Могут ли новые модели проверки кода решить проблему аудита DeFi?
По мере того, как атаки на популярные протоколы децентрализованного финансирования (DeFi) становятся все более сложными, эффективность аудиторских проверок со стороны крупных охранных компаний, в свою очередь, становится предметом пристального внимания, и некоторые члены сообщества DeFi уже начали создавать альтернативы собственного производства.
«Я думаю, что теперь, после всех хаков, которые у нас были, мы в основном понимаем, что если у вас есть два аудита, три аудита, это не значит, что вы в безопасности», — сказал соучредитель DeFi Italy Эмилиано Бонасси в интервью Cointelegraph. «Это не означает, что аудит не имеет ценности в данный момент, но это не серебряная пуля».
Эта новая реальность подтолкнула Бонасси к созданию ReviewsDAO. Простой форум для соединения экспертов по безопасности и проектов, которым нужна дополнительная пара глаз, за три дня с момента его запуска ReviewsDAO уже привлекла четырех добровольных рецензентов (включая Бонасси) и подобрала двух рецензентов для проекта.
Скин в игре — это одно из неявных правил https://t.co/5y4MBhvNB7Anon разрешен и защищен, но при этом ваше лицо (виртуальное или нет) это знак доверия, в котором я нахожусь, предлагая свое время и свое лицо для обзоров https://t.co/CoVRSThymG Не стесняйтесь, помогите сообществу! pic.twitter.com/uq0KtV2pCV
— Эмилиано Бонасси | emiliano.eth (@emilianobonassi) 15 февраля 2021 г.
Бонасси и ReviewsDAO тоже не одиноки. Code 423n4 — это еще один проект, направленный на то, чтобы дать толчок движению за безопасность в экосистеме, используя экспериментальный игровой подход к вознаграждению за ошибки. Точно так же Immunefi, еще одна платформа вознаграждений DeFi, запущенная в декабре прошлого года, пересматривает модель раскрытия информации о безопасности, выдвигая в качестве вознаграждения более 10% уязвимых средств.
Модель Immunefi, в частности, уже произвела фурор, успешно получив вознаграждение в размере 1,5 миллиона долларов.
Три новых проекта, появившихся всего за два месяца, каждый со своей собственной моделью стимулирования — это общеотраслевые усилия, по мнению Стани Кулехова, основателя кредитной платформы DeFi Aave, будут ключом к здоровью и безопасности. пространства движется вперед.
«Аудиторы здесь не для того, чтобы гарантировать безопасность протокола, они просто помогают обнаружить то, о чем сама команда не знала. В конце концов, речь идет о коллегиальной проверке, и нам нужно найти в качестве сообщества стимулы для расширения возможностей экспертов по безопасности в этой области ».
« Никаких серебряных пуль »
Бонасси должно быть знакомо всем, кто сохранил с недавним всплеском эксплойтов. Итальянский разработчик — один из полдюжины хакеров в белых шляпах, которые часто собираются сразу после атаки, чтобы воспроизвести эксплойт и помочь проектам исправить уязвимости.
Спросите любого основателя DeFi о Бонасси и его товарищах по постэксплуатационной «военной комнате» белых шляп, и они сразу же начнут восхвалять его.
«Сообщество DeFi — это благословен иметь белые шляпы, такие как Самчсун и Эмилиано. Их усилия […] делают пространство не только более безопасным, но и подчеркивают повествование о том, что в нашей экосистеме есть много людей, которые заботятся об успехе пространства », — сказал Кулечев.
Несмотря на то, что навыки реагирования «белых» широко признаны, ReviewsDAO в некотором смысле представляет собой попытку сократить частоту, с которой они нуждаются в проектах.
По мнению Бонасси, напряжение между потребностями проектов и ограниченными ресурсами аудиторских фирм в значительной степени ослабляет безопасность пространства Defi: аудиторы всегда заняты, но команды находятся в гуще гонки инноваций DeFi нужно оставаться гибким. Хотя проекту может потребоваться аудит нескольких небольших изменений, доступность и затраты часто требуют более крупного заказа, что приводит к «фрагментации» кода.
«Так как они недоступны, вы обычно готовите кучу материалов, которые хотите просмотреть, и отправляете их им. «Взаимодействие на самом деле, скажем так,« основано на снимках », а не на постоянном сотрудничестве», — сказал Бонасси.
Итак, как обеспечить более частые проверки безопасности, которые лучше соответствуют потребностям проектов? Бонасси говорит, что сначала он рассматривал грант Gitcoin для группы whitehat как решение, но в конечном итоге решил, что такая модель будет чрезмерно централизованной и не сможет масштабироваться. Ни один из его коллег в whitehat не понимал, как решить эту проблему, поэтому он предпочел простоту.
Исчерпывающее руководство о том, как масштабирование вознаграждений за ошибки повлияет на DeFi и безопасность смарт-контрактов, от нашего генерального директора @MitchellAmador: — Смарт-контракты сложно защитить — Награды за ошибки меняют правила игры — Масштабирование наград за ошибки защитит сообщество https://t.co/szvOn2JQu7
— Immunefi (@ Immunefi) 18 февраля 2021 г.
«Если у вас нет никаких представлений, начните с основ: создайте форум, скажем,« рынок », где люди могут запрашивать большие или маленькие обзоры, а также предлагать свой опыт».
Он не стремится полностью заменить аудит и аудиторские компании, отмечает Бонасси, и вместо этого рассматривает DAO как средство, которое может помочь более молодым проектам лучше подготовиться к аудиту, обеспечивая «непрерывный обзор» и «жидкий аудит».
Модель, которую считает эксперт по безопасности Морелиан из OptimismPBC, оставляет место для крупных аудиторских компаний, но при этом признает, что необходимы и другие решения в области безопасности.
«ИМО, аудит, проводимый высококачественной фирмой, имеет реальную ценность, и ничто другое не может служить« альтернативой », но я также думаю, что существует проблема чрезмерной зависимости от аудитов для обеспечения безопасности. ,» он сказал.
Бонасси также считает, что ReviewsDAO может в конечном итоге стать своего рода аудиторским «университетом», где люди со специальными знаниями могут перейти в другие области, а молодые разработчики могут вырасти в полноценных аудиторов — как для оценки, так и для поддержки ресурсы для разработчиков в DeFi.
«Моя цель также состоит в том, чтобы составить карту людей и проектов — наличие прозрачного места, где люди могут обмениваться информацией, помогающего нам понять, сколько людей, которые, в основном, достаточно хороши с точки зрения безопасности, присутствуют в экосистеме.
Скин в игре
Хотя он отвечает очевидным потребностям рынка, Бонасси говорит, что в настоящее время нет планов по монетизации или токену ReviewsDAO.
«Я думаю, что такие инициативы, как это должно быть общественным достоянием », — утверждает он.
Эта попытка избежать капитальных стимулов — больше, чем просто идеализм. Эти новые проекты аудита возникают из-за того, что текущая модель не является полностью устойчивой, говорит Бонасси, — модель, которая является «транзакционной», что означает, что аудиторы не имеют такой «шкуры», как более активный партнер. В результате страдает весь ландшафт DeFi (который аудиторы якобы должны защищать).
«Это не отношения. «Это не партнерство», — говорит Бонасси.
Тем не менее, даже общественное благо часто имеет государственное финансирование, и остается открытым вопрос, захотят ли разработчики — которые часто перегружены работой — тратить время на то, что Андре Кронье называет «ставкой Эмилиано Бонасси». : никакой награды, кроме признания.
Бонсай отмечает, что несколько основных основателей протокола DeFi предложили гранты, но до сих пор им отказывали. Он упрям, чтобы увидеть, если разработчики готовы отдать в пространство, которое часто дают им так много, даже когда есть другие, потенциально выгодные варианты.
«Что нам действительно нужно в этой экосистеме, так это больше людей, которые над ней работают — скажем, кто-то может меня ненавидеть, но меньше вилок, если они не добавляют ценности […] Я не хочу попасть в эру ICO. Я не хочу возвращаться в 2017 год ».
ВВЕДЕНИЕ. Если вы хотите принять участие, присоединяйтесь к разногласиям и расскажите мне, как вы хотите участвовать. https://t.co/7AZSlMDKS9https : //t.co/3YyPmKqs6I
— Код 423n4 (@ code423n4) 15 февраля 2021 г.
Быстрая окупаемость усилий обнадеживает. Покрытие / протокол страхования Cover был первым проектом, который был согласован с рецензентом через ReviewsDAO.
«Это было здорово», — говорит Тыква, главный разработчик Cover Protocol и Ruler Protocol. «Я был одним из немногих, с кем Эмилиано поделился этой идеей прямо перед выпуском. Мне он сразу понравился, так как это то, что я искал (чтобы получить внешние проверки кода, а также более легко и быстро) […] Я не уверен, что выйдет из обзора, но форум, безусловно, работает хорошо, ».
Морелиан также считает, что есть надежда на возможно идеалистическую модель — и что она может быть более транзакционной, чем кажется на первый взгляд.
«Вы получаете то, что даете. Так что участие в таком проекте, вероятно, будет хорошей идеей, если вы планируете находиться в космосе надолго », — сказал он.
Даже если некоторые разработчики тратят время на то, чтобы выслужиться в будущем, Эмилиано остается твердым в своем видении, что усилия по обеспечению безопасности экосистемы должны исходить из альтруизма и любви.
«Это идеал, который мы должны продвигать. А поскольку у нас много денег, и у этой индустрии много денег, вам не полагается нуждаться в вознаграждениях, вы должны делать это, потому что любите эту индустрию. Это призыв ко всем людям, которые хотят развивать экосистему ».
