"Não confie, verifique" nunca foi tão relevante no DeFi. Com os contratos inteligentes se tornando cada vez mais complexos e bilhões em ativos protegidos on-chain, surge a pergunta: qual o papel dos programas de recompensas por bugs na proteção contra vulnerabilidades? Analisamos o cenário de @Aave ativos 👇 listados Os programas de recompensas por bugs incentivam pesquisadores independentes a descobrir vulnerabilidades, oferecendo recompensas financeiras. Há muito estabelecido na Web2, esse modelo agora é uma camada essencial na segurança da Web3, abordando os riscos exclusivos dos contratos inteligentes, especialmente a perda potencial de fundos do usuário. As recompensas são dimensionadas por gravidade, com os bugs de maior impacto ganhando pagamentos máximos. Nosso relatório analisou os mercados Aave V3 e se concentrou em ativos com pelo menos US$ 5 milhões em valor total fornecido (TVS). Cada ativo foi avaliado com base em se era: • Explicitamente incluído em um escopo de recompensa por bugs, • Implicitamente coberto por políticas de todo o protocolo, ou • Sem qualquer cobertura verificável. Quando a cobertura não pôde ser confirmada por meio de documentação pública, o ativo foi considerado sem uma recompensa formal. Padrões de linha de base • Uma recompensa mínima de US$ 50.000 é necessária para atrair pesquisadores qualificados, independentemente do TVL. • Para protocolos com TVL > US$ 250 milhões, os pagamentos máximos devem exceder US$ 1 milhão para demonstrar um compromisso sério e fornecer um incentivo competitivo contra a exploração de chapéu preto. Resultados • 47 ativos no Aave V3 atingiram nosso limite de revisão (> US$ 5 milhões de TVS). • 33 ativos (US$ 19,7 bilhões fornecidos) são apoiados por recompensas de tamanho adequado. • 10 ativos (US$ 19,2 bilhões fornecidos) não têm cobertura ou programas severamente insuficientes. • 4 ativos (US$ 10,8 bilhões fornecidos) atendem aos critérios mínimos, mas exigem pagamentos mais altos ou escopo mais amplo. Os emissores que precisam de melhorias incluem: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Próximos passos Após este relatório, lançaremos uma série semanal/diária destacando os emissores sinalizados em nossa análise. O objetivo: incentivar os emissores de ativos a estabelecer - ou atualizar - programas de recompensas por bugs de acordo com nossos padrões recomendados.