“Đừng Tin, Hãy Xác Minh” chưa bao giờ trở nên quan trọng hơn trong DeFi. Với các hợp đồng thông minh ngày càng phức tạp và hàng tỷ tài sản được bảo vệ trên chuỗi, câu hỏi đặt ra là: các chương trình thưởng lỗi đóng vai trò gì trong việc bảo vệ chống lại các lỗ hổng? Chúng tôi đã phân tích bối cảnh của các tài sản được niêm yết trên @Aave 👇 Các chương trình thưởng lỗi khuyến khích các nhà nghiên cứu độc lập phát hiện các lỗ hổng bằng cách cung cấp phần thưởng tài chính. Được thiết lập từ lâu trong Web2, mô hình này hiện là một lớp thiết yếu trong bảo mật Web3, giải quyết các rủi ro độc đáo của các hợp đồng thông minh—đặc biệt là khả năng mất tiền của người dùng. Phần thưởng được quy mô theo mức độ nghiêm trọng, với các lỗi có tác động cao nhất nhận được khoản thanh toán tối đa. Báo cáo của chúng tôi đã xem xét các thị trường Aave V3 và tập trung vào các tài sản có ít nhất 5 triệu đô la giá trị tổng cung (TVS). Mỗi tài sản được đánh giá dựa trên việc nó: • Được bao gồm rõ ràng trong phạm vi thưởng lỗi, • Được bao phủ ngầm bởi các chính sách toàn giao thức, hoặc • Không có bất kỳ sự bảo vệ nào có thể xác minh. Nơi nào mà sự bảo vệ không thể được xác nhận qua tài liệu công khai, tài sản đó được coi là thiếu một chương trình thưởng chính thức. Tiêu chuẩn Cơ bản • Một khoản thưởng tối thiểu 50.000 đô la là cần thiết để thu hút các nhà nghiên cứu có kỹ năng, bất kể TVL. • Đối với các giao thức có TVL > 250 triệu đô la, các khoản thanh toán tối đa nên vượt quá 1 triệu đô la để thể hiện cam kết nghiêm túc và cung cấp một động lực cạnh tranh so với việc khai thác xấu. Kết quả • 47 tài sản trên Aave V3 đã đáp ứng ngưỡng xem xét của chúng tôi (> 5 triệu đô la TVS). • 33 tài sản (19,7 tỷ đô la cung cấp) được hỗ trợ bởi các khoản thưởng có kích thước đủ. • 10 tài sản (19,2 tỷ đô la cung cấp) không có sự bảo vệ hoặc chương trình không đủ nghiêm trọng. • 4 tài sản (10,8 tỷ đô la cung cấp) đáp ứng tiêu chí tối thiểu nhưng cần các khoản thanh toán cao hơn hoặc phạm vi rộng hơn. Các nhà phát hành cần cải thiện bao gồm: @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB). Các bước tiếp theo Sau báo cáo này, chúng tôi sẽ khởi động một loạt bài hàng tuần/hàng ngày để làm nổi bật các nhà phát hành đã được đánh dấu trong phân tích của chúng tôi. Mục tiêu: khuyến khích các nhà phát hành tài sản thiết lập—hoặc nâng cấp—các chương trình thưởng lỗi theo các tiêu chuẩn mà chúng tôi đã đề xuất.