Cách dễ nhất để xóa bỏ công việc của một nhà nghiên cứu bảo mật là năm từ: “Chúng tôi đã biết về nó rồi.”

Không có dấu thời gian, đó không phải là một biện pháp phòng vệ. Đó là một sự viết lại.

@TermMaxFi loại bỏ lỗ hổng đó thông qua Bảo đảm Vấn đề Đã biết trong phần thưởng Immunefi của mình. Một lỗi đã biết phải được tiết lộ công khai hoặc ghi lại riêng tư qua một báo cáo tự báo cáo trước khi nhà nghiên cứu nộp đơn.

Nếu dự án không thể chứng minh rằng vấn đề đã được biết trước đó, thì một báo cáo hợp lệ vẫn nằm trong phạm vi và được thưởng. Gánh nặng chứng minh hoạt động theo cả hai chiều: các nhà nghiên cứu mang đến PoC; dự án mang đến bằng chứng.

Immunefi xử lý phân loại, trọng tài được kích hoạt, và cả hai bên không thể thay đổi dòng thời gian sau khi sự việc đã xảy ra. Điều đó biến một chương trình thưởng lỗi từ “dự án có tiếng nói cuối cùng” thành một quá trình dựa trên bằng chứng.

Điều này không có nghĩa là mọi báo cáo trùng lặp đều được trả tiền. Các vấn đề đã được tiết lộ trong các cuộc kiểm tra công khai và chưa được sửa chữa sẽ bị loại trừ, và không có bằng chứng công khai cho thấy TermMax đã phải kích hoạt điều khoản này trong một tranh chấp thực tế.

Điểm mấu chốt là phòng ngừa: các quy tắc được viết ra trước khi tiền bạc, danh tiếng và động lực va chạm.

Bảo mật Web3 trưởng thành không chỉ là những con số thưởng lớn hơn. Đó là quy trình hợp lệ khi ai đó nói, “Hãy tin chúng tôi, chúng tôi đã biết.”

Liệu “không có bằng chứng, không có biện pháp phòng vệ về vấn đề đã biết” có trở thành quy tắc mặc định cho mọi lỗi thưởng crypto nghiêm trọng không?