Криптоспільнота бореться з проблемами, пов'язаними з програмами винагороди за помилки, найважливішим механізмом виявлення та усунення вразливостей системи.
Усманн Хан, аудитор безпеки web3, опублікував 17 серпня "Пам'ятайте, що проєкти можуть просто не платити, білий капелюх" зі скріншотом повідомлення від Immunefi, що вказує на те, що проєкт видалили зі своєї проблеми винагороди за помилки за невиплату щонайменше 500 000 доларів у вигляді винагород.
У відповідь дослідник безпеки Марк Вайс поділився "Стіною сорому за помилки за помилку" (BBWoS), списком, що документує невиплачені винагороди, які, ймовірно, належать білим хакерам у web3. Дані BBWoS, мабуть, сигналізують про значну відсутність підзвітності та довіри в криптоекосистемі, які не можна ігнорувати.
BBWoS вказує, що винагорода за помилку за експлойт Arbitrum у вересні 2022 року принесла винагороду в розмірі 2 мільйонів доларів. Проте, біла ненависть отримала всього 780 000 доларів за виявлення експлойта, який розкрив понад 680 мільйонів доларів.
Крім того, BBWoS заявляє, що експлойт запозичення/кредитування CRV на Aave з листопада 2022 року призвів до втрати 1,5 мільйона доларів, при цьому 40 мільйонів доларів опинилися під загрозою, і винагорода не була виплачена білому капелюху, який визначив шлях атаки "за кілька днів до цього".
Нарешті, у квітні цього року лише 500 доларів було виплачено білому капелюху, який, як повідомляють, визначив спосіб для менеджерів вкрасти "токени у користувачів, які використовують шкідливі шляхи обміну" на суму до 14 мільйонів доларів після того, як dHEDGE повідомив, що проблема "добре відома".
Список був створений білими хакерами, "втомленими проводити безсонні ночі в пошуках помилок у протоколах тільки для того, щоб отримати виплату в розмірі 500 доларів, коли економічна шкода обчислюється мільйонами", при цьому творець заявив:
"Я створив цю таблицю лідерів, щоб допомогти інформувати спільноту безпеки про проєкти, які не сприймають безпеку всерйоз, щоб ми могли уникнути їх і витратити час на проєкти, які це роблять".
Потреба в штатних аудиторах у DeFi.
У своєму виступі на саміті з безпеки DeFi в липні Вайс наголосив на вирішальній ролі аудиторів на різних етапах розробки протоколу. Інтегрувавши аудиторів і дослідників усередині компанії, він наголосив на їхньому потенціалі для ухвалення проникливих архітектурних рішень, розроблення ефективних кодових баз і ухвалення орієнтованого на безпеку підходу до розроблення протоколів.
Отже, викликає занепокоєння, коли платформи не визнають та адекватно винагороджують зусилля цих фахівців з безпеки під час роботи на контрактній основі.
Аудитори Gogo і MiloTruck наголосили, що неоплата за виявлені вразливості є широко поширеною проблемою. Їхні повідомлення підкреслюють нагальну необхідність того, щоб ці платформи підвищили свою підзвітність і надійність і забезпечили належне визнання білих хакерів.
Потрібна більша прозорість під час роботи з уразливостями. Гучні справи, перераховані на BBWoS, як-от скомпрометований депозитний контракт Arbitrum, економічний експлойт Aave і зловмисні шляхи свопів у dHEDGE, посилюють цю потребу.
Довірені середовища виконання в DeFi.
У відповідь на запитання Вайса про довіру Денні Кі з Super Protocol підкреслив потенціал "децентралізованих конфіденційних обчислень" для зміцнення довіри до проєктів Web3 і пом'якшення вразливостей. Кі посилається на можливість запуску DeFi в довірених середовищах виконання (TEE), що притаманне суперпротоколу.
TEE - це захищена область процесора, яка гарантує, що код і дані, завантажені всередині, будуть захищені для забезпечення конфіденційності та цілісності. Однак одним із недоліків використання TEE в децентралізованих додатках DeFi є використання пропрієтарної архітектури централізованих компаній, таких як Intel, AMD і ARM. У співтоваристві розробників ПЗ із відкритим вихідним кодом докладають зусиль для розроблення відкритих стандартів і реалізацій для TEE, як-от проєкти Open-TEE і OP-TEE.
Кі стверджує, що якщо "проєкти Web3 працюватимуть у конфіденційних анклавах, можливо, не буде необхідності платити за вразливості, оскільки безпека буде за своєю суттю посилена".
Тоді як злиття блокчейна і конфіденційних обчислень може забезпечити грізний рівень безпеки для майбутніх проєктів, перехід до заміни винагород за помилки та аудиторів безпеки TEE здається складним, якщо не сказати більше.
Проблеми з bug bounty в DeFi.
Проте, у білих хакерів є додаткові проблеми, такі як неправильне розкриття інформації про помилки від охоронних фірм у соціальних мережах. У повідомленні Peckshield, у якому було виявлено помилку в липні, просто йшлося: "Привіт, @JPEGd_69, можливо, ви захочете поглянути" з посиланням на транзакцію Ethereum.
Гого розкритикував пост, заявивши: "Якби ця вразливість була прокористувачі PEGd не втратили б 11 мільйонів доларів, не було б завдано репутаційної шкоди, хлопець отримав би солідну нагороду за помилку замість того, щоб керуватися ботом MEV».
Gogo поділився своїм досвідом винагороди за помилки з Immunefi, компанією, яку вони описали як «за межею фантастики», де виплата вимагала процесу посередництва, що призвело до задовільної виплати 5 тисяч доларів за критичну помилку.
Ці ідеї спільноти безпеки web3 підкреслюють вирішальну роль аудиторів та важливість ефективних програм винагороди за помилки для безпеки, довіри та зростання криптоекосистеми.