"Nevěřte, ověřujte" nebylo v DeFi nikdy relevantnější. S rostoucími složitostí chytrých kontraktů a miliardovými aktivy zajištěnými v řetězci vyvstává otázka: jakou roli hrají programy odměn za chyby zabezpečení při ochraně před zranitelnostmi? Analyzovali jsme prostředí @Aave uvedených aktiv 👇 Programy odměn za chyby motivují nezávislé výzkumníky k objevování zranitelností tím, že nabízejí finanční odměny. Tento model, který se již dlouho prosazuje ve Web2, je nyní základní vrstvou zabezpečení Web3, která řeší jedinečná rizika chytrých kontraktů – zejména potenciální ztrátu finančních prostředků uživatelů. Odměny se škálují podle závažnosti, přičemž chyby s nejvyšším dopadem získávají maximální výplaty. Naše zpráva přezkoumala trhy Aave V3 a zaměřila se na aktiva s celkovou dodanou hodnotou (TVS) nejméně 5 milionů USD. Každé aktivum bylo vyhodnoceno na základě toho, zda se jednalo o: • Explicitně zahrnuto do rozsahu odměn za chyby, • Implicitně pokryté zásadami platnými pro celý protokol, nebo • Bez jakéhokoli ověřitelného krytí. Pokud nebylo možné krytí potvrdit prostřednictvím veřejné dokumentace, mělo se za to, že aktivum postrádá formální odměnu. Základní standardy • Minimální odměna ve výši 50 000 USD je vyžadována pro přilákání kvalifikovaných výzkumníků, bez ohledu na TVL. • U protokolů s TVL > 250 milionů dolarů by maximální výplaty měly přesáhnout 1 milion dolarů, aby se prokázal vážný závazek a poskytla konkurenční pobídka oproti vykořisťování black-hat. Nálezy • 47 aktiv na Aave V3 splnilo náš práh kontroly (> 5 milionů dolarů TVS). • 33 aktiv (dodáno 19,7 miliardy USD) je kryto adekvátně velkými odměnami. • 10 aktiv (dodáno 19,2 miliardy USD) nemá buď žádné pokrytí, nebo jsou silně nedostatečné programy. • 4 aktiva (dodáno 10,8 miliardy USD) splňují minimální kritéria, ale vyžadují vyšší výplaty nebo širší rozsah. Mezi emitenty, kteří potřebují zlepšení, patří: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Další kroky V návaznosti na tuto zprávu spustíme týdenní/denní sérii zaměřenou na emitenty označené v naší analýze. Cíl: povzbudit vydavatele aktiv, aby zavedli – nebo upgradovali – programy odměn za chyby v souladu s našimi doporučenými standardy.