trung và Cải thiện chất lượng kiểm toán (hơi giống với dự án tiền thưởng bảo mật ban đầu được vận hành độc lập bởi một công ty web2 lớn và sau đó hình thành logic hợp tác với các nền tảng của bên thứ ba như HackerOne).
Mặc dù hướng của nền tảng bảo mật hướng đến cộng đồng là hướng đến DAO nhiều hơn (Forta thực sự có thể được đưa vào danh mục này), nhưng trong hoạt động thực tế của dự án hiện tại, vẫn còn những vấn đề như: cách tạo quy trình làm việc và quy trình phân phối kinh tế minh bạch và cởi mở hơn, Cách cân nhắc các cân nhắc về quyền riêng tư và bảo mật của phía dự án, cách xác định rõ ràng hơn mối quan hệ giữa làm việc nhóm và đóng góp cá nhân, cách giải quyết vấn đề một cách tương đối công bằng và chuyên nghiệp khi phát sinh xung đột lợi ích , v.v. Đúng thách thức.
Thẩm quyền giải quyết:
số 8. 9. 10. 11.