Como um sistema de computador em grande escala, a complexidade do sistema atual do blockchain excedeu em muito o nível de 5 anos atrás, o grau de modularização da infraestrutura é mais refinado, a lógica de contrato inteligente da camada de aplicativo está se tornando cada vez mais abundante e a interação entre contratos é muito frequente, mais importante, o número de ativos gerenciados pelo sistema blockchain já é muito grande, então tem havido mais discussões sobre o ciclo de segurança na comunidade de segurança blockchain recentemente (a situação é a mesma de 2017 , quando as pessoas pensam em segurança, pensam apenas em desenvolvedores É muito diferente escrever o contrato e jogar para os amigos da Fundação Ethereum dar uma olhada e fazer alguns testes básicos).
Ao longo do ciclo de vida de segurança dos programas blockchain (desde o teste, convidando auditorias de terceiros até o monitoramento pós-evento, auditorias de atualização), a comunidade de recompensas de bugs é como uma almofada de segurança para atrair chapéus brancos para o blockchain por meio da teoria do jogo e do trabalho em cluster. O código da parte do projeto será revisado pela última vez, e alguns trabalhadores de segurança de contratos inteligentes acham que a recompensa por bug é mais como a última pessoa na linha de defesa, mas acho que a recompensa por bug e as competições de auditoria têm o potencial de desempenham um papel maior no futuro, servindo como um sistema que percorre todo o ciclo de vida da segurança melhora a segurança geral do sistema.
Claro, também existem programas de recompensa por bugs (Bug Bounty ou Vulnerabilty Rewards) no campo da segurança de rede tradicional. Primeiro, grandes empresas de tecnologia como Facebook, Google, Microsoft, etc. suas próprias linhas de produtos. Em segundo lugar, as plataformas terceirizadas de recompensas de bugs representadas por HackerOne e Bugcrowd surgiram por volta de 2015. Atualmente, essas duas empresas líderes de segurança contam com a distribuição de comissões de recompensas como sua principal receita, e sua receita anual pode atingir cerca de 50 milhões de dólares americanos e 20 milhões de dólares, respectivamente. No mundo blockchain, a recompensa é um tópico mais interessante que é frequentemente discutido no círculo de segurança. A principal razão é que o código aberto do código blockchain na verdade torna o custo de hacking e atualização de estratégias de ataque mais barato. Além disso, o mundo criptográfico fortemente defende o agrupamento de economias de trabalho, criador e propriedade abertas a modelos de contribuição que tornam uma economia de chapéu branco mais aberta ainda mais valiosa.
O que são recompensas de bugs e concursos de auditoria? Por que precisamos deles?
A segurança é um jogo dinâmico entre o invasor e o defensor, assim como disse o especialista em segurança de computadores e criptógrafo Bruce Schneier: "Segurança é um processo, não um produto. É uma maneira de pensar que deve ser executada no processo de desenvolvimento de software em todos os aspectos. .” No mundo blockchain, uma floresta escura onde todos os códigos são open source e transparentes, um projeto blockchain que queira sobreviver por muito tempo deve ter uma demanda eterna pela segurança de seus produtos/contratos. menos atributos financeiros.O ativo mais importante em finanças é a confiança, e a confiança do usuário é apenas uma vez.
Onde estão as deficiências e problemas da auditoria tradicional? Que vantagens as recompensas por bugs e as competições de auditoria da comunidade podem ter para compensar esses problemas?
Os desenvolvedores que usam serviços de auditoria geralmente descobrem que:
Mesmo após adquirir os serviços de uma empresa de auditoria terceirizada, ainda há problemas com o código após a auditoria. Embora os motivos desses problemas sejam diferentes (técnicos e não técnicos), não parece ser totalmente confiável confiar no final, em uma empresa de auditoria. No entanto, a qualidade da auditoria de código ainda depende do nível do auditor, e os clientes geralmente não têm a capacidade de discernir "quem é melhor".
A plataforma de recompensas e a competição de auditoria são uma "caixa de areia" mais aberta, e o código do projeto pode ser revisado por white hats à vontade, independentemente do histórico (pode haver pessoal de empresas de auditoria profissional e pode haver analistas de segurança freelancers), o arsenal é ilimitado e tudo o que os clientes precisam fazer é definir uma recompensa razoável e pagar sua contribuição quando o chapéu branco encontrar um problema.
Geralmente os clientes primeiro enviarão seu código que precisa ser revisado pelo white hat, definir o nível de segurança da vulnerabilidade (geralmente relacionado à possível perda econômica, quanto mais fácil a vulnerabilidade que causa diretamente a perda econômica, maior o nível de gravidade) , orçamento de recompensa, escopo de código de teste e até mesmo etapas de teste.
Quão grande é o mercado?
O modelo de negócios das plataformas de bounty e concursos de auditoria geralmente consiste em sacar uma parte do bounty pago pelos clientes ou o pool de bônus total configurado como taxa de serviço da plataforma. Os clientes (partes do projeto) que precisam de auditorias de segurança de código anunciarão seus planos na plataforma de recompensas de acordo com suas próprias necessidades (quais códigos precisam ser auditados, como definir a gravidade das vulnerabilidades e quanta recompensa estão dispostos a pagar), e as vulnerabilidades dos white hats serão encontradas de acordo com as necessidades do lado do projeto. Assim que as brechas forem encontradas pelos white hats e atenderem às necessidades do lado do projeto, o bounty será distribuído aos white hats, e a plataforma de bounty irá sortear uma comissão a partir dele como uma taxa de serviço.
No campo da segurança de rede tradicional Web2, a plataforma de recompensa de bug também é uma direção relativamente jovem (apareceu depois de 2012) e atualmente as maiores plataformas de recompensa de bug são HackerOne e Bugcrowd. Em 2022, a receita anual do HackerOne chegará a 58 milhões de dólares americanos, a avaliação da empresa chegará a cerca de 500 milhões de dólares americanos e a recompensa cumulativa paga na história será de 230 milhões de dólares americanos (150 milhões de dólares americanos em 2021 e 2022). vulnerabilidades de software , tem mais de 1 milhão de hackers registrados e mais de 1.000 clientes que usam os serviços HackerOne todos os meses. Seu concorrente, Bugcrowd, deve faturar mais de US$ 20 milhões em 2022.
No campo da segurança Web3, em 2022, todas as recompensas de bugs web3 e plataformas de competição de auditoria emitirão um total de 50 milhões de dólares americanos em recompensas para hackers de chapéu branco, e o nível médio de cobrança de tais plataformas é de cerca de 10% a 30%, portanto, é estimado de forma conservadora. O tamanho atual do mercado é de cerca de US$ 5 milhões a US$ 15 milhões, e ainda é um mercado muito emergente.
Outra coisa interessante é que mais e mais clientes estão dispostos a usar diretamente os serviços de auditoria de código fornecidos pela comunidade de segurança descentralizada. Em vez disso, a empresa de auditoria terceirizada escolheu o Code 4 Rena, a maior plataforma de competição de auditoria descentralizada atualmente, e criou um prêmio de 1 milhão de dólares americanos Hoje, o mercado tradicional de auditoria de segurança está cada vez mais envolvido (volume de recursos humanos, volume de ferramentas técnicas, volume de Market BD), os serviços de segurança descentralizados serão um crescimento importante neste mercado? (Atualmente existem 56 empresas de auditoria no mercado, e o faturamento das empresas líderes no ano passado ficou entre US$ 10 milhões e US$ 40 milhões. Acho que há muito espaço para imaginação no mercado de segurança descentralizada).
Plataformas de recompensas de bugs vs plataformas de concurso de auditoria
Embora a plataforma de recompensas de bugs tenha um histórico de desenvolvimento de dez anos na web2, a plataforma de competição de auditoria é uma novidade na web3 nativa. O objeto do serviço de concorrência de auditoria são as partes do projeto que estão prestes a lançar produtos ou algumas novas funções, e usam o poder da comunidade descentralizada para ajudá-los a concluir o serviço de auditoria dentro de um prazo específico (mais de 2 semanas). perspectiva, a competição de auditoria não trará nenhuma ameaça às pequenas empresas para as empresas de auditoria tradicionais.
A seguir, mostrarei as diferenças entre as duas plataformas em termos de métodos de participação, estrutura de recompensa e cobertura de teste:
forma de participação
As plataformas de recompensa de bugs, como Immunefi, geralmente são projetos abertos onde qualquer pessoa pode participar a qualquer momento. Os participantes normalmente exploram e relatam vulnerabilidades de forma independente em troca de recompensas. Se duas pessoas encontrarem a mesma vulnerabilidade repetida, será seguido o princípio do primeiro a chegar, primeiro a ser servido, e quem enviar o relatório primeiro receberá a recompensa primeiro.
As plataformas de competição de auditoria orientadas pela comunidade (por exemplo, Code 4 rena, Sherlock) geralmente têm tempo limitado e competem com os participantes para encontrar e relatar vulnerabilidades dentro de um determinado período de tempo. Em comparação com a plataforma de recompensas, haverá algum trabalho em equipe (por exemplo, cada projeto terá uma atribuição clara de Auditor Sênior Líder e Juiz Principal e, finalmente, revisará e resumirá todos os resultados da auditoria em um relatório de auditoria para o cliente, e esses dois líderes também seguem o princípio da descentralização das eleições e concursos comunitários). Além disso, se dois concorrentes de auditoria encontrarem brechas repetidas dentro do tempo especificado, ambos poderão obter recompensas.
estrutura de recompensa
As recompensas reais emitidas por ambos considerarão principalmente a gravidade da vulnerabilidade descoberta.
A única diferença é que uma plataforma de competição de auditoria voltada para a comunidade, como a Code 4 Rena, terá uma parte fixa (5% ~ 10%) do pool de bônus para cada projeto alocado para Auditor Sênior Líder e Juiz Líder, porque eles realmente realizam auditoria tradicional projetos da empresa O papel do responsável.
Outro ponto interessante é que a parte do projeto na plataforma de bug bounty às vezes coloca tokens de projeto como recompensa, mas também vi que alguns hackers de chapéu branco na comunidade preferem obter moedas estáveis como USDC e USDT em vez de flutuações de preço.
escopo e foco
Os projetos de plataforma de bug bounty geralmente têm um escopo amplo, enquanto os projetos em competições de auditoria geralmente têm um escopo mais focado, visando uma função ou aspecto específico do software, enquanto exigem white hats para se concentrar na conclusão do trabalho em um período de tempo mais curto
Projetos focados em concursos de auditoria
Code 4 Rena - Uma plataforma de competição de auditoria voltada para a comunidade semelhante a esports
Code 4 Rena tem três tipos de caracteres:
Auditores (Wardens) revisam o código. Qualquer pessoa, desde um engenheiro de segurança profissional até um desenvolvedor iniciante tentando ganhar mais experiência, pode se registrar como auditor para participar da competição pública de auditoria.
Os juízes geralmente são os melhores engenheiros da comunidade C4. Eles determinam a gravidade, eficácia e qualidade das vulnerabilidades e avaliam o desempenho da auditoria.
Patrocinadores são partes do projeto, como Opensea, Blur, ENS, Chainlink, etc. Eles criam pools de bônus para atrair auditores para auditar o código de seus projetos. Os patrocinadores também têm a opção de hospedar competições privadas apenas para convidados para maior privacidade.
Um dos pontos mais interessantes é a cultura que a Code 4 Rena está construindo: a colaboração e o trabalho em equipe são incentivados. Ao contrário dos programas tradicionais de recompensas por bugs, o Code 4 Rena paga todos os auditores que relatam uma vulnerabilidade válida, mesmo que a vulnerabilidade já tenha sido relatada. Isso incentiva uma competição saudável entre os auditores, pois eles são motivados a encontrar vulnerabilidades comuns e de alta gravidade. Nesta plataforma, alguns auditores formarão equipes temporárias para encontrar brechas em conjunto.
modelo de negócio:
Qualquer projeto pode ir para Code 4 rena para iniciar um programa de competição de auditoria e fornecer USDC ou ETH para configurar um prêmio básico (geralmente o tamanho do prêmio é $ 40.000 ~ $ 100.000), Code 4 rena cobrará 20% do básico pool de prêmios como uma plataforma Receita de serviço para organizar competições, fornecer revisões e classificar relatórios de saída de auditoria. A parte do projeto também pode fornecer tokens de projeto além da premiação básica para configurar uma premiação adicional, e o Code 4 rena cobrará 40% dessa premiação adicional.
Sherlock - Auditoria orientada pela comunidade com seguro de contrato inteligente
Semelhante ao Code 4 rena, Sherlock também tem funções como auditores, patrocinadores e juízes. A singularidade de Sherlock está nos serviços de seguro fornecidos pela plataforma. Qualquer pessoa pode investir no pool de seguros na plataforma Sherlock. Os investidores depositam USDC no pool de seguros e os clientes do contrato podem adquirir serviços para proteger o risco de hackers de contratos inteligentes. As fontes de receita para os investidores em seguros incluem: prêmios pagos por clientes de acordos + juros ganhos pelo depósito de fundos do pool de seguros em outros pools de DeFi (Aave, Compound, etc.) + incentivos de token Sherlock. Mas o investidor assume o risco de pagar a apólice enquanto colhe os benefícios.
Outro ponto que difere do Code 4 rena é o mecanismo de distribuição da receita de serviços de auditoria fornecido pela plataforma. Comparado com o Code 4 rena, Sherlock tem regras que permitem que o auditor-chefe de segurança sênior e o juiz-chefe obtenham uma quantia fixa (5% ~ 10%) do pool de bônus para compensar e motivar adequadamente o auditor sênior em tempo integral. Além disso, existem sistemas de seleção e competição para a seleção de cargos de liderança.
Como construir uma comunidade hacker? Qual é a maior preocupação dos white hats da Web3?
Depois de observar diferentes comunidades de segurança descentralizadas (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, etc.) plataforma de comunicação e colaboração. A plataforma de recompensas é como um mercado entre hackers e projetos. Eles devem considerar suas necessidades do ponto de vista dos hackers (conforme mostrado na tabela abaixo) e, ao mesmo tempo, considerar o melhor Preocupado com (qualidade da auditoria) .
Fonte: 《Perspectivas dos caçadores de insetos sobre os desafios e benefícios da recompensa ecológica》
Além de algumas necessidades comuns, também vi alguns tópicos interessantes na comunidade de chapéu branco Immunefi (a comunidade de discórdia de chapéu branco mais animada que já vi).
por exemplo:
Um chapéu branco chamado Rappie quer divulgar algumas brechas do projeto que descobriu antes e pergunta quais regras da comunidade precisam ser seguidas. (1. Divulgue apenas bugs que foram corrigidos. 2. Certifique-se de que qualquer informação pública não tenha impacto negativo sobre o protocolo ou seus usuários. Mantenha informações confidenciais, por exemplo: depois que corrigirem sua vulnerabilidade de injeção de SQL, não divulgue informações sobre eles banco de dados completo 3. Certifique-se de enviar uma mensagem privada para a equipe do projeto antes de torná-la pública).
Um chapéu branco chamado Noam Yakov questionou a definição de um projeto de recompensa (isso geralmente acontece, porque geralmente apenas vulnerabilidades de segurança sérias podem ser recompensadas. Como o projeto define o nível de segurança de uma vulnerabilidade? Algo com o qual os chapéus brancos se preocupam profundamente e a comunidade ouve muito sobre essas disputas). No projeto de recompensa da Uniwhales, ele tinha dúvidas sobre a definição do impacto do MEV como uma vulnerabilidade de segurança grave. No final, todos discutiram que esse tipo de descrição não se aplica a todas as situações de MEV. Por exemplo, para alguns fluxos de ordem tóxicos, o pool de protocolo pode A situação de drenagem de ativos é definitivamente um grave incidente de segurança (portanto, muitas vezes não é suficiente definir um conjunto de estruturas de nível de segurança e, geralmente, é necessário um papel semelhante de árbitro na plataforma para intervir em diferentes casos reais).
E para um tópico muito interessante, "Quais são suas demandas e expectativas para uma plataforma de recompensas como a Immunefi?" Um chapéu branco chamado ckksec deu sua resposta: 1) Ajudando esses chapéus brancos criptografados anônimos a obter sua renda de trabalho Faça alguns esclarecimentos legais, como faturamento. 2) A plataforma não deve ter apenas um sistema de pontuação para white hats, mas também pontuar a qualidade do projeto porque os white hats geralmente precisam gastar tempo distinguindo a qualidade do projeto. 3) Para white hats que desejam abrir seu perfil, a plataforma pode mostrar seu fluxo de trabalho. Ao mesmo tempo, é melhor para a plataforma exibir de forma mais transparente as informações do relatório de análise de segurança recebidas pela parte do projeto.
Quais ferramentas podem ajudar os chapéus brancos?
Com o incêndio dos LLMs GPT, recentemente ouvi pessoas discutindo com frequência se as auditorias de segurança também podem ser substituídas por IA. Os profissionais de segurança experientes com quem conversei geralmente acreditam que o GPT é difícil de substituir diretamente a inteligência humana. Algumas frutas fáceis de encontrar (problemas fáceis de encontrar) podem ser detectadas por modelos de linguagem, mas esses problemas com riscos médios e altos ainda exigem especialistas participação. Por exemplo, de acordo com o feedback de um especialista sênior em segurança, para análise de dados e análise dinâmica semelhantes, esses testes mais complexos precisam ser combinados artificialmente com a lógica de negócios real do protocolo para realizar testes de análise de segurança com antecedência e definir o alvo esperado atributos do teste com antecedência.A parte mais difícil é escrever boas propriedades e definir o campo de teste correto. De acordo com seus experimentos no GPT, eles acreditam que o GPT não pode substituir completamente os humanos neste estágio.
Claro, atualmente existem resultados mais otimistas mostrando que o LLM pode melhorar muito a eficiência da análise das ferramentas de análise de segurança e reduzir a taxa de falsos positivos.
Vamos pensar sobre este tópico de outra perspectiva não técnica interessante. É um jogo dinâmico entre atacantes de segurança e defensores. A altura mágica é um pé mais alto que o outro. IA trará segurança relativa para os atacantes de segurança? ajuda?
A segurança é voltada para as pessoas
As pessoas costumam pensar que o software é uma coisa fria, mecânica e lógica, e melhorar a segurança do sistema só precisa melhorar a tecnologia de análise e o nível de defesa do sistema. No entanto, as pessoas não pensam nas questões de segurança do ponto de vista dos incentivos econômicos e da natureza humana. Na floresta escura do código-fonte aberto, precisamos de um sistema de distribuição que esteja mais alinhado com as suposições de pessoas racionais. Pessoas que contribuam com sabedoria para junção de segurança do sistema.
A atual estrutura tradicional do mercado de auditoria de segurança é estável e a reputação da marca é o ativo intangível mais importante das empresas neste campo. Com o tempo, a influência das principais marcas de segurança e a confiança dos clientes aumentaram constantemente, mas as auditorias de segurança tradicionais também têm seus próprios problemas (o modelo de negócios depende apenas de mão de obra e é difícil crescer em escala, e as empresas líderes precisam equilibrar crescimento e qualidade de auditoria. Algumas empresas encontraram esse gargalo e afetaram até o valor da marca).
A competição de auditoria de segurança voltada para a comunidade é um modelo de negócios inovador. Atualmente, mais de 300 clientes das duas plataformas encontraram gradualmente o PMF, e a plataforma de recompensas é um bom complemento para o ciclo de vida da segurança. Embora essas plataformas descentralizadas ainda sejam não encontramos um modelo de token particularmente eficaz, mas estamos muito otimistas sobre o crescimento em larga escala desse mercado no futuro (porque a sabedoria da multidão é muito adequada para os cenários de jogo ofensivo e defensivo no mercado de segurança).
As plataformas de auditoria orientadas pela comunidade representarão uma ameaça para as firmas de auditoria centralizadas? Achamos que eles terão uma competição mútua saudável e um relacionamento complementar. No curto prazo, quando uma plataforma como o Code 4 rena forma um certo efeito de rede e tem um bom histórico (a proporção de projetos auditados sendo hackeados é baixa), pode de fato, algumas empresas centralizadas no meio e na cauda trarão certas pressões competitivas, mas, a longo prazo, isso também pode forçar a plataforma de auditoria centralizada a formar alguma cooperação comercial com a plataforma voltada para a comunidade, porque isso também pode ampliar a base de clientes da plataforma de auditoria de segurança centralizada e melhorar a qualidade da auditoria (um pouco como o projeto de recompensa de segurança original operado independentemente por uma grande empresa web2 e posteriormente formou uma lógica de cooperação com plataformas de terceiros, como HackerOne).
Embora a direção da plataforma de segurança orientada pela comunidade seja mais orientada para DAO (o Forta pode realmente ser incluído nesta categoria), na operação real do projeto atual, ainda existem problemas como: como fazer o fluxo de trabalho e processo de distribuição econômica mais transparente e aberto, como pesar as considerações de privacidade e segurança do lado do projeto, como definir mais claramente a relação entre trabalho em equipe e contribuição pessoal, como resolver problemas de maneira relativamente justa e profissional quando surgem conflitos de interesse , etc. Desafio certo.
Referência:
《HackerOne Year Book》
《Bounty Everything - Hackers and the Making of the Global Bug Marketplace》
《Um estudo empírico de programas de recompensa por vulnerabilidade》
《Relatório Hacker 2022》
《Produtividade e Padrões de Atividade em Programas de Recompensas de Bugs》
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
IOSG Ventures: Uma interpretação abrangente do mercado de recompensas e auditoria voltado para a comunidade
Autor original: Ray, IOSG Ventures
Prefácio
Como um sistema de computador em grande escala, a complexidade do sistema atual do blockchain excedeu em muito o nível de 5 anos atrás, o grau de modularização da infraestrutura é mais refinado, a lógica de contrato inteligente da camada de aplicativo está se tornando cada vez mais abundante e a interação entre contratos é muito frequente, mais importante, o número de ativos gerenciados pelo sistema blockchain já é muito grande, então tem havido mais discussões sobre o ciclo de segurança na comunidade de segurança blockchain recentemente (a situação é a mesma de 2017 , quando as pessoas pensam em segurança, pensam apenas em desenvolvedores É muito diferente escrever o contrato e jogar para os amigos da Fundação Ethereum dar uma olhada e fazer alguns testes básicos).
Ao longo do ciclo de vida de segurança dos programas blockchain (desde o teste, convidando auditorias de terceiros até o monitoramento pós-evento, auditorias de atualização), a comunidade de recompensas de bugs é como uma almofada de segurança para atrair chapéus brancos para o blockchain por meio da teoria do jogo e do trabalho em cluster. O código da parte do projeto será revisado pela última vez, e alguns trabalhadores de segurança de contratos inteligentes acham que a recompensa por bug é mais como a última pessoa na linha de defesa, mas acho que a recompensa por bug e as competições de auditoria têm o potencial de desempenham um papel maior no futuro, servindo como um sistema que percorre todo o ciclo de vida da segurança melhora a segurança geral do sistema.
Claro, também existem programas de recompensa por bugs (Bug Bounty ou Vulnerabilty Rewards) no campo da segurança de rede tradicional. Primeiro, grandes empresas de tecnologia como Facebook, Google, Microsoft, etc. suas próprias linhas de produtos. Em segundo lugar, as plataformas terceirizadas de recompensas de bugs representadas por HackerOne e Bugcrowd surgiram por volta de 2015. Atualmente, essas duas empresas líderes de segurança contam com a distribuição de comissões de recompensas como sua principal receita, e sua receita anual pode atingir cerca de 50 milhões de dólares americanos e 20 milhões de dólares, respectivamente. No mundo blockchain, a recompensa é um tópico mais interessante que é frequentemente discutido no círculo de segurança. A principal razão é que o código aberto do código blockchain na verdade torna o custo de hacking e atualização de estratégias de ataque mais barato. Além disso, o mundo criptográfico fortemente defende o agrupamento de economias de trabalho, criador e propriedade abertas a modelos de contribuição que tornam uma economia de chapéu branco mais aberta ainda mais valiosa.
O que são recompensas de bugs e concursos de auditoria? Por que precisamos deles?
A segurança é um jogo dinâmico entre o invasor e o defensor, assim como disse o especialista em segurança de computadores e criptógrafo Bruce Schneier: "Segurança é um processo, não um produto. É uma maneira de pensar que deve ser executada no processo de desenvolvimento de software em todos os aspectos. .” No mundo blockchain, uma floresta escura onde todos os códigos são open source e transparentes, um projeto blockchain que queira sobreviver por muito tempo deve ter uma demanda eterna pela segurança de seus produtos/contratos. menos atributos financeiros.O ativo mais importante em finanças é a confiança, e a confiança do usuário é apenas uma vez.
Onde estão as deficiências e problemas da auditoria tradicional? Que vantagens as recompensas por bugs e as competições de auditoria da comunidade podem ter para compensar esses problemas?
Os desenvolvedores que usam serviços de auditoria geralmente descobrem que:
Quão grande é o mercado?
O modelo de negócios das plataformas de bounty e concursos de auditoria geralmente consiste em sacar uma parte do bounty pago pelos clientes ou o pool de bônus total configurado como taxa de serviço da plataforma. Os clientes (partes do projeto) que precisam de auditorias de segurança de código anunciarão seus planos na plataforma de recompensas de acordo com suas próprias necessidades (quais códigos precisam ser auditados, como definir a gravidade das vulnerabilidades e quanta recompensa estão dispostos a pagar), e as vulnerabilidades dos white hats serão encontradas de acordo com as necessidades do lado do projeto. Assim que as brechas forem encontradas pelos white hats e atenderem às necessidades do lado do projeto, o bounty será distribuído aos white hats, e a plataforma de bounty irá sortear uma comissão a partir dele como uma taxa de serviço.
No campo da segurança de rede tradicional Web2, a plataforma de recompensa de bug também é uma direção relativamente jovem (apareceu depois de 2012) e atualmente as maiores plataformas de recompensa de bug são HackerOne e Bugcrowd. Em 2022, a receita anual do HackerOne chegará a 58 milhões de dólares americanos, a avaliação da empresa chegará a cerca de 500 milhões de dólares americanos e a recompensa cumulativa paga na história será de 230 milhões de dólares americanos (150 milhões de dólares americanos em 2021 e 2022). vulnerabilidades de software , tem mais de 1 milhão de hackers registrados e mais de 1.000 clientes que usam os serviços HackerOne todos os meses. Seu concorrente, Bugcrowd, deve faturar mais de US$ 20 milhões em 2022.
No campo da segurança Web3, em 2022, todas as recompensas de bugs web3 e plataformas de competição de auditoria emitirão um total de 50 milhões de dólares americanos em recompensas para hackers de chapéu branco, e o nível médio de cobrança de tais plataformas é de cerca de 10% a 30%, portanto, é estimado de forma conservadora. O tamanho atual do mercado é de cerca de US$ 5 milhões a US$ 15 milhões, e ainda é um mercado muito emergente.
Outra coisa interessante é que mais e mais clientes estão dispostos a usar diretamente os serviços de auditoria de código fornecidos pela comunidade de segurança descentralizada. Em vez disso, a empresa de auditoria terceirizada escolheu o Code 4 Rena, a maior plataforma de competição de auditoria descentralizada atualmente, e criou um prêmio de 1 milhão de dólares americanos Hoje, o mercado tradicional de auditoria de segurança está cada vez mais envolvido (volume de recursos humanos, volume de ferramentas técnicas, volume de Market BD), os serviços de segurança descentralizados serão um crescimento importante neste mercado? (Atualmente existem 56 empresas de auditoria no mercado, e o faturamento das empresas líderes no ano passado ficou entre US$ 10 milhões e US$ 40 milhões. Acho que há muito espaço para imaginação no mercado de segurança descentralizada).
Plataformas de recompensas de bugs vs plataformas de concurso de auditoria
Embora a plataforma de recompensas de bugs tenha um histórico de desenvolvimento de dez anos na web2, a plataforma de competição de auditoria é uma novidade na web3 nativa. O objeto do serviço de concorrência de auditoria são as partes do projeto que estão prestes a lançar produtos ou algumas novas funções, e usam o poder da comunidade descentralizada para ajudá-los a concluir o serviço de auditoria dentro de um prazo específico (mais de 2 semanas). perspectiva, a competição de auditoria não trará nenhuma ameaça às pequenas empresas para as empresas de auditoria tradicionais.
A seguir, mostrarei as diferenças entre as duas plataformas em termos de métodos de participação, estrutura de recompensa e cobertura de teste:
forma de participação
As plataformas de recompensa de bugs, como Immunefi, geralmente são projetos abertos onde qualquer pessoa pode participar a qualquer momento. Os participantes normalmente exploram e relatam vulnerabilidades de forma independente em troca de recompensas. Se duas pessoas encontrarem a mesma vulnerabilidade repetida, será seguido o princípio do primeiro a chegar, primeiro a ser servido, e quem enviar o relatório primeiro receberá a recompensa primeiro.
As plataformas de competição de auditoria orientadas pela comunidade (por exemplo, Code 4 rena, Sherlock) geralmente têm tempo limitado e competem com os participantes para encontrar e relatar vulnerabilidades dentro de um determinado período de tempo. Em comparação com a plataforma de recompensas, haverá algum trabalho em equipe (por exemplo, cada projeto terá uma atribuição clara de Auditor Sênior Líder e Juiz Principal e, finalmente, revisará e resumirá todos os resultados da auditoria em um relatório de auditoria para o cliente, e esses dois líderes também seguem o princípio da descentralização das eleições e concursos comunitários). Além disso, se dois concorrentes de auditoria encontrarem brechas repetidas dentro do tempo especificado, ambos poderão obter recompensas.
estrutura de recompensa
As recompensas reais emitidas por ambos considerarão principalmente a gravidade da vulnerabilidade descoberta.
A única diferença é que uma plataforma de competição de auditoria voltada para a comunidade, como a Code 4 Rena, terá uma parte fixa (5% ~ 10%) do pool de bônus para cada projeto alocado para Auditor Sênior Líder e Juiz Líder, porque eles realmente realizam auditoria tradicional projetos da empresa O papel do responsável.
Outro ponto interessante é que a parte do projeto na plataforma de bug bounty às vezes coloca tokens de projeto como recompensa, mas também vi que alguns hackers de chapéu branco na comunidade preferem obter moedas estáveis como USDC e USDT em vez de flutuações de preço.
escopo e foco
Os projetos de plataforma de bug bounty geralmente têm um escopo amplo, enquanto os projetos em competições de auditoria geralmente têm um escopo mais focado, visando uma função ou aspecto específico do software, enquanto exigem white hats para se concentrar na conclusão do trabalho em um período de tempo mais curto
Projetos focados em concursos de auditoria
Code 4 Rena - Uma plataforma de competição de auditoria voltada para a comunidade semelhante a esports
Code 4 Rena tem três tipos de caracteres:
Auditores (Wardens) revisam o código. Qualquer pessoa, desde um engenheiro de segurança profissional até um desenvolvedor iniciante tentando ganhar mais experiência, pode se registrar como auditor para participar da competição pública de auditoria.
Os juízes geralmente são os melhores engenheiros da comunidade C4. Eles determinam a gravidade, eficácia e qualidade das vulnerabilidades e avaliam o desempenho da auditoria.
Patrocinadores são partes do projeto, como Opensea, Blur, ENS, Chainlink, etc. Eles criam pools de bônus para atrair auditores para auditar o código de seus projetos. Os patrocinadores também têm a opção de hospedar competições privadas apenas para convidados para maior privacidade.
Um dos pontos mais interessantes é a cultura que a Code 4 Rena está construindo: a colaboração e o trabalho em equipe são incentivados. Ao contrário dos programas tradicionais de recompensas por bugs, o Code 4 Rena paga todos os auditores que relatam uma vulnerabilidade válida, mesmo que a vulnerabilidade já tenha sido relatada. Isso incentiva uma competição saudável entre os auditores, pois eles são motivados a encontrar vulnerabilidades comuns e de alta gravidade. Nesta plataforma, alguns auditores formarão equipes temporárias para encontrar brechas em conjunto.
modelo de negócio:
Qualquer projeto pode ir para Code 4 rena para iniciar um programa de competição de auditoria e fornecer USDC ou ETH para configurar um prêmio básico (geralmente o tamanho do prêmio é $ 40.000 ~ $ 100.000), Code 4 rena cobrará 20% do básico pool de prêmios como uma plataforma Receita de serviço para organizar competições, fornecer revisões e classificar relatórios de saída de auditoria. A parte do projeto também pode fornecer tokens de projeto além da premiação básica para configurar uma premiação adicional, e o Code 4 rena cobrará 40% dessa premiação adicional.
Sherlock - Auditoria orientada pela comunidade com seguro de contrato inteligente
Semelhante ao Code 4 rena, Sherlock também tem funções como auditores, patrocinadores e juízes. A singularidade de Sherlock está nos serviços de seguro fornecidos pela plataforma. Qualquer pessoa pode investir no pool de seguros na plataforma Sherlock. Os investidores depositam USDC no pool de seguros e os clientes do contrato podem adquirir serviços para proteger o risco de hackers de contratos inteligentes. As fontes de receita para os investidores em seguros incluem: prêmios pagos por clientes de acordos + juros ganhos pelo depósito de fundos do pool de seguros em outros pools de DeFi (Aave, Compound, etc.) + incentivos de token Sherlock. Mas o investidor assume o risco de pagar a apólice enquanto colhe os benefícios.
Outro ponto que difere do Code 4 rena é o mecanismo de distribuição da receita de serviços de auditoria fornecido pela plataforma. Comparado com o Code 4 rena, Sherlock tem regras que permitem que o auditor-chefe de segurança sênior e o juiz-chefe obtenham uma quantia fixa (5% ~ 10%) do pool de bônus para compensar e motivar adequadamente o auditor sênior em tempo integral. Além disso, existem sistemas de seleção e competição para a seleção de cargos de liderança.
Como construir uma comunidade hacker? Qual é a maior preocupação dos white hats da Web3?
Depois de observar diferentes comunidades de segurança descentralizadas (ImmuneFi, Hats Finance, Code 4 Rena, Sherlock, etc.) plataforma de comunicação e colaboração. A plataforma de recompensas é como um mercado entre hackers e projetos. Eles devem considerar suas necessidades do ponto de vista dos hackers (conforme mostrado na tabela abaixo) e, ao mesmo tempo, considerar o melhor Preocupado com (qualidade da auditoria) .
Fonte: 《Perspectivas dos caçadores de insetos sobre os desafios e benefícios da recompensa ecológica》
Além de algumas necessidades comuns, também vi alguns tópicos interessantes na comunidade de chapéu branco Immunefi (a comunidade de discórdia de chapéu branco mais animada que já vi).
por exemplo:
Um chapéu branco chamado Rappie quer divulgar algumas brechas do projeto que descobriu antes e pergunta quais regras da comunidade precisam ser seguidas. (1. Divulgue apenas bugs que foram corrigidos. 2. Certifique-se de que qualquer informação pública não tenha impacto negativo sobre o protocolo ou seus usuários. Mantenha informações confidenciais, por exemplo: depois que corrigirem sua vulnerabilidade de injeção de SQL, não divulgue informações sobre eles banco de dados completo 3. Certifique-se de enviar uma mensagem privada para a equipe do projeto antes de torná-la pública).
Um chapéu branco chamado Noam Yakov questionou a definição de um projeto de recompensa (isso geralmente acontece, porque geralmente apenas vulnerabilidades de segurança sérias podem ser recompensadas. Como o projeto define o nível de segurança de uma vulnerabilidade? Algo com o qual os chapéus brancos se preocupam profundamente e a comunidade ouve muito sobre essas disputas). No projeto de recompensa da Uniwhales, ele tinha dúvidas sobre a definição do impacto do MEV como uma vulnerabilidade de segurança grave. No final, todos discutiram que esse tipo de descrição não se aplica a todas as situações de MEV. Por exemplo, para alguns fluxos de ordem tóxicos, o pool de protocolo pode A situação de drenagem de ativos é definitivamente um grave incidente de segurança (portanto, muitas vezes não é suficiente definir um conjunto de estruturas de nível de segurança e, geralmente, é necessário um papel semelhante de árbitro na plataforma para intervir em diferentes casos reais).
E para um tópico muito interessante, "Quais são suas demandas e expectativas para uma plataforma de recompensas como a Immunefi?" Um chapéu branco chamado ckksec deu sua resposta: 1) Ajudando esses chapéus brancos criptografados anônimos a obter sua renda de trabalho Faça alguns esclarecimentos legais, como faturamento. 2) A plataforma não deve ter apenas um sistema de pontuação para white hats, mas também pontuar a qualidade do projeto porque os white hats geralmente precisam gastar tempo distinguindo a qualidade do projeto. 3) Para white hats que desejam abrir seu perfil, a plataforma pode mostrar seu fluxo de trabalho. Ao mesmo tempo, é melhor para a plataforma exibir de forma mais transparente as informações do relatório de análise de segurança recebidas pela parte do projeto.
Quais ferramentas podem ajudar os chapéus brancos?
Com o incêndio dos LLMs GPT, recentemente ouvi pessoas discutindo com frequência se as auditorias de segurança também podem ser substituídas por IA. Os profissionais de segurança experientes com quem conversei geralmente acreditam que o GPT é difícil de substituir diretamente a inteligência humana. Algumas frutas fáceis de encontrar (problemas fáceis de encontrar) podem ser detectadas por modelos de linguagem, mas esses problemas com riscos médios e altos ainda exigem especialistas participação. Por exemplo, de acordo com o feedback de um especialista sênior em segurança, para análise de dados e análise dinâmica semelhantes, esses testes mais complexos precisam ser combinados artificialmente com a lógica de negócios real do protocolo para realizar testes de análise de segurança com antecedência e definir o alvo esperado atributos do teste com antecedência.A parte mais difícil é escrever boas propriedades e definir o campo de teste correto. De acordo com seus experimentos no GPT, eles acreditam que o GPT não pode substituir completamente os humanos neste estágio.
Claro, atualmente existem resultados mais otimistas mostrando que o LLM pode melhorar muito a eficiência da análise das ferramentas de análise de segurança e reduzir a taxa de falsos positivos.
Vamos pensar sobre este tópico de outra perspectiva não técnica interessante. É um jogo dinâmico entre atacantes de segurança e defensores. A altura mágica é um pé mais alto que o outro. IA trará segurança relativa para os atacantes de segurança? ajuda?
A segurança é voltada para as pessoas
As pessoas costumam pensar que o software é uma coisa fria, mecânica e lógica, e melhorar a segurança do sistema só precisa melhorar a tecnologia de análise e o nível de defesa do sistema. No entanto, as pessoas não pensam nas questões de segurança do ponto de vista dos incentivos econômicos e da natureza humana. Na floresta escura do código-fonte aberto, precisamos de um sistema de distribuição que esteja mais alinhado com as suposições de pessoas racionais. Pessoas que contribuam com sabedoria para junção de segurança do sistema.
A atual estrutura tradicional do mercado de auditoria de segurança é estável e a reputação da marca é o ativo intangível mais importante das empresas neste campo. Com o tempo, a influência das principais marcas de segurança e a confiança dos clientes aumentaram constantemente, mas as auditorias de segurança tradicionais também têm seus próprios problemas (o modelo de negócios depende apenas de mão de obra e é difícil crescer em escala, e as empresas líderes precisam equilibrar crescimento e qualidade de auditoria. Algumas empresas encontraram esse gargalo e afetaram até o valor da marca).
A competição de auditoria de segurança voltada para a comunidade é um modelo de negócios inovador. Atualmente, mais de 300 clientes das duas plataformas encontraram gradualmente o PMF, e a plataforma de recompensas é um bom complemento para o ciclo de vida da segurança. Embora essas plataformas descentralizadas ainda sejam não encontramos um modelo de token particularmente eficaz, mas estamos muito otimistas sobre o crescimento em larga escala desse mercado no futuro (porque a sabedoria da multidão é muito adequada para os cenários de jogo ofensivo e defensivo no mercado de segurança).
As plataformas de auditoria orientadas pela comunidade representarão uma ameaça para as firmas de auditoria centralizadas? Achamos que eles terão uma competição mútua saudável e um relacionamento complementar. No curto prazo, quando uma plataforma como o Code 4 rena forma um certo efeito de rede e tem um bom histórico (a proporção de projetos auditados sendo hackeados é baixa), pode de fato, algumas empresas centralizadas no meio e na cauda trarão certas pressões competitivas, mas, a longo prazo, isso também pode forçar a plataforma de auditoria centralizada a formar alguma cooperação comercial com a plataforma voltada para a comunidade, porque isso também pode ampliar a base de clientes da plataforma de auditoria de segurança centralizada e melhorar a qualidade da auditoria (um pouco como o projeto de recompensa de segurança original operado independentemente por uma grande empresa web2 e posteriormente formou uma lógica de cooperação com plataformas de terceiros, como HackerOne).
Embora a direção da plataforma de segurança orientada pela comunidade seja mais orientada para DAO (o Forta pode realmente ser incluído nesta categoria), na operação real do projeto atual, ainda existem problemas como: como fazer o fluxo de trabalho e processo de distribuição econômica mais transparente e aberto, como pesar as considerações de privacidade e segurança do lado do projeto, como definir mais claramente a relação entre trabalho em equipe e contribuição pessoal, como resolver problemas de maneira relativamente justa e profissional quando surgem conflitos de interesse , etc. Desafio certo.
Referência: