"Lita inte på, verifiera" har aldrig varit mer relevant inom DeFi. Med smarta kontrakt som blir allt mer komplexa och miljarder i tillgångar säkrade i kedjan uppstår frågan: vilken roll spelar bug bounty-program för att skydda mot sårbarheter? Vi analyserade landskapet för @Aave noterade tillgångar 👇 Bug bounty-program uppmuntrar oberoende forskare att upptäcka sårbarheter genom att erbjuda ekonomiska belöningar. Den här modellen är sedan länge etablerad i Web2 och är nu ett viktigt lager i Web3-säkerhet och tar itu med de unika riskerna med smarta kontrakt – särskilt den potentiella förlusten av användarmedel. Belöningarna skalas efter allvarlighetsgrad, där de buggar som har störst effekt får maximala utbetalningar. Vår rapport granskade Aave V3-marknaderna och fokuserade på tillgångar med minst 5 miljoner dollar i totalt levererat värde (TVS). Varje tillgång utvärderades baserat på om den var: • Ingår uttryckligen i en bug bounty-omfattning, • Underförstått omfattas av protokollomfattande policyer, eller • Utan någon verifierbar täckning. I de fall täckningen inte kunde bekräftas genom offentlig dokumentation ansågs tillgången sakna en formell belöning. Grundläggande standarder • En minsta belöning på 50 000 dollar krävs för att locka till sig skickliga forskare, oavsett TVL. • För protokoll med TVL > 250 miljoner dollar bör maximala utbetalningar överstiga 1 miljon dollar för att visa ett seriöst åtagande och ge ett konkurrenskraftigt incitament jämfört med black-hat-utnyttjande. Rön • 47 tillgångar på Aave V3 uppfyllde vår granskningströskel (> TVS på 5 miljoner USD). • 33 tillgångar (19,7 miljarder dollar levererade) backas upp av tillräckligt stora belöningar. • 10 tillgångar (19,2 miljarder dollar levererade) har antingen ingen täckning eller allvarligt otillräckliga program. • 4 tillgångar (10,8 miljarder dollar levererade) uppfyller minimikriterierna men kräver högre utbetalningar eller bredare omfattning. Utfärdare som behöver förbättras är bland annat: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Nästa steg Efter denna rapport kommer vi att lansera en veckovis/daglig serie med fokus på emittenter som flaggats i vår analys. Målet: att uppmuntra emittenter av tillgångar att etablera – eller uppgradera – bug bounty-program i linje med våra rekommenderade standarder.