Децентрализация кибербезопасности: Публичные аудиты приносят пользу web3

Проверки безопасности являются важными, но их результаты обычно остаются без оспаривания, в то время как один обзор не всегда может выявить все уязвимости. Публичные проверки, стимулирующие хакеров-белых шляп, чтобы дважды проверить результаты аудита с помощью поощрений DeFi, могли бы повысить безопасность всей веб-3, поскольку они сделали бы вознаграждения за ошибки доступными даже для масштабных проектов.

Почему обычные аудиты не всегда достаточно

Согласно отчету о безопасности за 3 квартал Hacken, только в 2024 году индустрия web3 потеряла поразительные 1,8 миллиарда долларов. Почти 40% этих потерь были вызваны предотвратимыми проблемами, такими как уязвимости смарт-контрактов и атаки повторного входа. Пугающе, 90% взломанных проектов никогда не проходили никакой проверки, что подчеркивает серьезное просчет в безопасности.

Традиционные проверки безопасности необходимы, поскольку они предлагают всесторонние обзоры, проводимые экспертами на критических этапах жизненного цикла проекта, обеспечивая безопасность средств пользователей. Однако, из-за централизованной природы таких проверок обычно нет возможности оспорить их результаты, если только проект не инвестирует во вторичную проверку, что является редким явлением. Ожидать, что один обзор поймает все, нереалистично, поскольку даже самые добросовестные аудиторы подвержены человеческим ошибкам.

Решение этой проблемы заключается в децентрализованной этике web3. Крипто-проекты могли бы привлечь более широкое сообщество хакеров-белых шляп для проведения публичных аудитов, обеспечивая таким образом децентрализованные, непрерывные и общностно-ориентированные проверки безопасности.

Децентрализованные проверки безопасности: принципы и преимущества

Основной проблемой при проектировании децентрализованных аудитов является обеспечение сильных стимулов для независимых аудиторов, при этом не допуская дополнительных расходов для проектов. Позвольте мне продемонстрировать один из возможных способов достижения баланса при помощи инструментов DeFi.

Представьте себе платформу безопасности, которая запускает специальный пул наград на основе умных контрактов каждый раз, когда у нее появляется новый клиент, запрашивающий аудит. Компания заполняет этот пул долей стоимости аудита, а держатели токенов добавляют еще больше, стейкнув токены платформы. После того, как платформа завершает свой собственный аудит, независимые исследователи безопасности присоединяются к игре и дважды проверяют код клиента. Когда сообщество заканчивает аудит, независимые аудиторы и стейкеры получают награды из пула.

Так работают DualDefense Flash Pools в Hacken. Каждый клиент, оплачивающий частный аудит, получает дополнительный публичный аудит, создавая модель двойной защиты. И в истинном духе DeFi участие сообщества поощряется наградами за стейкинг.

Такой подход имеет далеко идущие преимущества: сообщество получает высокодоходный инструмент APY в реальном времени, аудиторы приветствуют тестирование своих результатов своими коллегами, а белые хакеры получают вознаграждение за нахождение действительных ошибок даже в чистом коде. Для криптопроектов это означает повышенное обеспечение безопасности их кода. Для всей отрасли web3 это предлагает выполнимый подход для повышения безопасности и борьбы с киберпреступностью.

Децентрализованные аудиты демократизируют доступ к безопасности для веб-проектов, особенно для начинающих. У многих криптостартапов есть отличные MVP, но часто не хватает ресурсов для традиционных баг-баунти, что может быть затратным - никто не может предсказать, сколько ошибок могут обнаружить этичные хакеры. Модель, которую мы предлагаем, решает эту проблему с помощью фиксированного фонда вознаграждения, финансируемого сообществом, делая безопасность доступной и предсказуемой с самого начала.

Реализация этой модели представляет собой довольно осязаемый риск для аудиторских компаний: она ставит на кон репутацию платформы, позволяя внешним аудиторам проверять ее работу. Однако именно таким образом компания получает дополнительное стимулирующее воздействие, чтобы подходить к каждой проверке еще более внимательно, зная насколько публичными будут результаты ее работы - в конечном итоге это будет полезно для всей отрасли. Аудиторы смарт-контрактов не должны уходить после проверки - пришло время быть смелыми и взять на себя ответственность.

Наконец, публичные аудит-пулы вводят то, чего не хватает в DeFi - вознаграждения, поддерживаемые реальными деньгами. Эта модель гарантирует, что доходы пользователей не зависят от инфляционной эмиссии токенов, что часто приводит к неустойчивому росту и снижению стоимости со временем. Вместо этого пользователи получают выгоду от реальной рыночной деятельности, делая шаг в сторону более устойчивых финансовых моделей в DeFi.

Сочетание традиционных аудитов с открытыми аудитами, поддерживаемыми сообществом, прокладывает путь к устойчивой модели безопасности, которая подходит для проектов всех масштабов. Публичные аудиты, поддерживаемые стимулами DeFi, являются трансформационным шагом к доступной, надежной и проактивной культуре безопасности в web3.

Дыма Будорин

Дима Будорин - сооснователь и генеральный директор Hacken, ведущего аудитора безопасности блокчейн, со-председатель группы по оценке рисков и управлению активами в DeFi EEA DRAMA, соавтор стандартов криптоиндустрии. После более чем восьми лет опыта аудита в Deloitte, он работал в качестве советника по аудиту в Укрспецэкспорт и заместителя генерального директора по стратегии и развитию в Укринмаш (оба государственные агентства Украины). Будучи энтузиастом криптовалюты и экспертом по кибербезопасности, Дима поделился своими идеями в BBC, Wired, Cointelegraph, Coindesk и других авторитетных средствах массовой информации. Он также является вице-президентом Ассоциации Блокчейн Украины.