"Älä luota, tarkista" ei ole koskaan ollut merkityksellisempi DeFi:ssä. Kun älykkäät sopimukset muuttuvat yhä monimutkaisemmiksi ja ketjussa on suojattu miljardeja omaisuutta, herää kysymys: mikä rooli bug bounty -ohjelmilla on haavoittuvuuksilta suojautumisessa? Analysoimme @Aave listatun omaisuuden 👇 maisemaa Bug bounty -ohjelmat kannustavat riippumattomia tutkijoita löytämään haavoittuvuuksia tarjoamalla taloudellisia palkkioita. Tämä Web2:ssa pitkään vakiintunut malli on nyt olennainen kerros Web3:n turvallisuudessa, ja se käsittelee älykkäiden sopimusten ainutlaatuisia riskejä – erityisesti käyttäjien varojen mahdollista menetystä. Palkinnot skaalautuvat vakavuuden mukaan, ja eniten vaikuttavat virheet ansaitsevat maksimaaliset voitot. Raportissamme tarkasteltiin Aave V3 -markkinoita ja keskityttiin omaisuuseriin, joiden kokonaisarvo on vähintään 5 miljoonaa dollaria (TVS). Kukin omaisuuserä arvioitiin sen perusteella, oliko se • Sisältyy nimenomaisesti bug bounty -laajuuteen, • kuuluvat implisiittisesti protokollan laajuisten käytäntöjen piiriin tai • Ilman todennettavissa olevaa kattavuutta. Jos kattavuutta ei voitu vahvistaa julkisilla asiakirjoilla, omaisuudesta katsottiin puuttuvan virallinen palkkio. Perustason standardit • Ammattitaitoisten tutkijoiden houkuttelemiseksi vaaditaan vähintään 50 000 dollarin palkkio TVL:stä riippumatta. • TVL:n kanssa > 250 miljoonan dollarin protokollien enimmäismaksujen tulisi ylittää 1 miljoona dollaria, jotta voidaan osoittaa vakavaa sitoutumista ja tarjota kilpailukykyinen kannustin mustan hatun hyväksikäyttöä vastaan. Tulokset • 47 Aave V3:n omaisuutta täytti tarkistuskynnyksemme (> 5 miljoonaa dollaria TVS). • 33 omaisuutta (19,7 miljardia dollaria) on tuettu riittävän kokoisilla palkkioilla. • 10 omaisuudella (19,2 miljardia dollaria toimitettu) ei ole joko kattavuutta tai ne ovat erittäin riittämättömiä. • 4 omaisuutta (10,8 miljardia dollaria) täyttävät vähimmäiskriteerit, mutta vaativat korkeampia maksuja tai laajempaa soveltamisalaa. Parannusta kaipaavia liikkeeseenlaskijoita ovat: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Seuraavat vaiheet Tämän raportin jälkeen julkaisemme viikoittaisen/päivittäisen sarjan, jossa esitellään analyysissämme mainittuja liikkeeseenlaskijoita. Tavoite: kannustaa omaisuuserien liikkeeseenlaskijoita perustamaan – tai päivittämään – bug bounty -ohjelmia suositeltujen standardiemme mukaisesti.