„Nie ufaj, weryfikuj” nigdy nie było bardziej aktualne w DeFi. W miarę jak inteligentne kontrakty stają się coraz bardziej złożone, a miliardy aktywów są zabezpieczone na łańcuchu, pojawia się pytanie: jaką rolę odgrywają programy nagród za błędy w zabezpieczaniu przed lukami? Przeanalizowaliśmy krajobraz aktywów wymienionych na @Aave 👇 Programy nagród za błędy motywują niezależnych badaczy do odkrywania luk, oferując nagrody finansowe. Długo ustalone w Web2, ten model jest teraz niezbędną warstwą w bezpieczeństwie Web3, odpowiadając na unikalne ryzyka związane z inteligentnymi kontraktami — szczególnie na potencjalną utratę funduszy użytkowników. Nagrody rosną w zależności od powagi, przy czym błędy o najwyższym wpływie przynoszą maksymalne wypłaty. Nasz raport przeanalizował rynki Aave V3 i skupił się na aktywach z co najmniej 5 milionami dolarów całkowitej wartości dostarczonej (TVS). Każde aktywo zostało ocenione na podstawie tego, czy było: • Wyraźnie uwzględnione w zakresie nagród za błędy, • Pośrednio objęte politykami całego protokołu, czy • Bez jakiejkolwiek weryfikowalnej ochrony. Gdzie ochrona nie mogła być potwierdzona za pomocą publicznej dokumentacji, aktywo uznano za pozbawione formalnej nagrody. Standardy podstawowe • Minimalna nagroda w wysokości 50 000 dolarów jest wymagana, aby przyciągnąć wykwalifikowanych badaczy, niezależnie od TVL. • Dla protokołów z TVL > 250 milionów dolarów maksymalne wypłaty powinny przekraczać 1 milion dolarów, aby wykazać poważne zaangażowanie i zapewnić konkurencyjną zachętę w porównaniu do eksploatacji przez czarne kapelusze. Wyniki • 47 aktywów na Aave V3 spełniło nasz próg przeglądu (> 5 milionów dolarów TVS). • 33 aktywa (19,7 miliarda dolarów dostarczonych) są wspierane przez odpowiednio duże nagrody. • 10 aktywów (19,2 miliarda dolarów dostarczonych) nie ma żadnej ochrony lub mają poważnie niewystarczające programy. • 4 aktywa (10,8 miliarda dolarów dostarczonych) spełniają minimalne kryteria, ale wymagają wyższych wypłat lub szerszego zakresu. Emitenci wymagający poprawy to: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Kolejne kroki Po tym raporcie uruchomimy cotygodniową/codzienne serię, w której będziemy wyróżniać emitentów oznaczonych w naszej analizie. Celem jest zachęcenie emitentów aktywów do ustanowienia — lub ulepszenia — programów nagród za błędy zgodnie z naszymi zalecanymi standardami.