"Não Confie, Verifique" nunca foi tão relevante no DeFi. Com contratos inteligentes tornando-se cada vez mais complexos e bilhões em ativos garantidos na blockchain, surge a questão: qual é o papel dos programas de recompensas por bugs na proteção contra vulnerabilidades? Analisamos o panorama dos ativos listados no @Aave 👇 Os programas de recompensas por bugs incentivam pesquisadores independentes a descobrir vulnerabilidades oferecendo recompensas financeiras. Longamente estabelecido no Web2, este modelo é agora uma camada essencial na segurança do Web3, abordando os riscos únicos dos contratos inteligentes—especialmente a potencial perda de fundos dos usuários. As recompensas variam conforme a gravidade, com os bugs de maior impacto recebendo os pagamentos máximos. Nosso relatório revisou os mercados do Aave V3 e focou em ativos com pelo menos $5M em valor total fornecido (TVS). Cada ativo foi avaliado com base em se estava: • Explicitamente incluído no escopo de recompensas por bugs, • Implicitamente coberto por políticas de protocolo, ou • Sem qualquer cobertura verificável. Onde a cobertura não pôde ser confirmada através de documentação pública, o ativo foi considerado como não tendo uma recompensa formal. Padrões Básicos • Uma recompensa mínima de $50.000 é necessária para atrair pesquisadores qualificados, independentemente do TVL. • Para protocolos com TVL > $250M, os pagamentos máximos devem exceder $1M para demonstrar um compromisso sério e fornecer um incentivo competitivo em relação à exploração maliciosa. Constatações • 47 ativos no Aave V3 atenderam ao nosso limite de revisão (> $5M TVS). • 33 ativos ($19.7B fornecidos) são apoiados por recompensas adequadamente dimensionadas. • 10 ativos ($19.2B fornecidos) não têm cobertura ou têm programas severamente insuficientes. • 4 ativos ($10.8B fornecidos) atendem aos critérios mínimos, mas requerem pagamentos mais altos ou um escopo mais amplo. Os emissores que precisam de melhorias incluem: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Próximos Passos Após este relatório, lançaremos uma série semanal/diária destacando os emissores sinalizados em nossa análise. O objetivo: incentivar os emissores de ativos a estabelecer—ou atualizar—programas de recompensas por bugs de acordo com nossos padrões recomendados.