« Ne faites pas confiance, vérifiez » n'a jamais été aussi pertinent dans la DeFi. Avec des contrats intelligents devenant de plus en plus complexes et des milliards d'actifs sécurisés sur la chaîne, la question se pose : quel rôle jouent les programmes de bug bounty dans la protection contre les vulnérabilités ? Nous avons analysé le paysage des actifs listés sur @Aave 👇 Les programmes de bug bounty incitent les chercheurs indépendants à découvrir des vulnérabilités en offrant des récompenses financières. Longtemps établis dans le Web2, ce modèle est désormais une couche essentielle de la sécurité du Web3, répondant aux risques uniques des contrats intelligents, en particulier la perte potentielle de fonds des utilisateurs. Les récompenses varient en fonction de la gravité, les bugs ayant le plus d'impact recevant les paiements maximums. Notre rapport a examiné les marchés Aave V3 et s'est concentré sur les actifs ayant au moins 5 millions de dollars de valeur totale fournie (TVS). Chaque actif a été évalué en fonction de s'il était : • Explicitement inclus dans le champ d'application d'un bug bounty, • Couvert implicitement par des politiques à l'échelle du protocole, ou • Sans aucune couverture vérifiable. Lorsque la couverture ne pouvait pas être confirmée via la documentation publique, l'actif était considéré comme n'ayant pas de bounty formel. Normes de base • Un bounty minimum de 50 000 $ est requis pour attirer des chercheurs qualifiés, quel que soit le TVL. • Pour les protocoles avec un TVL > 250 millions de dollars, les paiements maximums devraient dépasser 1 million de dollars pour démontrer un engagement sérieux et fournir une incitation compétitive par rapport à l'exploitation malveillante. Constats • 47 actifs sur Aave V3 ont satisfait à notre seuil d'examen (> 5 millions de dollars TVS). • 33 actifs (19,7 milliards de dollars fournis) sont soutenus par des bounties de taille adéquate. • 10 actifs (19,2 milliards de dollars fournis) n'ont soit aucune couverture, soit des programmes gravement insuffisants. • 4 actifs (10,8 milliards de dollars fournis) répondent aux critères minimaux mais nécessitent des paiements plus élevés ou un champ d'application plus large. Les émetteurs nécessitant des améliorations incluent : @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Prochaines étapes Suite à ce rapport, nous lancerons une série hebdomadaire/journalière mettant en lumière les émetteurs signalés dans notre analyse. L'objectif : encourager les émetteurs d'actifs à établir ou à améliorer des programmes de bug bounty conformément à nos normes recommandées.