Децентралізація кібербезпеки: Публічні аудити корисні для web3

Аудити безпеки надзвичайно важливі, але їх результати зазвичай залишаються без виклику, тоді як один огляд не завжди може виявити всі вразливості. Публічні аудити, які стимулюють білих шапочок-хакерів перевіряти результати аудиту за допомогою стимулів DeFi, можуть підвищити безпеку всієї web3, оскільки вони зроблять винагороди за виявлення помилок доступними навіть для проектів малого масштабу.

Чому звичайні перевірки не завжди достатньо

Згідно з звітом з безпеки за третій квартал від Hacken, галузь web3 втратила вражаючі $1,8 мільярда лише в 2024 році. Майже 40% цих втрат були спричинені запобіжними проблемами, такими як вразливості розумних контрактів та атаки рекурсією. Надто тривожним є те, що 90% взламаних проєктів ніколи не проходили аудиту, що підкреслює критичні прогалини в безпеці.

Традиційні аудити безпеки є важливими - вони пропонують глибокі, експертно-проведені огляди на критичних етапах життєвого циклу проєкту, забезпечуючи безпеку коштів користувача. Однак через централізований характер цих аудитів зазвичай немає можливості оскаржити їх висновки - якщо проєкт не інвестує в другий аудит, що є рідкісним випадком. Очікувати, що один огляд все спіймає, нереалістично, оскільки навіть найдбайливіші аудитори схильні до людських помилок.

Рішення проблеми полягає в етосі децентралізації web3. Крипто-проекти могли б залучити широку спільноту білих шапок-хакерів для публічних аудитів, надаючи таким чином децентралізовані, постійні та здійснювані спільнотою перевірки безпеки.

Децентралізовані перевірки безпеки: принципи та переваги

Головним питанням у проектуванні децентралізованих аудитів є створення сильних стимулів для незалежних аудиторів, забезпечуючи, щоб вони не приносили додаткових витрат проектам. Дозвольте мені розглянути один можливий шлях до досягнення цього балансу за допомогою інструментів DeFi.

Уявіть платформу безпеки, яка запускає окремий пул нагород на основі розумного контракту, кожного разу, коли вона отримує запит на аудит від нового клієнта. Компанія заповнює цей пул частиною вартості аудиту, тим часом власники токенів додають більше, вкладаючи токени платформи. Після завершення платформою свого власного аудиту, незалежні дослідники забезпечення приєднуються до гри й перевіряють код клієнта. Після завершення громадського аудиту, незалежні аудитори й учасники збирають нагороди з пулу.

Ось як працюють DualDefense Flash Pools у Hacken. Кожен клієнт, який платить за приватну аудиторію, отримує додаткову публічну аудиторію, створюючи двошарову модель безпеки. І в справжньому дусі DeFi, участь спільноти стимулюється нагородами за стейкінг.

Цей підхід має далекосяжні переваги: спільнота отримує інструмент з високою реальною доходністю APY, аудитори вітають пір-тестування їх висновків, а білий шолом хакери отримують винагороду за виявлення валідних помилок, навіть за знаходження чистого коду. Для криптопроектів це означає збільшення впевненості в безпеці їх коду. Для всієї індустрії web3 це пропонує реальний підхід до підвищення безпеки та боротьби з кіберзлочинністю.

Децентралізовані аудити демократизують доступ до безпеки для проектів web3, особливо для початківців. Багато криптостартапів мають чудові MVP, але часто не мають ресурсів для традиційних «баг-баунті», які можуть бути дорогими - ніхто не може передбачити, скільки помилок можуть виявити етичні хакери. Модель, яку ми пропонуємо, вирішує це завдання за допомогою фіксованого пулу винагород, фінансованого спільнотою, що робить безпеку доступною та передбачуваною від самого початку.

Реалізація цієї моделі становить досить конкретний ризик для аудиторських компаній: вона ставить репутацію платформи під питання, дозволяючи зовнішнім аудиторам перевіряти її роботу. Однак таким чином компанія отримує додатковий стимул підходити до кожного аудиту ще уважніше, знаючи, наскільки публічними будуть результати її роботи - в кінцевому підсумку це стане на користь всій галузі. Аудитори смарт-контрактів не повинні відступати після аудиту - настав час бути сміливими і взяти на себе відповідальність.

Нарешті, публічні аудитові пули вводять щось, чого бракує у DeFi - нагороди, підтримані реальними грошима. Ця модель гарантує, що доходи користувачів не залежать від інфляційного випуску токенів, що часто призводить до неприйнятного зростання та зниження вартості з часом. Замість цього, користувачі отримують вигоду від реальної ринкової активності, зробивши крок до більш стійких фінансових моделей у DeFi.

Поєднання традиційних аудитів з аудитами, підтриманими відкритою спільнотою, відкриває шлях до стійкої моделі безпеки, яка підходить проектам будь-якого масштабу. Публічні аудити, підтримані стимулами DeFi, позначають трансформаційний крок до доступної, надійної та проактивної культури безпеки в web3.

Ось Будорін

Дима Будорін - співзасновник та генеральний директор Hacken, провідний аудитор безпеки блокчейну, співголова групи EEA DRAMA (група управління ризиками та обліку DeFi) та співавтор стандартів криптовалютної галузі. Після понад восьми років досвіду аудиту в Deloitte він працював радником з аудиту в Укрспецекспорті та заступником генерального директора з стратегії та розвитку в Укрінмаші (обидва українські державні агентства). Будучи ентузіастом криптовалют та експертом з кібербезпеки, Дима мав свої інсайти висвітлені BBC, Wired, Cointelegraph, Coindesk та іншими авторитетними ЗМІ. Також він є віце-президентом Асоціації Блокчейн України.