„Vertraue nicht, überprüfe“ war im DeFi-Bereich noch nie so relevant. Mit immer komplexeren Smart Contracts und Milliarden an Vermögenswerten, die on-chain gesichert sind, stellt sich die Frage: Welche Rolle spielen Bug-Bounty-Programme beim Schutz vor Schwachstellen? Wir haben die Landschaft der bei @Aave gelisteten Vermögenswerte analysiert 👇 Bug-Bounty-Programme motivieren unabhängige Forscher, Schwachstellen zu entdecken, indem sie finanzielle Belohnungen anbieten. Dieses Modell, das in Web2 lange etabliert ist, ist nun eine wesentliche Schicht in der Web3-Sicherheit, die die einzigartigen Risiken von Smart Contracts adressiert – insbesondere den potenziellen Verlust von Benutzerfonds. Die Belohnungen skalieren nach Schweregrad, wobei die schwerwiegendsten Bugs die höchsten Auszahlungen erhalten. Unser Bericht überprüfte die Aave V3-Märkte und konzentrierte sich auf Vermögenswerte mit einem Gesamtwert von mindestens 5 Millionen USD (TVS). Jeder Vermögenswert wurde bewertet, ob er: • Explizit im Umfang eines Bug-Bounty-Programms enthalten war, • Implizit durch protokollweite Richtlinien abgedeckt war, oder • Ohne nachweisbare Abdeckung war. Wo die Abdeckung nicht durch öffentliche Dokumentation bestätigt werden konnte, wurde der Vermögenswert als ohne formelle Bounty angesehen. Basisstandards • Eine Mindestbounty von 50.000 USD ist erforderlich, um qualifizierte Forscher anzuziehen, unabhängig vom TVL. • Für Protokolle mit einem TVL > 250 Millionen USD sollten die maximalen Auszahlungen 1 Million USD übersteigen, um ein ernsthaftes Engagement zu demonstrieren und einen wettbewerbsfähigen Anreiz im Vergleich zu Black-Hat-Ausbeutung zu bieten. Ergebnisse • 47 Vermögenswerte auf Aave V3 erfüllten unsere Überprüfungsschwelle (> 5 Millionen USD TVS). • 33 Vermögenswerte (19,7 Milliarden USD bereitgestellt) sind durch angemessen große Bounties abgesichert. • 10 Vermögenswerte (19,2 Milliarden USD bereitgestellt) haben entweder keine Abdeckung oder stark unzureichende Programme. • 4 Vermögenswerte (10,8 Milliarden USD bereitgestellt) erfüllen die Mindestkriterien, benötigen jedoch höhere Auszahlungen oder einen breiteren Umfang. Aussteller, die Verbesserungen benötigen, sind: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Nächste Schritte Nach diesem Bericht werden wir eine wöchentliche/tägliche Serie starten, die die in unserer Analyse markierten Aussteller ins Rampenlicht rückt. Ziel: Vermögensausgeber zu ermutigen, Bug-Bounty-Programme einzurichten oder zu verbessern, die unseren empfohlenen Standards entsprechen.