Episode 3 dari Podcast Keamanan Web3 sekarang ditayangkan! Minggu ini, @eboadom, Co-founder @bgdlabs dan mantan CTO @aave, bergabung dengan @jack__sanford untuk membahas pengelolaan aset $70 Miliar, tantangan peningkatan protokol utama, dan banyak lagi! Episode lengkap di bawah ini 👇

"Jangan Percaya, Verifikasi" tidak pernah lebih relevan di DeFi. Dengan kontrak pintar yang semakin kompleks dan miliaran aset yang diamankan secara on-chain, muncul pertanyaan: peran apa yang dimainkan program bug bounty dalam melindungi dari kerentanan? Kami menganalisis lanskap aset 👇 @Aave terdaftar Program bug bounty memberi insentif kepada peneliti independen untuk menemukan kerentanan dengan menawarkan imbalan finansial. Telah lama berdiri di Web2, model ini sekarang menjadi lapisan penting dalam keamanan Web3, mengatasi risiko unik dari kontrak pintar—terutama potensi hilangnya dana pengguna. Hadiah berskala berdasarkan tingkat keparahan, dengan bug berdampak tertinggi mendapatkan pembayaran maksimum. Laporan kami meninjau pasar Aave V3 dan berfokus pada aset dengan setidaknya $5 juta dalam total nilai yang dipasok (TVS). Setiap aset dievaluasi berdasarkan apakah itu: • Secara eksplisit disertakan dalam cakupan bug bounty, • Secara implisit tercakup oleh kebijakan seluruh protokol, atau • Tanpa cakupan yang dapat diverifikasi. Jika cakupan tidak dapat dikonfirmasi melalui dokumentasi publik, aset tersebut dianggap tidak memiliki hadiah formal. Standar Dasar • Hadiah minimum $50,000 diperlukan untuk menarik peneliti terampil, terlepas dari TVL. • Untuk protokol dengan TVL > $250 juta, pembayaran maksimum harus melebihi $1 juta untuk menunjukkan komitmen serius dan memberikan insentif kompetitif versus eksploitasi topi hitam. Temuan • 47 aset di Aave V3 memenuhi ambang batas ulasan kami (> TVS $5 juta). • 33 aset ($19,7 miliar disediakan) didukung oleh hadiah berukuran memadai. • 10 aset ($19,2 miliar disediakan) tidak memiliki cakupan atau program yang sangat tidak memadai. • 4 aset ($10,8 miliar disediakan) memenuhi kriteria minimum tetapi memerlukan pembayaran yang lebih tinggi atau cakupan yang lebih luas. Emiten yang membutuhkan perbaikan meliputi: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Langkah Berikutnya Setelah laporan ini, kami akan meluncurkan seri mingguan/harian yang menyoroti emiten yang ditandai dalam analisis kami. Tujuannya: mendorong penerbit aset untuk menetapkan—atau meningkatkan—program bug bounty sesuai dengan standar yang kami rekomendasikan.

Dengan Aave v3 lebih dari 3 tahun dalam produksi, peningkatan yang tak terhitung jumlahnya dilakukan & sedang berlangsung, dan v4 mendekati tahap pengembangan terbarunya, kami telah menerbitkan visi kami mengenai Aave v3. X ke depannya, dan hubungannya dengan v4. Tautan dan ringkasan di bawah ini ⬇️