原作者: Ray、IOSG Ventures## 序文大規模コンピュータシステムとして、現在のブロックチェーンのシステム複雑さは5年前のレベルをはるかに超えており、インフラストラクチャのモジュール化度はより洗練され、アプリケーション層のスマートコントラクトロジックはますます豊富になり、契約間のやりとりは非常に頻繁であり、さらに重要なことに、ブロックチェーン システムによって管理される資産の数はすでに非常に多くなっているため、最近ブロックチェーン セキュリティ コミュニティでセキュリティ サイクルについての議論が増えています (状況は 2017 年と同じです) 、人々がセキュリティについて考えるとき、彼らは開発者のことだけを考えています。契約を書いて、それをイーサリアム財団の友人に投げて見てもらい、いくつかの基本的なテストを行うのはまったく異なります)。ブロックチェーン プログラムのセキュリティ ライフ サイクル全体 (テスト、サードパーティ監査の招待からイベント後の監視、更新監査まで) を通じて、バグ報奨金コミュニティは、ゲーム理論とクラスター作業を通じてホワイト ハットをブロックチェーンに引き付けるための安全クッションのようなものです。プロジェクト関係者のコードは最後にレビューされることになっており、スマートコントラクトのセキュリティ担当者の中には、バグ報奨金は防衛線の最後の一人のようなものだと感じている人もいますが、私はバグ報奨金と監査コンテストには次のような可能性があると考えています。セキュリティ ライフサイクル全体を実行するシステムとして機能し、将来的にはより大きな役割を果たします。セキュリティ ライフサイクルの役割は、システム全体のセキュリティを向上させます。もちろん、従来のネットワーク セキュリティの分野にもバグ報奨金プログラム (Bug Bounty または Vulnerabilty Rewards) があります。まず、Facebook、Google、Microsoft などの大手テクノロジー企業が自社のセキュリティ チームに報奨金プログラムを展開し、 HackerOne や Bugcrowd に代表されるバグ報奨金のサードパーティ プラットフォームが 2015 年頃から登場しており、現在、この 2 つの大手セキュリティ企業は報奨金手数料の分配を主な収入源としており、その年収は 50 ドル近くに達することもあります。それぞれ100万米ドルと2,000万米ドル。ブロックチェーンの世界では、報奨金はセキュリティ界でよく議論される興味深いトピックです. その主な理由は、ブロックチェーン コードのオープンソースにより、ハッキングや攻撃戦略のアップグレードのコストが実際に安くなるからです. さらに、暗号通貨の世界では、は、よりオープンなホワイトハット経済をさらに価値あるものにする貢献モデルにオープンな、労働経済、クリエイター経済、所有権経済のクラスタリングを提唱しています。## バグ報奨金と監査コンテストとは何ですか? なぜそれらが必要なのでしょうか?コンピューター セキュリティの専門家で暗号学者のブルース シュナイアー氏が述べたように、セキュリティは攻撃者と防御者の間の動的なゲームです。「セキュリティは製品ではなくプロセスです。セキュリティは、ソフトウェア開発プロセスのあらゆる側面で実行する必要がある考え方です。」すべてのコードがオープンソースで透明性のある暗い森であるブロックチェーンの世界では、長期間存続したいブロックチェーン プロジェクトは、その製品/契約のセキュリティに対する永遠の要求を持たなければなりません。チェーン製品はすべて、それ以上の、またはそれ以上のものを持っています。金融における最も重要な資産は信頼であり、ユーザーの信頼は一度だけです。従来の監査の欠点や問題はどこにあるのでしょうか?コミュニティ主導のバグ報奨金や監査コンテストには、これらの問題を補うどのような利点があるのでしょうか?監査サービスを使用している開発者は、次のことに気づくことがよくあります。※第三者監査会社のサービスを購入した後でも、監査後のコードに問題が発生する場合がありますが、問題の原因は技術的・非技術的など異なりますが、完全に信頼できるわけではないようですしかし、コード監査の品質は依然として監査人のレベルに依存しており、顧客には「誰が優れているか」を見極める能力が欠けていることがよくあります。* 報奨金プラットフォームと監査コンテストはよりオープンな「サンドボックス」であり、バックグラウンドに関係なく、ホワイト ハットがプロジェクト コードを自由にレビューできます (プロの監査会社の担当者がいる場合もあれば、フリーランスのセキュリティ アナリストがいる場合もあります)。兵器庫は無制限であり、顧客がしなければならないことは、妥当な報奨金を設定し、ホワイトハットが問題を発見したときに貢献金を支払うことだけです。* 通常、顧客は最初にホワイトハットによるレビューが必要なコードを提出し、脆弱性のセキュリティ レベルを定義します (通常は経済的損失の可能性に関連しており、経済的損失を直接引き起こす脆弱性が容易であるほど、重大度レベルは高くなります)。 、報奨金の予算、テストコードの範囲、さらにはテストステップ。## 市場の規模はどれくらいですか?報奨金プラットフォームや監査コンテストのビジネス モデルは、通常、顧客が支払った報奨金の一部、またはプラットフォームのサービス料金として設定されたボーナス プールの合計を引き出すことです。コードセキュリティ監査を必要とする顧客(プロジェクト当事者)は、各自のニーズ(どのコードを監査する必要があるか、脆弱性の重大度を定義する方法、いくらの報酬を支払う意思があるか)に応じて報奨金プラットフォーム上で計画を発表します。プロジェクト側のニーズに応じて脆弱性を発見し、ホワイトハットが抜け穴を発見し、プロジェクト側のニーズを満たした場合、ホワイトハットに報奨金が分配され、報奨金プラットフォームは報奨金を獲得します。そこからの手数料がサービス料として発生します。Web2 の従来のネットワーク セキュリティの分野では、バグ報奨金プラットフォームも比較的新しい方向 (2012 年以降に登場) であり、現在最大のバグ報奨金プラットフォームは HackerOne と Bugcrowd です。 2022 年の HackerOne の年間収益は 5,800 万米ドルに達し、企業評価額は約 5 億米ドルに達し、これまでに支払われた報奨金の累計は 2 億 3,000 万米ドル (2021 年と 2022 年には 1 億 5,000 万米ドル) に達すると予想されています。には 100 万人以上のハッカーが登録されており、毎月 1,000 人以上の顧客が HackerOne サービスを利用しています。競合会社のバグクラウドは、2022年に2,000万ドル以上の収益が見込まれている。Web3 セキュリティの分野では、2022 年にすべての Web3 バグ報奨金および監査競争プラットフォームがホワイト ハッカーに総額 5,000 万米ドルの報奨金を発行する予定であり、そのようなプラットフォームの平均請求レベルは約 10% ~ 30% です。現在の市場規模は約 500 万ドル~1,500 万ドルであり、まだ非常に新興市場です。もう 1 つの興味深い点は、この分散型セキュリティ コミュニティが提供するコード監査サービスを直接使用したいと考える顧客が増えていることです。最も有名な例は、Opensea が新しいプラットフォーム Seaport を立ち上げる前に、第 2 層の監査サービスを直接見つけなかったということです。 , 第三者監査会社は、現在最大の分散型監査競争プラットフォームである Code 4 Rena を選択し、賞金総額 100 万米ドルを設定しました。今日、従来のセキュリティ監査市場はますます関与しています (人的資源の量、技術的な量の増加)ツール、ボリューム市場 BD)、分散型セキュリティ サービスはこの市場で重要な成長となるでしょうか? (現在、市場には56社の監査会社が存在しており、主要企業の過去1年間の収益は1,000万米ドルから4,000万米ドルの間でした。分散型セキュリティ市場には想像の余地がたくさんあると思います)。## バグ報奨金プラットフォームと監査コンテスト プラットフォームの比較バグ報奨金プラットフォームには Web2 で 10 年の開発の歴史がありますが、監査競争プラットフォームは Web3 ネイティブでは新しいものです。監査コンペティションサービスの対象となるのは、これから製品や新機能を立ち上げようとしているプロジェクト関係者であり、分散型コミュニティの力を利用して、一定期間(2週間以上)内に監査サービスを完了できるよう支援することになります。観点から見ると、監査競争は従来の監査会社に中小企業の脅威をもたらすことはありません。以下に、参加方法、報酬構造、テスト範囲の点で 2 つのプラットフォームの違いを示します。参加方法Immunefi などのバグ報奨金プラットフォームは通常、誰でもいつでも参加できるオープン プロジェクトです。参加者は通常、報酬と引き換えに独立して脆弱性を調査および報告します。 2 人が同じ脆弱性を繰り返し発見した場合は、先着順の原則に従い、最初に報告を提出した人が最初に報酬を受け取ります。コミュニティ主導の監査競争プラットフォーム (Code 4 rena、Sherlock など) は多くの場合、時間制限があり、特定の時間枠内で脆弱性を発見して報告することを参加者と競い合います。報奨金プラットフォームと比較すると、ある程度のチームワークが必要になります (たとえば、各プロジェクトには主任上級監査人と主任審査員が明確に割り当てられ、最終的にすべての監査結果をレビューして顧客への監査レポートに要約します。この 2 人のリーダーはコミュニティの選挙と競争の分散化の原則にも従う)。さらに、2 人の監査競合者が指定された時間内に繰り返し抜け穴を発見した場合、両方とも報酬を得ることができます。報酬構造両方が発行する実際の報酬は、主に発見された脆弱性の重大度を考慮します。唯一の違いは、Code 4 Rena のようなコミュニティ主導の監査コンペティション プラットフォームでは、各プロジェクトのボーナス プールの固定部分 (5% ~ 10%) が主任上級監査人および主任審査員に割り当てられることです。これは、彼らが実際に従来の監査を行うためです。社内プロジェクトの責任者の役割。もう 1 つの興味深い点は、バグ報奨金プラットフォームのプロジェクト パーティーが報酬としてプロジェクト トークンを提供する場合があることですが、コミュニティ内の一部のホワイト ハット ハッカーが価格変動ではなく USDC や USDT などのステーブル コインを取得することを好むことも見てきました。範囲と焦点バグ報奨金プラットフォーム プロジェクトは通常、範囲が広いのに対し、監査コンテストのプロジェクトは通常、ソフトウェアの特定の機能または側面を対象とした、より焦点を絞った範囲を持ち、ホワイト ハットは短期間で作業を完了することに集中する必要があります。## コンテストの監査に重点を置いたプロジェクトCode 4 Rena - eスポーツのようなコミュニティ主導の監査競争プラットフォームコード 4 レナには 3 つのキャラクター タイプがあります。1. 監査人 (監視員) がコードをレビューします。プロのセキュリティ エンジニアから経験を積もうとしている初心者の開発者まで、誰でも監査人として登録して公開監査コンテストに参加できます。2. 審査員は通常、C 4 コミュニティの最高のエンジニアです。脆弱性の重大度、有効性、品質を判断し、監査パフォーマンスを評価します。3. スポンサーは、Opensea、Blur、ENS、Chainlink などのプロジェクト関係者です。スポンサーは、プロジェクトのコードを監査する監査人を引き付けるためにボーナス プールを作成します。スポンサーには、プライバシーを高めるため、招待者限定のプライベート コンテストを主催するオプションもあります。最も興味深い点の 1 つは、Code 4 Rena が構築している文化です。コラボレーションとチームワークが奨励されています。従来のバグ報奨金プログラムとは異なり、Code 4 Rena は、有効な脆弱性を報告したすべての監査人に、その脆弱性がすでに報告されている場合でも支払いを行います。これにより、監査人は重大度の高い一般的な脆弱性を発見する意欲が高まり、監査人間の健全な競争が促進されます。このプラットフォームでは、一部の監査人が一時的なチームを結成して一緒に抜け穴を見つけます。事業の型:どのプロジェクトでも Code 4 rena にアクセスして監査コンテスト プログラムを開始し、USDC または ETH を提供して基本的な賞金プールを設定できます (通常、賞金プールのサイズは $40,000 ~ $100,000)。Code 4 rena は基本賞金の 20% を請求します。プラットフォームとしての賞金プール コンテストの開催、レビューの提供、監査結果レポートの整理によるサービス収入。プロジェクト当事者は、基本賞金プールに加えてプロジェクト トークンを提供して追加の賞金プールを設定することもでき、Code 4 rena はこの追加の賞金プールの 40% を請求します。Sherlock - スマートコントラクト保険を使用したコミュニティ主導の監査Code 4 renaと同様に、Sherlockにも監査役、スポンサー、審査員などの役割があり、Sherlockの特徴はプラットフォームが提供する保険サービスにあります。 Sherlock プラットフォーム上の保険プールには誰でも投資でき、投資家は USDC を保険プールに預け、契約顧客はスマート コントラクトがハッキングされるリスクをヘッジするサービスを購入できます。保険投資家の収入源には、契約顧客が支払う保険料 + 保険プール資金を他の DeFi プール (Aave、Compound など) に預けることで得られる利子 + シャーロック トークンのインセンティブが含まれます。しかし、投資家は利益を享受しながら、保険契約を返済するリスクを負います。Code 4 renaとのもう1つの違いは、プラットフォームが提供する監査サービス収益の分配メカニズムです。 Code 4 rena と比較すると、Sherlock には、常勤の上級セキュリティ監査人の適切な報酬とモチベーションを高めるために、首席上級セキュリティ監査人および主任裁判官がボーナスプールから一定の金額 (5% ~ 10%) を得ることができるルールがあります。さらに、リーダーの役割を選択するための選考と競争のシステムもあります。## ハッカーコミュニティを構築するにはどうすればよいですか? Web3 ホワイトハットの最大の懸念は何ですか?さまざまな分散型セキュリティ コミュニティ (ImmuneFi、Hats Finance、Code 4 Rena、Sherlock など) を観察し、セキュリティ起業家たちと話をした後、すべての分散型プラットフォームが取り組んでいることは次のとおりであると考えています。コミュニケーションとコラボレーションのプラットフォーム. 報奨金プラットフォームは、ハッカーとプロジェクトの間のマーケットプレイスのようなものです. ハッカーの観点からニーズを考慮するだけでなく (以下の表に示すように)、最も懸念される点 (監査品質) も考慮する必要があります。出典: 《バグバウンティエコの課題と利点に関するバグハンターの視点》いくつかの一般的なニーズに加えて、Immunefi ホワイト ハット コミュニティ (私が見た中で最も活発なホワイト ハット ディスコード コミュニティ) でも興味深いトピックがいくつかありました。例えば:Rappie という名前のホワイト ハットは、以前に発見したプロジェクトの抜け穴をいくつか公開したいと考えており、どのようなコミュニティ ルールに従う必要があるかを尋ねています。 (1. 修正されたバグのみを公開してください。2. 公開情報がプロトコルやそのユーザーに悪影響を及ぼさないようにしてください。機密情報は保持してください。例: SQL インジェクションの脆弱性を修正した後は、その脆弱性に関する情報を公開しないでください)。 3. データベースを公開する前に、プロジェクト チームにプライベート メッセージを送信する必要があることを確認してください)。Noam Yakov という名前のホワイト ハットは、報奨金プロジェクトの定義に疑問を持っています (通常、重大なセキュリティ脆弱性のみが報われるため、これはよく起こります。プロジェクトは脆弱性のセキュリティ レベルをどのように定義しますか? ホワイト ハットが非常に気にしていること、そしてコミュニティではそのような論争についてよく耳にします)。 Uniwhales の報奨金プロジェクトでは、彼は MEV の影響を深刻なセキュリティ脆弱性として定義することに疑問を抱いていました。最終的には、この種の説明はすべての MEV 状況に適用されるわけではないということで全員が議論しました。たとえば、一部の有害な注文フローの場合、資産流出の状況は、間違いなく重大なセキュリティ インシデントです (したがって、一連のセキュリティ レベル フレームワークを定義するだけでは十分ではないことが多く、通常は、実際のさまざまなケースに介入するには、プラットフォーム内で同様の役割の仲裁者が必要です)。そして、非常に興味深いトピックとして、「Immunefi のような報奨金プラットフォームに対するあなたの要求と期待は何ですか?」については、ckksec という名前のホワイト ハットが答えました: 1) これらの匿名の暗号化されたホワイト ハットが労働収入を得るのを支援する 請求書発行などの法的明確化を行います。 2) ホワイト ハットはプロジェクトの品質を区別するために時間を費やす必要があることが多いため、プラットフォームにはホワイト ハット用のスコアリング システムだけでなく、プロジェクトの品質もスコアリングする必要があります。 3) 自分のプロフィールをオープンしたいホワイトハットに対して、プラットフォームはワークフローを表示できると同時に、プロジェクト当事者が受け取ったセキュリティ分析レポート情報をより透明に表示する方が良いでしょう。## ホワイトハットに役立つツールは何ですか?LLM GPT の発火により、最近、セキュリティ監査も AI に置き換えることができるかどうかについて議論しているのをよく聞きます。私が話をした経験豊富なセキュリティ専門家は一般に、GPT が人間の知性を直接置き換えるのは難しいと信じています。いくつかの簡単な成果 (簡単に見つけられる問題) は言語モデルによって検出できるかもしれませんが、中程度および高リスクの問題には依然として専門家が必要です。参加。たとえば、上級セキュリティ専門家のフィードバックによると、同様のデータ分析と動的分析の場合、これらのより複雑なテストをプロトコルの実際のビジネス ロジックと人為的に組み合わせて、事前にセキュリティ分析テストを実施し、予想されるターゲットを定義する必要があるとのことです。最も難しいのは、適切なプロパティを記述し、正しいテスト フィールドを定義することです。 GPT に関する彼らの実験によると、現段階では GPT が人間を完全に置き換えることはできないと考えられています。もちろん、現時点では、LLM がセキュリティ分析ツールの分析効率を大幅に向上させ、誤検知率を削減できることを示す、より楽観的な結果があります。このトピックを技術以外の別の興味深い観点から考えてみましょう。これはセキュリティ攻撃者と防御者の間で行われるダイナミックなゲームです。魔法の高さは他のフィートよりも 1 フィート高いです。AI はセキュリティ攻撃者に相対的なセキュリティをもたらしますか? 役に立ちますか?## 安全は人間中心ですソフトウェアは冷たく機械的で論理的なものであり、システムのセキュリティを向上させるためには、分析技術とシステムの防御レベルを向上させるだけで十分であると人々は習慣的に考えています。しかし、人々は経済的インセンティブと人間性の観点からセキュリティ問題について考えることが欠如しており、オープンソース コードの暗い森では、合理的な人々の想定にもっと沿った配布システムが必要です。ブロックチェーンに長期的に投資する意欲のあるより多くの人々を惹きつけ、システムのセキュリティに知恵を提供する人々が参加します。現在の伝統的なセキュリティ監査市場構造は安定しており、この分野の企業にとってブランドの評判は最も重要な無形資産です。時間の経過とともに、トップセキュリティブランドの影響力と顧客の信頼は確実に増加していますが、従来のセキュリティ監査にも課題があります。自身の問題(ビジネスモデルはマンパワーのみに依存しており、規模の成長が難しく、大手企業は成長と監査の品質のバランスをとる必要があります。一部の企業はそのようなボトルネックに遭遇し、ブランドの価値に影響を与えることさえありました)。コミュニティ主導のセキュリティ監査コンテストは革新的なビジネス モデルです。現在、2 つのプラットフォームの 300 以上の顧客が徐々に PMF を見つけており、報奨金プラットフォームはセキュリティ ライフ サイクルを補完するものです。これらの分散型プラットフォームはまだ利用できませんが、特に効果的なトークン モデルはまだ見つかっていませんが、私たちはこの市場が将来的に大規模に成長することについて非常に楽観的です (群衆の知恵はセキュリティ市場における攻撃と防御のゲーム シナリオに非常に適しているため)。コミュニティ主導の監査プラットフォームは集中型の監査会社にとって脅威となるでしょうか? Code 4 rena のようなプラットフォームが一定のネットワーク効果を形成し、実績があれば(監査対象プロジェクトのうちハッキングされる割合が低い)、短期的には健全な相互競争と補完関係が生まれる可能性があります。確かに、中間と末端の一部の集中型企業は、一定の競争圧力をもたらすだろうが、長期的には、顧客ベースを拡大することもできるため、集中型監査プラットフォームがコミュニティ主導型プラットフォームと何らかの商業協力を形成することを余儀なくされる可能性もある。集中型セキュリティ監査プラットフォームの強化と監査品質の向上 (大規模な Web2 企業によって独立して運営され、後に HackerOne などのサードパーティ プラットフォームとの協力ロジックを形成した元のセキュリティ報奨金プロジェクトに少し似ています)。コミュニティ主導のセキュリティプラットフォームの方向性としては、よりDAO指向化が進んでいますが(実際にはFortaもこのカテゴリに含まれます)、現在のプロジェクトの実際の運用においては、ワークフローをどのように作成するか、経済分配プロセスの透明性とオープン性、プロジェクト側のプライバシーとセキュリティの考慮事項を比較検討する方法、チームワークと個人の貢献の関係をより明確に定義する方法、利益相反が生じた場合に比較的公平かつ専門的な方法で問題を解決する方法、など、正しい挑戦。参照:1. 《HackerOne Year Book》2. 《バウンティ・エブリシング - ハッカーと世界的なバグ市場の形成》3. 《脆弱性報奨金制度に関する実証研究》4. 《2022年ハッカーレポート》5. 《バグ報奨金プログラムの生産性と活動パターン》6.7。8.9.10.11.
IOSG Ventures: コミュニティ主導の報奨金および監査市場の包括的な解釈
原作者: Ray、IOSG Ventures
序文
大規模コンピュータシステムとして、現在のブロックチェーンのシステム複雑さは5年前のレベルをはるかに超えており、インフラストラクチャのモジュール化度はより洗練され、アプリケーション層のスマートコントラクトロジックはますます豊富になり、契約間のやりとりは非常に頻繁であり、さらに重要なことに、ブロックチェーン システムによって管理される資産の数はすでに非常に多くなっているため、最近ブロックチェーン セキュリティ コミュニティでセキュリティ サイクルについての議論が増えています (状況は 2017 年と同じです) 、人々がセキュリティについて考えるとき、彼らは開発者のことだけを考えています。契約を書いて、それをイーサリアム財団の友人に投げて見てもらい、いくつかの基本的なテストを行うのはまったく異なります)。
ブロックチェーン プログラムのセキュリティ ライフ サイクル全体 (テスト、サードパーティ監査の招待からイベント後の監視、更新監査まで) を通じて、バグ報奨金コミュニティは、ゲーム理論とクラスター作業を通じてホワイト ハットをブロックチェーンに引き付けるための安全クッションのようなものです。プロジェクト関係者のコードは最後にレビューされることになっており、スマートコントラクトのセキュリティ担当者の中には、バグ報奨金は防衛線の最後の一人のようなものだと感じている人もいますが、私はバグ報奨金と監査コンテストには次のような可能性があると考えています。セキュリティ ライフサイクル全体を実行するシステムとして機能し、将来的にはより大きな役割を果たします。セキュリティ ライフサイクルの役割は、システム全体のセキュリティを向上させます。
もちろん、従来のネットワーク セキュリティの分野にもバグ報奨金プログラム (Bug Bounty または Vulnerabilty Rewards) があります。まず、Facebook、Google、Microsoft などの大手テクノロジー企業が自社のセキュリティ チームに報奨金プログラムを展開し、 HackerOne や Bugcrowd に代表されるバグ報奨金のサードパーティ プラットフォームが 2015 年頃から登場しており、現在、この 2 つの大手セキュリティ企業は報奨金手数料の分配を主な収入源としており、その年収は 50 ドル近くに達することもあります。それぞれ100万米ドルと2,000万米ドル。ブロックチェーンの世界では、報奨金はセキュリティ界でよく議論される興味深いトピックです. その主な理由は、ブロックチェーン コードのオープンソースにより、ハッキングや攻撃戦略のアップグレードのコストが実際に安くなるからです. さらに、暗号通貨の世界では、は、よりオープンなホワイトハット経済をさらに価値あるものにする貢献モデルにオープンな、労働経済、クリエイター経済、所有権経済のクラスタリングを提唱しています。
バグ報奨金と監査コンテストとは何ですか? なぜそれらが必要なのでしょうか?
コンピューター セキュリティの専門家で暗号学者のブルース シュナイアー氏が述べたように、セキュリティは攻撃者と防御者の間の動的なゲームです。「セキュリティは製品ではなくプロセスです。セキュリティは、ソフトウェア開発プロセスのあらゆる側面で実行する必要がある考え方です。」すべてのコードがオープンソースで透明性のある暗い森であるブロックチェーンの世界では、長期間存続したいブロックチェーン プロジェクトは、その製品/契約のセキュリティに対する永遠の要求を持たなければなりません。チェーン製品はすべて、それ以上の、またはそれ以上のものを持っています。金融における最も重要な資産は信頼であり、ユーザーの信頼は一度だけです。
従来の監査の欠点や問題はどこにあるのでしょうか?コミュニティ主導のバグ報奨金や監査コンテストには、これらの問題を補うどのような利点があるのでしょうか?
監査サービスを使用している開発者は、次のことに気づくことがよくあります。
※第三者監査会社のサービスを購入した後でも、監査後のコードに問題が発生する場合がありますが、問題の原因は技術的・非技術的など異なりますが、完全に信頼できるわけではないようですしかし、コード監査の品質は依然として監査人のレベルに依存しており、顧客には「誰が優れているか」を見極める能力が欠けていることがよくあります。
市場の規模はどれくらいですか?
報奨金プラットフォームや監査コンテストのビジネス モデルは、通常、顧客が支払った報奨金の一部、またはプラットフォームのサービス料金として設定されたボーナス プールの合計を引き出すことです。コードセキュリティ監査を必要とする顧客(プロジェクト当事者)は、各自のニーズ(どのコードを監査する必要があるか、脆弱性の重大度を定義する方法、いくらの報酬を支払う意思があるか)に応じて報奨金プラットフォーム上で計画を発表します。プロジェクト側のニーズに応じて脆弱性を発見し、ホワイトハットが抜け穴を発見し、プロジェクト側のニーズを満たした場合、ホワイトハットに報奨金が分配され、報奨金プラットフォームは報奨金を獲得します。そこからの手数料がサービス料として発生します。
Web2 の従来のネットワーク セキュリティの分野では、バグ報奨金プラットフォームも比較的新しい方向 (2012 年以降に登場) であり、現在最大のバグ報奨金プラットフォームは HackerOne と Bugcrowd です。 2022 年の HackerOne の年間収益は 5,800 万米ドルに達し、企業評価額は約 5 億米ドルに達し、これまでに支払われた報奨金の累計は 2 億 3,000 万米ドル (2021 年と 2022 年には 1 億 5,000 万米ドル) に達すると予想されています。には 100 万人以上のハッカーが登録されており、毎月 1,000 人以上の顧客が HackerOne サービスを利用しています。競合会社のバグクラウドは、2022年に2,000万ドル以上の収益が見込まれている。
Web3 セキュリティの分野では、2022 年にすべての Web3 バグ報奨金および監査競争プラットフォームがホワイト ハッカーに総額 5,000 万米ドルの報奨金を発行する予定であり、そのようなプラットフォームの平均請求レベルは約 10% ~ 30% です。現在の市場規模は約 500 万ドル~1,500 万ドルであり、まだ非常に新興市場です。
もう 1 つの興味深い点は、この分散型セキュリティ コミュニティが提供するコード監査サービスを直接使用したいと考える顧客が増えていることです。最も有名な例は、Opensea が新しいプラットフォーム Seaport を立ち上げる前に、第 2 層の監査サービスを直接見つけなかったということです。 , 第三者監査会社は、現在最大の分散型監査競争プラットフォームである Code 4 Rena を選択し、賞金総額 100 万米ドルを設定しました。今日、従来のセキュリティ監査市場はますます関与しています (人的資源の量、技術的な量の増加)ツール、ボリューム市場 BD)、分散型セキュリティ サービスはこの市場で重要な成長となるでしょうか? (現在、市場には56社の監査会社が存在しており、主要企業の過去1年間の収益は1,000万米ドルから4,000万米ドルの間でした。分散型セキュリティ市場には想像の余地がたくさんあると思います)。
バグ報奨金プラットフォームと監査コンテスト プラットフォームの比較
バグ報奨金プラットフォームには Web2 で 10 年の開発の歴史がありますが、監査競争プラットフォームは Web3 ネイティブでは新しいものです。監査コンペティションサービスの対象となるのは、これから製品や新機能を立ち上げようとしているプロジェクト関係者であり、分散型コミュニティの力を利用して、一定期間(2週間以上)内に監査サービスを完了できるよう支援することになります。観点から見ると、監査競争は従来の監査会社に中小企業の脅威をもたらすことはありません。
以下に、参加方法、報酬構造、テスト範囲の点で 2 つのプラットフォームの違いを示します。
参加方法
Immunefi などのバグ報奨金プラットフォームは通常、誰でもいつでも参加できるオープン プロジェクトです。参加者は通常、報酬と引き換えに独立して脆弱性を調査および報告します。 2 人が同じ脆弱性を繰り返し発見した場合は、先着順の原則に従い、最初に報告を提出した人が最初に報酬を受け取ります。
コミュニティ主導の監査競争プラットフォーム (Code 4 rena、Sherlock など) は多くの場合、時間制限があり、特定の時間枠内で脆弱性を発見して報告することを参加者と競い合います。報奨金プラットフォームと比較すると、ある程度のチームワークが必要になります (たとえば、各プロジェクトには主任上級監査人と主任審査員が明確に割り当てられ、最終的にすべての監査結果をレビューして顧客への監査レポートに要約します。この 2 人のリーダーはコミュニティの選挙と競争の分散化の原則にも従う)。さらに、2 人の監査競合者が指定された時間内に繰り返し抜け穴を発見した場合、両方とも報酬を得ることができます。
報酬構造
両方が発行する実際の報酬は、主に発見された脆弱性の重大度を考慮します。
唯一の違いは、Code 4 Rena のようなコミュニティ主導の監査コンペティション プラットフォームでは、各プロジェクトのボーナス プールの固定部分 (5% ~ 10%) が主任上級監査人および主任審査員に割り当てられることです。これは、彼らが実際に従来の監査を行うためです。社内プロジェクトの責任者の役割。
もう 1 つの興味深い点は、バグ報奨金プラットフォームのプロジェクト パーティーが報酬としてプロジェクト トークンを提供する場合があることですが、コミュニティ内の一部のホワイト ハット ハッカーが価格変動ではなく USDC や USDT などのステーブル コインを取得することを好むことも見てきました。
範囲と焦点
バグ報奨金プラットフォーム プロジェクトは通常、範囲が広いのに対し、監査コンテストのプロジェクトは通常、ソフトウェアの特定の機能または側面を対象とした、より焦点を絞った範囲を持ち、ホワイト ハットは短期間で作業を完了することに集中する必要があります。
コンテストの監査に重点を置いたプロジェクト
Code 4 Rena - eスポーツのようなコミュニティ主導の監査競争プラットフォーム
コード 4 レナには 3 つのキャラクター タイプがあります。
監査人 (監視員) がコードをレビューします。プロのセキュリティ エンジニアから経験を積もうとしている初心者の開発者まで、誰でも監査人として登録して公開監査コンテストに参加できます。
審査員は通常、C 4 コミュニティの最高のエンジニアです。脆弱性の重大度、有効性、品質を判断し、監査パフォーマンスを評価します。
スポンサーは、Opensea、Blur、ENS、Chainlink などのプロジェクト関係者です。スポンサーは、プロジェクトのコードを監査する監査人を引き付けるためにボーナス プールを作成します。スポンサーには、プライバシーを高めるため、招待者限定のプライベート コンテストを主催するオプションもあります。
最も興味深い点の 1 つは、Code 4 Rena が構築している文化です。コラボレーションとチームワークが奨励されています。従来のバグ報奨金プログラムとは異なり、Code 4 Rena は、有効な脆弱性を報告したすべての監査人に、その脆弱性がすでに報告されている場合でも支払いを行います。これにより、監査人は重大度の高い一般的な脆弱性を発見する意欲が高まり、監査人間の健全な競争が促進されます。このプラットフォームでは、一部の監査人が一時的なチームを結成して一緒に抜け穴を見つけます。
事業の型:
どのプロジェクトでも Code 4 rena にアクセスして監査コンテスト プログラムを開始し、USDC または ETH を提供して基本的な賞金プールを設定できます (通常、賞金プールのサイズは $40,000 ~ $100,000)。Code 4 rena は基本賞金の 20% を請求します。プラットフォームとしての賞金プール コンテストの開催、レビューの提供、監査結果レポートの整理によるサービス収入。プロジェクト当事者は、基本賞金プールに加えてプロジェクト トークンを提供して追加の賞金プールを設定することもでき、Code 4 rena はこの追加の賞金プールの 40% を請求します。
Sherlock - スマートコントラクト保険を使用したコミュニティ主導の監査
Code 4 renaと同様に、Sherlockにも監査役、スポンサー、審査員などの役割があり、Sherlockの特徴はプラットフォームが提供する保険サービスにあります。 Sherlock プラットフォーム上の保険プールには誰でも投資でき、投資家は USDC を保険プールに預け、契約顧客はスマート コントラクトがハッキングされるリスクをヘッジするサービスを購入できます。保険投資家の収入源には、契約顧客が支払う保険料 + 保険プール資金を他の DeFi プール (Aave、Compound など) に預けることで得られる利子 + シャーロック トークンのインセンティブが含まれます。しかし、投資家は利益を享受しながら、保険契約を返済するリスクを負います。
Code 4 renaとのもう1つの違いは、プラットフォームが提供する監査サービス収益の分配メカニズムです。 Code 4 rena と比較すると、Sherlock には、常勤の上級セキュリティ監査人の適切な報酬とモチベーションを高めるために、首席上級セキュリティ監査人および主任裁判官がボーナスプールから一定の金額 (5% ~ 10%) を得ることができるルールがあります。さらに、リーダーの役割を選択するための選考と競争のシステムもあります。
ハッカーコミュニティを構築するにはどうすればよいですか? Web3 ホワイトハットの最大の懸念は何ですか?
さまざまな分散型セキュリティ コミュニティ (ImmuneFi、Hats Finance、Code 4 Rena、Sherlock など) を観察し、セキュリティ起業家たちと話をした後、すべての分散型プラットフォームが取り組んでいることは次のとおりであると考えています。コミュニケーションとコラボレーションのプラットフォーム. 報奨金プラットフォームは、ハッカーとプロジェクトの間のマーケットプレイスのようなものです. ハッカーの観点からニーズを考慮するだけでなく (以下の表に示すように)、最も懸念される点 (監査品質) も考慮する必要があります。
出典: 《バグバウンティエコの課題と利点に関するバグハンターの視点》
いくつかの一般的なニーズに加えて、Immunefi ホワイト ハット コミュニティ (私が見た中で最も活発なホワイト ハット ディスコード コミュニティ) でも興味深いトピックがいくつかありました。
例えば:
Rappie という名前のホワイト ハットは、以前に発見したプロジェクトの抜け穴をいくつか公開したいと考えており、どのようなコミュニティ ルールに従う必要があるかを尋ねています。 (1. 修正されたバグのみを公開してください。2. 公開情報がプロトコルやそのユーザーに悪影響を及ぼさないようにしてください。機密情報は保持してください。例: SQL インジェクションの脆弱性を修正した後は、その脆弱性に関する情報を公開しないでください)。 3. データベースを公開する前に、プロジェクト チームにプライベート メッセージを送信する必要があることを確認してください)。
Noam Yakov という名前のホワイト ハットは、報奨金プロジェクトの定義に疑問を持っています (通常、重大なセキュリティ脆弱性のみが報われるため、これはよく起こります。プロジェクトは脆弱性のセキュリティ レベルをどのように定義しますか? ホワイト ハットが非常に気にしていること、そしてコミュニティではそのような論争についてよく耳にします)。 Uniwhales の報奨金プロジェクトでは、彼は MEV の影響を深刻なセキュリティ脆弱性として定義することに疑問を抱いていました。最終的には、この種の説明はすべての MEV 状況に適用されるわけではないということで全員が議論しました。たとえば、一部の有害な注文フローの場合、資産流出の状況は、間違いなく重大なセキュリティ インシデントです (したがって、一連のセキュリティ レベル フレームワークを定義するだけでは十分ではないことが多く、通常は、実際のさまざまなケースに介入するには、プラットフォーム内で同様の役割の仲裁者が必要です)。
そして、非常に興味深いトピックとして、「Immunefi のような報奨金プラットフォームに対するあなたの要求と期待は何ですか?」については、ckksec という名前のホワイト ハットが答えました: 1) これらの匿名の暗号化されたホワイト ハットが労働収入を得るのを支援する 請求書発行などの法的明確化を行います。 2) ホワイト ハットはプロジェクトの品質を区別するために時間を費やす必要があることが多いため、プラットフォームにはホワイト ハット用のスコアリング システムだけでなく、プロジェクトの品質もスコアリングする必要があります。 3) 自分のプロフィールをオープンしたいホワイトハットに対して、プラットフォームはワークフローを表示できると同時に、プロジェクト当事者が受け取ったセキュリティ分析レポート情報をより透明に表示する方が良いでしょう。
ホワイトハットに役立つツールは何ですか?
LLM GPT の発火により、最近、セキュリティ監査も AI に置き換えることができるかどうかについて議論しているのをよく聞きます。私が話をした経験豊富なセキュリティ専門家は一般に、GPT が人間の知性を直接置き換えるのは難しいと信じています。いくつかの簡単な成果 (簡単に見つけられる問題) は言語モデルによって検出できるかもしれませんが、中程度および高リスクの問題には依然として専門家が必要です。参加。たとえば、上級セキュリティ専門家のフィードバックによると、同様のデータ分析と動的分析の場合、これらのより複雑なテストをプロトコルの実際のビジネス ロジックと人為的に組み合わせて、事前にセキュリティ分析テストを実施し、予想されるターゲットを定義する必要があるとのことです。最も難しいのは、適切なプロパティを記述し、正しいテスト フィールドを定義することです。 GPT に関する彼らの実験によると、現段階では GPT が人間を完全に置き換えることはできないと考えられています。
もちろん、現時点では、LLM がセキュリティ分析ツールの分析効率を大幅に向上させ、誤検知率を削減できることを示す、より楽観的な結果があります。
このトピックを技術以外の別の興味深い観点から考えてみましょう。これはセキュリティ攻撃者と防御者の間で行われるダイナミックなゲームです。魔法の高さは他のフィートよりも 1 フィート高いです。AI はセキュリティ攻撃者に相対的なセキュリティをもたらしますか? 役に立ちますか?
安全は人間中心です
ソフトウェアは冷たく機械的で論理的なものであり、システムのセキュリティを向上させるためには、分析技術とシステムの防御レベルを向上させるだけで十分であると人々は習慣的に考えています。しかし、人々は経済的インセンティブと人間性の観点からセキュリティ問題について考えることが欠如しており、オープンソース コードの暗い森では、合理的な人々の想定にもっと沿った配布システムが必要です。ブロックチェーンに長期的に投資する意欲のあるより多くの人々を惹きつけ、システムのセキュリティに知恵を提供する人々が参加します。
現在の伝統的なセキュリティ監査市場構造は安定しており、この分野の企業にとってブランドの評判は最も重要な無形資産です。時間の経過とともに、トップセキュリティブランドの影響力と顧客の信頼は確実に増加していますが、従来のセキュリティ監査にも課題があります。自身の問題(ビジネスモデルはマンパワーのみに依存しており、規模の成長が難しく、大手企業は成長と監査の品質のバランスをとる必要があります。一部の企業はそのようなボトルネックに遭遇し、ブランドの価値に影響を与えることさえありました)。
コミュニティ主導のセキュリティ監査コンテストは革新的なビジネス モデルです。現在、2 つのプラットフォームの 300 以上の顧客が徐々に PMF を見つけており、報奨金プラットフォームはセキュリティ ライフ サイクルを補完するものです。これらの分散型プラットフォームはまだ利用できませんが、特に効果的なトークン モデルはまだ見つかっていませんが、私たちはこの市場が将来的に大規模に成長することについて非常に楽観的です (群衆の知恵はセキュリティ市場における攻撃と防御のゲーム シナリオに非常に適しているため)。
コミュニティ主導の監査プラットフォームは集中型の監査会社にとって脅威となるでしょうか? Code 4 rena のようなプラットフォームが一定のネットワーク効果を形成し、実績があれば(監査対象プロジェクトのうちハッキングされる割合が低い)、短期的には健全な相互競争と補完関係が生まれる可能性があります。確かに、中間と末端の一部の集中型企業は、一定の競争圧力をもたらすだろうが、長期的には、顧客ベースを拡大することもできるため、集中型監査プラットフォームがコミュニティ主導型プラットフォームと何らかの商業協力を形成することを余儀なくされる可能性もある。集中型セキュリティ監査プラットフォームの強化と監査品質の向上 (大規模な Web2 企業によって独立して運営され、後に HackerOne などのサードパーティ プラットフォームとの協力ロジックを形成した元のセキュリティ報奨金プロジェクトに少し似ています)。
コミュニティ主導のセキュリティプラットフォームの方向性としては、よりDAO指向化が進んでいますが(実際にはFortaもこのカテゴリに含まれます)、現在のプロジェクトの実際の運用においては、ワークフローをどのように作成するか、経済分配プロセスの透明性とオープン性、プロジェクト側のプライバシーとセキュリティの考慮事項を比較検討する方法、チームワークと個人の貢献の関係をより明確に定義する方法、利益相反が生じた場合に比較的公平かつ専門的な方法で問題を解決する方法、など、正しい挑戦。
参照:
7。 8. 9. 10. 11.