Введение
Лучшей защитой криптовалюты от катастрофических атак являются не только код, но и стимулы. Вознаграждения за уязвимости предотвратили миллиарды долларов убытков. Важно подчеркнуть, что эти миллиарды могли бы стать эксплойтами, а не ответственными раскрытиями, если бы не были установлены правильные стимулы. Эта защита работает только тогда, когда стимулы для белых хакеров явно превышают стимулы для эксплуатации. Однако текущие рыночные тенденции наклоняют этот баланс в опасную сторону.
Стимулы и вознаграждения
Стандарт масштабирования вознаграждений за уязвимости предполагает, что размер вознаграждения должен расти с увеличением суммы капитала под риском. Если уязвимость может привести к потере 10 миллионов долларов, вознаграждение должно составлять до 1 миллиона долларов. Это создает изменяющие жизнь стимулы для исследователей безопасности раскрывать, а не эксплуатировать, и они экономически эффективны для протоколов по сравнению с разрушительными последствиями взлома. Такой подход к масштабированию защищает целые протоколы от разрушения и обеспечивает непрерывный рост финансов на блокчейне.
Проблемы с рыночной конкуренцией
Проблема в том, что рыночная конкуренция искажает эти стимулы. Некоторые платформы теперь связывают свои самые дешевые тарифные планы с ограниченными вознаграждениями за уязвимости, иногда не превышающими 50 000 долларов. Эта ценовая структура заставляет протоколы минимизировать вознаграждения и снижать затраты, создавая условия для следующего катастрофического взлома.
Недавний взлом Cork Protocol на 12 миллионов долларов является показательным примером. Протокол установил свое критическое вознаграждение за уязвимость всего в 100 000 долларов, что является лишь небольшой долей от средств под риском.
Это несоответствие создает простую экономическую задачу: зачем тратить сотни часов на поиск уязвимости, если ограниченная выплата в 120 раз ниже, чем стоимость эксплуатации? Такие расчеты не сдерживают эксплуатацию; они поощряют ее.
Критическая важность вознаграждений
Вознаграждения за уязвимости являются критически важными механизмами защиты, которые работают только тогда, когда они соответствуют риску. Когда протоколы с десятками миллионов заблокированной общей стоимости предлагают вознаграждения в низких пятизначных цифрах, они фактически ставят на то, что хакеры выберут этику, а не экономику. Это не стратегия — это надежда.
Стандарт в миллион долларов существует не просто так. Безопасность криптовалюты была сформирована через моменты в миллион долларов. MakerDAO установил вознаграждение в 10 миллионов долларов, которое сигнализировало о том, сколько стоит защита. Выплата в 10 миллионов долларов от Wormhole после критической эксплуатации закрепила прецедент, что значимая безопасность требует значимых стимулов.
Экономика вознаграждений
Этот подход к масштабированию явно сработал. Когда критические уязвимости могут повлиять на миллионы пользовательских средств, вознаграждения должны предлагать пропорциональные выплаты, обычно около 10% от капитала под риском. Эта экономика помогает обеспечить, чтобы лучшие исследователи оставались в экосистеме и были мотивированы сообщать о уязвимостях.
Однако рыночные силы создают опасные прецеденты. Гонка за захватом доли рынка привела к тому, что некоторые платформы начали конкурировать по цене, а не по результатам безопасности. Связывая сборы платформы с ограниченными вознаграждениями за уязвимости, они создают извращенную структуру стимулов; протоколы выбирают более низкие вознаграждения, чтобы минимизировать затраты, а не потому, что риск это оправдывает, а потому, что ценообразование это поощряет.
Проблемы с доверием
Более того, некоторые платформы безопасности теперь требуют эксклюзивные контракты, которые ограничивают, где исследователи могут работать. Другие позволяют переоценку после раскрытия, что подрывает доверие исследователей. Эти практики подрывают социальный контракт, который делает вознаграждения за уязвимости эффективными с самого начала.
Если квалифицированные исследователи потеряют уверенность в справедливости системы, у них есть три варианта: прекратить охоту, перейти к частным аудитам или уйти в тень.
Результат — сдерживающий эффект: протоколы ограничивают вознаграждения, чтобы сократить затраты. Исследователи отказываются, потому что выгода не стоит усилий. Критические уязвимости остаются незамеченными. Эксплойты происходят. Протоколы еще больше сокращают бюджеты на безопасность. Это спираль смерти, которая не приносит пользы никому, кроме злонамеренных акторов.
Уроки из Web2
Параллели с неудачами вознаграждений за уязвимости в Web2 вызывают беспокойство. Там хроническая недоплата и плохое обращение с исследователями привели к тому, что многие квалифицированные белые хакеры полностью покинули публичные программы. Криптовалюте нельзя позволить совершить ту же ошибку, особенно когда триллионы долларов готовятся перейти на блокчейн, и учреждения внимательно следят.
Заключение
Некоторые утверждают, что команды на ранних стадиях не могут позволить себе большие вознаграждения. Однако правда в том, что стоимость успешного взлома всегда будет превышать стоимость хорошо согласованного вознаграждения за уязвимость. Потеря средств дорого обходится. Потеря доверия фатальна.
Путь вперед требует координации в отрасли. Защита инфраструктуры безопасности криптовалюты требует признания того, что вознаграждения за уязвимости работают на доверии и стимулах. Каждая недооцененная программа ослабляет социальный контракт, который удерживает квалифицированных исследователей на правильной стороне закона.
Решение не радикально. Поддерживайте вознаграждения, которые отражают фактический риск. Обеспечьте прозрачное и справедливое обращение с исследователями. Сопротивляйтесь искушению рассматривать безопасность как центр затрат, а не как источник ценности. Критически важно, чтобы платформы прекратили поощрять протоколы недооценивать свою собственную защиту. Децентрализованная экономика работает только тогда, когда доверие масштабируется вместе с ней.
Если мы хотим, чтобы криптовалюта продолжала расти, с доверием со стороны пользователей, регуляторов и учреждений, нам нужны системы вознаграждений, которые имеют смысл, не только на бумаге, но и на практике. Криптовалюта процветает только в той мере, в какой ее защитники имеют возможность действовать.
Эта статья предназначена только для общего информирования и не является юридической или инвестиционной консультацией. Мнения, мысли и взгляды, выраженные здесь, принадлежат исключительно автору и не обязательно отражают или представляют мнения и взгляды Cointelegraph.
