“不要信任，验证”在DeFi中从未如此相关。随着智能合约日益复杂，数十亿美元的资产在链上得到保障，问题随之而来：漏洞赏金计划在防范漏洞方面扮演什么角色？我们分析了@Aave列出的资产情况 👇 漏洞赏金计划通过提供经济奖励来激励独立研究人员发现漏洞。这个在Web2中早已建立的模式，现在已成为Web3安全的一个重要层面，解决智能合约的独特风险——尤其是用户资金的潜在损失。奖励根据严重性进行分级，影响最大的漏洞获得最高的奖励。 我们的报告审查了Aave V3市场，重点关注总价值供应（TVS）至少为500万美元的资产。每个资产的评估基于以下标准： • 明确包含在漏洞赏金范围内， • 隐含在协议范围内的政策中，或 • 没有任何可验证的覆盖。 如果无法通过公开文档确认覆盖情况，则该资产被视为缺乏正式的赏金。 基准标准 • 至少需要50,000美元的赏金以吸引熟练的研究人员，无论TVL如何。 • 对于TVL超过2.5亿美元的协议，最高奖励应超过100万美元，以展示严肃的承诺，并提供与黑帽攻击相比的竞争性激励。 发现 • 47个资产在Aave V3中符合我们的审查标准（> 500万美元TVS）。 • 33个资产（供应总额197亿美元）得到了足够规模的赏金支持。 • 10个资产（供应总额192亿美元）没有覆盖或程序严重不足。 • 4个资产（供应总额108亿美元）符合最低标准，但需要更高的奖励或更广泛的范围。 需要改进的发行方包括： @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB)。 下一步 在本报告发布后，我们将启动一系列每周/每日的专题，聚焦于我们分析中标记的发行方。目标：鼓励资产发行方建立或升级漏洞赏金计划，以符合我们推荐的标准。