«Не доверяй, проверяй» никогда не было так актуально в DeFi. С ростом сложности смарт-контрактов и миллиардами активов, защищенных в блокчейне, возникает вопрос: какую роль играют программы по вознаграждению за обнаружение ошибок в защите от уязвимостей? Мы проанализировали рынок активов, перечисленных в @Aave 👇 Программы по вознаграждению за обнаружение ошибок стимулируют независимых исследователей находить уязвимости, предлагая финансовые вознаграждения. Долгое время существующие в Web2, эта модель теперь является важным слоем безопасности в Web3, учитывая уникальные риски смарт-контрактов — особенно потенциальную потерю средств пользователей. Вознаграждения зависят от степени серьезности, при этом наиболее критические ошибки приносят максимальные выплаты. Наш отчет рассмотрел рынки Aave V3 и сосредоточился на активах с общим объемом поставок (TVS) не менее 5 миллионов долларов. Каждый актив был оценен на основе того, был ли он: • Явно включен в область охвата программы по вознаграждению за обнаружение ошибок, • Неявно охвачен политиками протокола, • Без какой-либо проверяемой защиты. Если охват не мог быть подтвержден через публичную документацию, актив считался лишенным формального вознаграждения. Базовые стандарты • Минимальное вознаграждение в 50 000 долларов необходимо для привлечения квалифицированных исследователей, независимо от TVL. • Для протоколов с TVL > 250 миллионов долларов максимальные выплаты должны превышать 1 миллион долларов, чтобы продемонстрировать серьезную приверженность и предоставить конкурентное преимущество по сравнению с черными хакерами. Выводы • 47 активов на Aave V3 соответствуют нашему порогу обзора (> 5 миллионов долларов TVS). • 33 актива (19,7 миллиарда долларов поставлено) поддерживаются адекватными вознаграждениями. • 10 активов (19,2 миллиарда долларов поставлено) не имеют покрытия или имеют крайне недостаточные программы. • 4 актива (10,8 миллиарда долларов поставлено) соответствуют минимальным критериям, но требуют более высоких выплат или более широкого охвата. Эмитенты, которым необходимо улучшение, включают: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Следующие шаги После этого отчета мы запустим еженедельную/ежедневную серию, освещающую эмитентов, отмеченных в нашем анализе. Цель: побудить эмитентов активов создать или обновить программы по вознаграждению за обнаружение ошибок в соответствии с нашими рекомендованными стандартами.