Episode 3 des Web3 Security Podcasts ist jetzt live! Diese Woche spricht @eboadom, Mitbegründer von @bgdlabs und ehemaliger CTO von @aave, mit @jack__sanford über das Management von 70 Milliarden Dollar an Vermögenswerten, große Herausforderungen bei Protokoll-Upgrades und mehr! Die gesamte Episode unten 👇

„Vertraue nicht, überprüfe“ war im DeFi-Bereich noch nie so relevant. Mit immer komplexeren Smart Contracts und Milliarden an Vermögenswerten, die on-chain gesichert sind, stellt sich die Frage: Welche Rolle spielen Bug-Bounty-Programme beim Schutz vor Schwachstellen? Wir haben die Landschaft der bei @Aave gelisteten Vermögenswerte analysiert 👇 Bug-Bounty-Programme motivieren unabhängige Forscher, Schwachstellen zu entdecken, indem sie finanzielle Belohnungen anbieten. Dieses Modell, das in Web2 lange etabliert ist, ist nun eine wesentliche Schicht in der Web3-Sicherheit, die die einzigartigen Risiken von Smart Contracts adressiert – insbesondere den potenziellen Verlust von Benutzerfonds. Die Belohnungen skalieren nach Schweregrad, wobei die schwerwiegendsten Bugs die höchsten Auszahlungen erhalten. Unser Bericht überprüfte die Aave V3-Märkte und konzentrierte sich auf Vermögenswerte mit einem Gesamtwert von mindestens 5 Millionen USD (TVS). Jeder Vermögenswert wurde bewertet, ob er: • Explizit im Umfang eines Bug-Bounty-Programms enthalten war, • Implizit durch protokollweite Richtlinien abgedeckt war, oder • Ohne nachweisbare Abdeckung war. Wo die Abdeckung nicht durch öffentliche Dokumentation bestätigt werden konnte, wurde der Vermögenswert als ohne formelle Bounty angesehen. Basisstandards • Eine Mindestbounty von 50.000 USD ist erforderlich, um qualifizierte Forscher anzuziehen, unabhängig vom TVL. • Für Protokolle mit einem TVL > 250 Millionen USD sollten die maximalen Auszahlungen 1 Million USD übersteigen, um ein ernsthaftes Engagement zu demonstrieren und einen wettbewerbsfähigen Anreiz im Vergleich zu Black-Hat-Ausbeutung zu bieten. Ergebnisse • 47 Vermögenswerte auf Aave V3 erfüllten unsere Überprüfungsschwelle (> 5 Millionen USD TVS). • 33 Vermögenswerte (19,7 Milliarden USD bereitgestellt) sind durch angemessen große Bounties abgesichert. • 10 Vermögenswerte (19,2 Milliarden USD bereitgestellt) haben entweder keine Abdeckung oder stark unzureichende Programme. • 4 Vermögenswerte (10,8 Milliarden USD bereitgestellt) erfüllen die Mindestkriterien, benötigen jedoch höhere Auszahlungen oder einen breiteren Umfang. Aussteller, die Verbesserungen benötigen, sind: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Nächste Schritte Nach diesem Bericht werden wir eine wöchentliche/tägliche Serie starten, die die in unserer Analyse markierten Aussteller ins Rampenlicht rückt. Ziel: Vermögensausgeber zu ermutigen, Bug-Bounty-Programme einzurichten oder zu verbessern, die unseren empfohlenen Standards entsprechen.

Mit Aave v3, das seit mehr als 3 Jahren in Produktion ist, unzähligen Verbesserungen, die durchgeführt wurden und weiterhin stattfinden, und v4, das sich in der letzten Entwicklungsphase befindet, haben wir unsere Vision bezüglich des Aave v3.X Produkts für die Zukunft veröffentlicht und dessen Beziehung zu v4. Link und eine Zusammenfassung unten ⬇️