«Don't Trust, Verify» har aldri vært mer relevant i DeFi. Med smarte kontrakter som blir stadig mer komplekse og milliarder i eiendeler sikret på kjeden, oppstår spørsmålet: hvilken rolle spiller bug bounty-programmer for å beskytte mot sårbarheter? Vi analyserte landskapet for @Aave børsnoterte eiendeler 👇 Bug bounty-programmer oppmuntrer uavhengige forskere til å oppdage sårbarheter ved å tilby økonomiske belønninger. Denne modellen har lenge vært etablert i Web2, og er nå et viktig lag i Web3-sikkerhet, og adresserer de unike risikoene ved smarte kontrakter – spesielt potensielt tap av brukermidler. Belønninger skaleres etter alvorlighetsgrad, med de mest innvirkende feilene som gir maksimale utbetalinger. Rapporten vår gjennomgikk Aave V3-markedene og fokuserte på eiendeler med minst 5 millioner dollar i total levert verdi (TVS). Hvert element ble evaluert basert på om det var: • Eksplisitt inkludert i et bug bounty-omfang, • implisitt dekket av protokollomfattende retningslinjer, eller • Uten verifiserbar dekning. Der dekning ikke kunne bekreftes via offentlig dokumentasjon, ble eiendelen ansett å mangle en formell dusør. Grunnleggende standarder • En minimumsdusør på $50 000 kreves for å tiltrekke seg dyktige forskere, uavhengig av TVL. • For protokoller med TVL > 250 millioner dollar, bør maksimale utbetalinger overstige 1 million dollar for å demonstrere et seriøst engasjement og gi et konkurranseinsentiv mot utnyttelse av svarte hatter. Resultater • 47 eiendeler på Aave V3 oppfylte vår gjennomgangsterskel (> 5 millioner dollar TVS). • 33 eiendeler (19,7 milliarder dollar levert) er støttet av dusører av tilstrekkelig størrelse. • 10 eiendeler (19,2 milliarder dollar levert) har enten ingen dekning eller svært utilstrekkelige programmer. • 4 eiendeler ($10.8B levert) oppfyller minimumskriteriene, men krever høyere utbetalinger eller bredere omfang. Utstedere som trenger forbedring inkluderer: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Neste trinn Etter denne rapporten vil vi lansere en ukentlig/daglig serie som setter søkelyset på utstedere som er flagget i analysen vår. Målet: oppmuntre aktivautstedere til å etablere – eller oppgradere – bug bounty-programmer i tråd med våre anbefalte standarder.