「信頼しないで検証する」は、DeFi においてかつてないほど重要になっています。スマートコントラクトがますます複雑になり、数十億ドルの資産がオンチェーンで保護される中、バグ報奨金プログラムは脆弱性から保護する上でどのような役割を果たすのかという疑問が生じます。@Aave上場資産👇の状況を分析しました バグ報奨金プログラムは、金銭的な報酬を提供することで、独立した研究者が脆弱性を発見するよう奨励します。Web2 で長い間確立されてきたこのモデルは、現在では Web3 セキュリティの重要な層であり、スマート コントラクト固有のリスク、特にユーザー資金の潜在的な損失に対処しています。報酬は重大度に応じて調整され、最も影響の大きいバグが最大の支払いを獲得します。 私たちのレポートは Aave V3 市場をレビューし、供給総額 (TVS) が少なくとも $5M の資産に焦点を当てました。各資産は、次の条件に基づいて評価されました。 • バグ報奨金スコープに明示的に含まれます。 • プロトコル全体のポリシーによって暗黙的にカバーされている、または • 検証可能な補償範囲はありません。 公的文書で適用範囲を確認できない場合、資産には正式な報奨金がないと見なされました。 ベースライン標準 • TVL に関係なく、熟練した研究者を引き付けるには、最低 50,000 ドルの報奨金が必要です。 • TVL > $250M のプロトコルの場合、真剣な取り組みを実証し、ブラックハットの搾取に対して競争力のあるインセンティブを提供するために、最大支払い額は $1M を超える必要があります。 所見 • Aave V3 の 47 アセットがレビューのしきい値 (> $5M TVS) を満たしました。 • 33 の資産 ($19.7B が供給) は、適切な規模の報奨金によって支えられています。 • 10 の資産 ($19.2B が供給) には、補償範囲がないか、プログラムが著しく不十分です。 • 4 つの資産 ($10.8B が供給) は最低基準を満たしていますが、より高い支払いまたはより広い範囲が必要です。 改善が必要な発行体は次のとおりです。 @circle (USDC、EURC)、@Tether_to (USDT)、@BitGo (WBTC)、@EtherFi (eBTC、weETH)、@monerium (EURe)、@GnosisDAO (GNO)、@Ripple (RLUSD)、@PayPal (PYUSD)、@withAUSD (AUSD)、@KelpDAO (rsETH)、@avax (WAVAX)、@Binance (WBNB)。 次のステップ このレポートに続いて、分析でフラグが立てられた発行体にスポットライトを当てた週次/日次シリーズを開始します。目標は、資産発行体が推奨基準に沿ってバグ報奨金プログラムを確立またはアップグレードするよう奨励することです。