" Лучшая защита криптовалют от катастрофических взломов - это не код, а поощрения. Программы вознаграждений за обнаружение уязвимостей предотвратили миллиардные убытки, и очень важно иметь в виду, что эти миллиарды могли бы быть результатом эксплойтов, а не ответственного раскрытия информации, если бы не были установлены правильные стимулы. Эта защита работает только в то время, когда стимулы для «белых хакеров» явно перевешивают стимулы для взломщиков, и текущие рыночные тенденции опасно меняют этот баланс.
Масштабирование стандарта вознаграждений за обнаружение уязвимостей означает, что размер вознаграждения должен расти пропорционально размеру капитала, находящегося под угрозой. Если уязвимость может унести 10 миллионов долларов, вознаграждение должно составлять до 1 миллиона долларов. Это меняет жизнь исследователей безопасности, которые предлагают раскрытие информации, а не ее эксплуатацию, и они экономически эффективны для протоколов по сравнению с разрушительной альтернативой взлома. Такой подход к масштабированию защищает целые протоколы от уничтожения и обеспечивает непрерывный рост ончейн-финансов.
Проблема в том, что эти стимулы искажает рыночная конкуренция. Некоторые платформы теперь привязывают свои самые дешевые тарифные планы к ограниченному размеру вознаграждения за взлом, который иногда не превышает 50 000 долларов. Такая структура ценообразования вынуждает протоколы минимизировать вознаграждение и снижать затраты, создавая условия для следующего катастрофического взлома.
Награды за обнаружение уязвимостей как защитные механизмы
Красноречивым примером служит недавний взлом Cork Protocol на сумму 12 миллионов долларов. Протокол установил награду за обнаружение критической уязвимости всего в 100 000 долларов, что составляет лишь малую часть от той суммы, которая находится под угрозой. Это несоответствие порождает простой экономический расчет: зачем тратить сотни часов на поиск уязвимости, если максимальная выплата в 120 раз ниже стоимости эксплойта? Такая арифметика не препятствует эксплуатации уязвимостей, а наоборот, поощряет ее.
Награды за обнаружение уязвимостей - это критически важные защитные механизмы, которые работают только в соответствии с риском. Когда протоколы с общей заблокированной стоимостью в десятки миллионов долларов предлагают награды в размере пятизначных сумм, они фактически делают ставку на то, что хакеры выберут этику, а не экономику. Это не стратегия. Это надежда.
Стандарт в миллион долларов существует не просто так.
Стандарты безопасности криптовалют формировались благодаря наиболее ценным моментам. MakerDAO установила вознаграждение в размере 10 миллионов долларов, которое показало, чего стоит защита. Выплата в размере 10 миллионов долларов после критического эксплойта Wormhole закрепила прецедент, согласно которому эффективная безопасность требует значительных стимулов. Исследователям безопасности нужны веские причины, чтобы выбрать раскрытие информации вместо уничтожения в отрасли, где за считанные минуты эксплойты могут опустошить казну.
Этот подход к масштабированию, безусловно, работает. Когда критические уязвимости могут затронуть миллионы пользовательских средств, вознаграждение должно быть пропорциональным, обычно около 10% от капитала, находящегося под угрозой. Эти экономические факторы помогают лучшим исследователям оставаться в экосистеме и сохранять мотивацию к сообщению об уязвимостях.
Рыночные силы создают опасные прецеденты
Гонка за долю рынка привела к тому, что некоторые платформы конкурируют ценой, а не безопасностью. Связывая комиссию платформы с ограничением вознаграждений, они создают извращенную систему стимулирования: протоколы выбирают более низкие вознаграждения, чтобы минимизировать издержки, не потому, что риск оправдан, а потому, что их поощряет ценообразование. Это фундаментальное непонимание сути вознаграждений за обнаружение уязвимостей. Это не просто расходы; это страховые полисы, стоимость которых должна соответствовать защищаемым объектам.
Более того, некоторые платформы безопасности теперь требуют эксклюзивных контрактов, которые ограничивают возможности исследователей. Другие допускают переоценку после раскрытия информации, что подрывает доверие исследователей. Эти практики подрывают общественный договор, который изначально и делает эффективными программы вознаграждений за обнаружение уязвимостей. Если опытные исследователи теряют уверенность в справедливости системы, у них есть три варианта: прекратить поиск, перейти на закрытый аудит или уйти в тень.
Результат приводит к сдерживающему эффекту: протоколы ограничивают вознаграждение, чтобы сократить расходы. Исследователи отказываются от участия, потому что выгода не стоит усилий. Критические уязвимости остаются незамеченными. Происходят эксплойты. Протоколы еще больше сокращают бюджеты на безопасность. Это смертельная спираль, которая не приносит выгоды никому, кроме злоумышленников.
Предупреждение от Web2
Параллели с провалами программы вознаграждений за обнаружение ошибок в Web2 вызывают тревогу. Там хроническая недоплата и плохое отношение к исследователям привели к тому, что многие опытные специалисты - «белые хакеры» полностью отказались от этих программ. Криптовалюта не может позволить себе повторения этой ошибки, особенно когда триллионы средств готовятся к выводу в блокчейн, а институты за этим пристально следят.
Некоторые утверждают, что на ранних этапах команды не могут позволить себе крупные вознаграждения. Однако правда в том, что стоимость успешного взлома всегда будет выше стоимости хорошо организованной программы вознаграждений за обнаружение ошибок. Потеря средств обходится очень дорого. Потеря доверия фатальна.
Путь вперед требует координации в отрасли
Защита инфраструктуры безопасности криптовалют требует признания того, что программы вознаграждений за обнаружение уязвимостей основаны на доверии и стимулах. Любая недооцененная программа ослабляет общественный договор, который позволяет соблюдать закон квалифицированным исследователям.
Решение не радикальное. Поддерживайте размер вознаграждений, которые отражают реальный риск. Обеспечьте прозрачное и справедливое отношение к исследователям. Не поддавайтесь искушению рассматривать безопасность как источник затрат, а не как фактор ценности.
Критически важно, чтобы платформы перестали стимулировать протоколы к снижению эффективности собственной защиты.
Децентрализованная экономика работает только в тот момент, когда доверие растет вместе с ней. Если мы хотим, чтобы криптовалюты продолжали расти, пользуясь доверием пользователей, регулирующих органов и учреждений, нам нужны эффективные системы вознаграждений не только на бумаге, но и на практике. Криптовалюта процветает лишь в той мере, в какой ее защитники имеют возможность действовать.
Об авторе
Митчелл Амадор - основатель и генеральный директор Immunefi, платформы безопасности на основе блокчейна, которая работает с такими протоколами, как Chainlink, Ethereum Foundation, Optimism и Arbitrum.
Эта статья предназначена для общего ознакомления и не предназначена для использования в качестве юридической или инвестиционной консультации. Выраженные в этой статье взгляды, мысли и мнения, принадлежат только автору.
