"Don't Trust, Verify" nu a fost niciodată mai relevant în DeFi. Având în vedere că contractele inteligente devin din ce în ce mai complexe și miliardele în active securizate în lanț, se pune întrebarea: ce rol joacă programele de bug bounty în protejarea împotriva vulnerabilităților? Am analizat peisajul activelor 👇 listate @Aave Programele de recompense pentru erori stimulează cercetătorii independenți să descopere vulnerabilități oferind recompense financiare. Stabilit de mult timp în Web2, acest model este acum un strat esențial în securitatea Web3, abordând riscurile unice ale contractelor inteligente - în special potențiala pierdere a fondurilor utilizatorilor. Recompensele se scalează în funcție de severitate, iar bug-urile cu cel mai mare impact obțin plăți maxime. Raportul nostru a analizat piețele Aave V3 și s-a concentrat pe active cu cel puțin 5 milioane de dolari în valoare totală furnizată (TVS). Fiecare activ a fost evaluat în funcție de: • Inclus în mod explicit într-un domeniu de aplicare bug bounty, • Acoperit implicit de politici la nivel de protocol sau • Fără nicio acoperire verificabilă. În cazul în care acoperirea nu a putut fi confirmată prin documentație publică, s-a considerat că activul nu are o recompensă formală. Standarde de bază • Este necesară o recompensă minimă de 50.000 de dolari pentru a atrage cercetători calificați, indiferent de TVL. • Pentru protocoalele cu TVL > 250 de milioane de dolari, plățile maxime ar trebui să depășească 1 milion de dolari pentru a demonstra un angajament serios și a oferi un stimulent competitiv împotriva exploatării black-hat. Constatările • 47 de active pe Aave V3 au atins pragul nostru de evaluare (> TVS de 5 milioane USD). • 33 de active (19,7 miliarde de dolari furnizate) sunt susținute de recompense de dimensiuni adecvate. • 10 active (19,2 miliarde de dolari furnizate) fie nu au acoperire, fie programe extrem de insuficiente. • 4 active (10,8 miliarde de dolari furnizate) îndeplinesc criteriile minime, dar necesită plăți mai mari sau un domeniu de aplicare mai larg. Emitenții care au nevoie de îmbunătățiri includ: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Pașii următori În urma acestui raport, vom lansa o serie săptămânală/zilnică care evidențiază emitenții semnalați în analiza noastră. Scopul: încurajați emitenții de active să înființeze sau să actualizeze programe de recompense pentru erori în conformitate cu standardele noastre recomandate.