В мире криптовалют безопасность — это не просто формальность, а настоящая необходимость. Каждый день миллионы долларов перемещаются между кошельками и протоколами, и любая маленькая дырка в коде может стоить огромных денег. Именно поэтому программы вознаграждений для белых хакеров, которые находят уязвимости, становятся критически важными для всех криптопроектов. Однако, как показало исследование компании LlamaRisk, многие крупные эмитенты стейблкоинов пока недостаточно заботятся о безопасности своих пользователей, предлагая слишком низкие выплаты тем, кто помогает выявлять ошибки в их системах.
LlamaRisk провела масштабный анализ программ вознаграждений (bug bounty) для криптоактивов, которые представлены в протоколе Aave V3 — одном из ведущих протоколов децентрализованного кредитования. Эксперты оценивали, насколько справедливо компании оплачивают работу специалистов, которые находят уязвимости в их продуктах.
Выяснилось, что у эмитентов 33 криптоактивов — общая стоимость которых составляет около $19,7 млрд — программы вознаграждений работают достаточно честно. Эти компании готовы платить исследователям за находки по справедливой шкале, привлекая квалифицированных специалистов и минимизируя риски для пользователей.
С другой стороны, десять криптоактивов, на которые приходится почти равная сумма — $19,2 млрд от всего объема активов Aave — либо вообще не имеют действующих программ вознаграждений, либо предлагают слишком маленькие выплаты. И это вызывает тревогу, учитывая, сколько средств управляется через эти активы.
Особенно ярко ситуация проявляется на примере крупнейших стейблкоинов. Компания Circle, выпускающая USDC, управляет активами на сумму примерно $70 млрд. При этом награда, которую она готова предложить за выявленную уязвимость, редко превышает $5000. Для таких крупных систем это крайне скромная сумма, которая вряд ли мотивирует опытных белых хакеров тратить часы и дни на поиск потенциально критических ошибок.
Еще более показательна ситуация с Tether (USDT) — крупнейшим стейблкоином по объему резервов, который управляет активами на сумму около $160 млрд. Награда за найденные ошибки у Tether не превышает $10 000. Для компаний с такой капитализацией это выглядит крайне скромно, особенно если учесть возможные последствия недоучтенных рисков.
LlamaRisk также назвала другие проекты, которые предлагают слишком маленькие вознаграждения: BitGo Wrapped Bitcoin, Gnosis и Ripple. При этом у таких компаний, как EtherFi, Monerium, PayPal и Agora, программы вознаграждений вовсе отсутствуют. Эксперты подчеркивают, что компании вроде Circle, Tether и Paywell, которые являются централизованными эмитентами с полным резервированием, вполне способны выделить больше средств на безопасность, что поможет минимизировать потенциальные потери.
По мнению специалистов LlamaRisk, минимальная сумма награды за обнаружение уязвимости должна составлять $50 000 и расти в зависимости от общей заблокированной стоимости активов (TVL — total value locked). Для протоколов с TVL выше $250 млн логично устанавливать выплаты более $1 млн. Такой подход не только привлечет квалифицированных специалистов по безопасности, но и повысит эффективность поиска уязвимостей, делая экосистему безопаснее для пользователей.
Эксперты также напоминают исследователям, что при работе с багами важно составлять подробный отчет о найденных ошибках, не передавать его третьим лицам и не использовать свои находки в личных целях — иначе последствия могут быть негативными не только для компаний, но и для самих хакеров.
Пример хорошей практики показывает протокол Compound Finance. В прошлом году они совместно с компанией Immunefi запустили программу вознаграждений, где за серьезные уязвимости можно было получить до $1 млн, а за мелкие баги — от $1000. Такой подход стимулирует белых хакеров активно участвовать в поиске проблем и делает весь процесс прозрачным и понятным.
Почему компании не платят больше
В новости напрямую не раскрывается, почему некоторые компании предлагают настолько низкие награды, несмотря на огромные резервы. Причины могут быть разными:
- Страх выделять крупные суммы — компании опасаются, что большие награды будут стимулировать злоупотребления или создавать финансовую нагрузку.
- Недооценка рисков — иногда разработчики просто не понимают масштаб потенциального ущерба, считая, что их система слишком надежна.
- Нехватка специалистов по безопасности — иногда внутренние команды не способны правильно оценить сложность обнаруженных багов.
- Отсутствие прозрачной политики — без четкой структуры выплат, компании просто случайно назначают низкие суммы, не учитывая рыночные стандарты.
Эксперты советуют пользователям внимательно следить за тем, как компании реагируют на угрозы безопасности. Даже если проект выглядит надежным, низкие выплаты за баги могут быть сигналом о том, что команда недостаточно серьезно относится к защите средств пользователей.
Заключение
Обеспечение безопасности в криптовалютной сфере — это постоянная работа, требующая внимания и ресурсов. Низкие выплаты за баги, особенно у крупнейших стейблкоинов, показывают, что даже самые влиятельные игроки могут недооценивать потенциальные риски. Инвесторам и пользователям стоит учитывать этот фактор при выборе платформы для хранения и перевода средств. А компаниям стоит прислушиваться к рекомендациям LlamaRisk и увеличивать вознаграждения, чтобы привлечь опытных специалистов и обезопасить свои продукты.
Добавить комментарий