找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: BTC USDT 合约
查看: 23|回复: 0

AI 和社区引领 Web3 审计的未来:Hats Finance 的 AMA

[复制链接]

1022

主题

0

回帖

3102

积分

论坛元老

积分
3102
发表于 2024-11-7 18:08:39 | 显示全部楼层 |阅读模式
传统的审计和漏洞赏金计划通常会阻碍新项目,并因成本高昂和门槛严格而将人才排除在外。由专业社区支持的链上方法可以改变这种现状。


在构建安全的去中心化生态系统的竞赛中,从 Web2 改编而来的传统安全模型已被证明不足以满足 Web3 的独特需求。在最近的 Cointelegraph AMA 上,Hats Finance 创始人 Oliver Hörr 分享了他对当前安全方法不足的看法,并概述了他们的平台旨在为保护去中心化项目提供更高效、更透明的替代方案。
Web2 中常见的安全框架存在隐藏的低效率问题,尤其是在应用于去中心化生态系统时。“审计公司有很多开销。由于营销、分销和管理成本,审计代码的人可能只能看到一小部分报酬。漏洞赏金计划还会增加安全风险,因为它们依赖人工来审查漏洞信息。总有可能有人会滥用这些信息来谋取私利,尤其是对于高价值漏洞,”Hörr 解释道。
作为回应,Hats Finance提出了一种消除中介机构的解决方案,这是一种用于托管非托管漏洞赏金和审计竞赛的去中心化协议。“我们将安全专家直接与需要审计的人联系起来,”Hörr 详细介绍道。“我们的点对点系统使用激励和博弈论。系统中的钱越多,专家加入的吸引力就越大。”Hats Finance 拥有 50 多个活跃项目,包括 Safe 和 Liquity 等项目,旨在让安全更易于获得和有效。
增强开发人员和用户的 Web3 安全性
Hörr 表示,Hats Finance 方法的突出特点之一是它为用户和开发人员提供了双重优势:“最终用户不易受到攻击,而开发人员则安心地知道他们的项目是安全的,从而降低了可能破坏其声誉的黑客攻击风险。我们的解决方案使安全性更具成本效益和可实现性,让新人才能够做出贡献。”
传统漏洞赏金计划的另一个关键挑战是付款的不确定性。发现漏洞的黑客经常面临延迟或拒绝赔偿,尤其是在项目资金短缺的熊市条件下。
Cointelegraph Accelerator 参与者Hats Finance 提供了一种更符合道德的方法,其关键区别在于链上托管。“赏金保存在任何人都可以验证的智能合约中。如果项目对付款有异议,黑客可以触发去中心化的争议解决流程。如果黑客知道他们会得到公平的补偿,他们就更有可能负责任地报告漏洞,最终提高生态系统的整体安全性。”
社区驱动的漏洞赏金
传统的漏洞赏金计划将资金负担完全放在项目团队身上,这可能会限制这些计划的规模和有效性。然而,链上解决方案通过邀请社区参与提供了一种更具协作性的模式。Hörr 重点介绍了 DXdao 的案例,其中 75% 的漏洞赏金计划由社区资助,显示出对协议安全性的集体承诺。
漏洞赏金对新项目尤其有利,因为它提供的不仅仅是安全性。“你甚至可以用自己的代币进行流动性挖掘,”Hörr 补充道。这种方法允许项目既推动其协议内的活动,又可以同时建立安全预算。

“因此,你不仅可以激励协议之上的活动,还可以引导你的安全预算并奖励那些帮助识别漏洞的人。链上化可以实现DeFi 可组合性的所有这些非常有趣的方面。” Hats Finance 的链上方法使项目能够自动化安全支出,将项目收入的一部分用于审计或质押计划。
打击漏洞赏金项目中的垃圾邮件
传统漏洞赏金计划经常遇到的一个问题是,大量低质量报告被提交,以期获得报酬。Hats Finance 通过使用内置的威慑手段缓解了这个问题:提交费。
“因为我们是链上的,所以我们一直有一种有机而自然的垃圾邮件保护,”Hörr 表示。每次向平台提交报告都会产生 gas 费,因此从经济上讲,用低效报告轰炸项目是不可行的。收取的 gas 费也可以为生态系统做出贡献,因为它们会转换成 Hats (HAT) 代币,然后存入平台的金库。尽管存在这一障碍,但合法的研究人员并没有因此而放弃参与,正如 Hörr 指出的那样:“低漏洞的最低奖励通常在 800 美元左右。”
简化跨 EVM 链的去中心化审计
Hats Finance目前在七条兼容以太坊虚拟机 (EVM) 的链上运行,包括以太坊和 Arbitrum,它通过统一的界面简化了审计流程,允许研究人员浏览赏金并匿名提交报告。对于那些寻求认可的人,可选的个人资料使参与者能够展示他们的成就并攀升至排行榜。
“我们已经建立了大型社区,特别是在印度和南美。长期排名靠前的独立研究人员可以成为自由职业者。我们已经看到整个公司都由表现最出色的人组成,”Hörr 说。即使是老牌安全公司也发现在 Hats Finance 上竞争很有价值。“我们有公司在竞争,特别是在 Rust 或形式验证等高级领域。”
该平台对新技术(包括人工智能审计)的开放性使 Hats Finance 始终处于安全解决方案的前沿。“我们希望阻止低效报告,但我们不会根据提交者是个人、公司还是人工智能来限制参与,”Hörr 澄清道。
展望未来,Hats Finance 设想未来首席审计师将从社区中涌现出来。“排行榜上的佼佼者可以收费提供预审计服务,让项目在进行全面审计之前确保审计准备就绪,”Hörr 补充道。

Hats Finance 创始人还谈到了实施账户抽象的挑战:“我们现在面临的有趣问题是智能合约钱包会带来什么样的漏洞。毕竟,钱包正在从单一地址转变为智能合约的组合,其中每个元素都有潜在的攻击媒介。所以我们必须确保它们确实非常安全。”

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|来策社区 ( 闽ICP备2023019536号-4 )

GMT+8, 2024-11-23 09:32 , Processed in 0.043450 second(s), 18 queries .

Powered by 来策社区

开放中文加密货币社区

快速回复 返回顶部 返回列表