Khi các cuộc tấn công được phát động nhằm vào các giao thức tài chính phi tập trung (DeFi) phổ biến ngày càng phức tạp hơn, hiệu quả của các cuộc kiểm toán từ các công ty bảo mật lớn lại bị giám sát chặt chẽ – và một số thành viên của cộng đồng DeFi đã bắt đầu xây dựng các giải pháp thay thế cây nhà lá vườn..
“Tôi nghĩ rằng bây giờ, sau tất cả các vụ tấn công mà chúng tôi đã gặp phải, về cơ bản chúng tôi hiểu rằng nếu bạn có hai lần kiểm tra, ba lần kiểm tra, điều đó không có nghĩa là bạn an toàn,” đồng sáng lập của DeFi Italy Emiliano Bonassi nói trong một cuộc phỏng vấn với Cointelegraph. “Điều này không có nghĩa là kiểm toán không có giá trị trong thời điểm này, nhưng chúng không phải là viên đạn bạc.”
Thực tế mới này là điều đã thúc đẩy Bonassi thành lập ReviewsDAO. Một diễn đàn đơn giản để kết nối các chuyên gia bảo mật và các dự án đang tìm kiếm thêm một bộ mắt, trong ba ngày kể từ khi ra mắt ReviewsDAO đã thu hút được bốn người đánh giá tình nguyện (bao gồm cả Bonassi) và đã kết hợp hai người đánh giá với một dự án.
Skin trong trò chơi đó là một trong những quy tắc ngầm của https://t.co/5y4MBhvNB7
Anon được cho phép và được bảo vệ nhưng để khuôn mặt của bạn (ảo hoặc không) thì đó là một dấu hiệu của sự tin tưởng
Tôi tham gia, dành thời gian và khuôn mặt của mình để được đánh giá https://t.co/CoVRSThymG
Đừng ngại, hãy giúp đỡ cộng đồng! pic.twitter.com/uq0KtV2pCV
– Emiliano Bonassi | emiliano.eth (@emilianobonassi) Ngày 15 tháng 2 năm 2021
Bonassi và ReviewsDAO cũng không đơn độc. Mã 423n4 là một dự án khác nhằm mục đích khởi động một phong trào bảo mật trong hệ sinh thái, tận dụng một bước ngoặt thử nghiệm, được đánh bạc về tiền thưởng lỗi. Và tương tự như vậy, Immunefi, một nền tảng tiền thưởng DeFi khác đã ra mắt vào tháng 12 năm ngoái, đang đại tu mô hình tiết lộ bảo mật bằng cách thúc đẩy cho tối đa 10% quỹ dễ bị tổn thương như một phần thưởng.
Đặc biệt, mô hình của Immunefi đã tạo nên làn sóng, thu về thành công phần thưởng trị giá 1,5 triệu đô la.
Ba dự án mới xuất hiện chỉ trong hai tháng và mỗi dự án có mô hình khuyến khích riêng – đó là nỗ lực trong toàn ngành, Stani Kulechov, người sáng lập nền tảng cho vay DeFi Aave, tin rằng sẽ là chìa khóa cho sức khỏe và an ninh của không gian trong tương lai..
“Các kiểm toán viên không ở đây để đảm bảo tính bảo mật của một giao thức, chỉ đơn thuần là họ giúp phát hiện ra điều gì đó mà bản thân nhóm không nhận thức được. Cuối cùng, đó là về đánh giá ngang hàng và chúng tôi cần tìm ra như một động lực cộng đồng để trao quyền cho nhiều chuyên gia bảo mật hơn trong không gian. “
“Không có viên đạn bạc”
Bonassi hẳn là một cái tên quen thuộc đối với bất kỳ ai theo kịp loạt chiến tích gần đây. Nhà phát triển người Ý là một trong số nửa tá tin tặc mũ trắng thường xuyên triệu tập sau khi xảy ra một cuộc tấn công nhằm nỗ lực tái tạo hoạt động khai thác và giúp các dự án vá lỗ hổng bảo mật..
Chỉ hỏi về bất kỳ người sáng lập DeFi nào về Bonassi và các đồng nghiệp của anh ấy sau khi khai thác “phòng chiến tranh”, và họ sẽ nhanh chóng hát ca ngợi.
“Cộng đồng DeFi thật may mắn khi có những người trắng như Samczsun và Emiliano. Những nỗ lực của họ […] làm cho không gian không chỉ an toàn hơn mà còn làm nổi bật câu chuyện rằng có rất nhiều người trong hệ sinh thái của chúng tôi quan tâm đến sự thành công của không gian, “Kulechov nói.
Mặc dù các kỹ năng phản hồi của whitehats được đánh giá cao, nhưng theo một số cách nào đó, ReviewsDAO đang nỗ lực để cắt giảm tần suất các dự án cần chúng.
Theo quan điểm của Bonassi, căng thẳng giữa nhu cầu của các dự án và nguồn lực hạn chế của các công ty kiểm toán đang làm suy yếu tính bảo mật của không gian Defi lớn: các kiểm toán viên luôn bận rộn, nhưng các nhóm trong cuộc đua đổi mới DeFi cần phải duy trì sự nhanh nhẹn. Mặc dù một dự án có thể muốn kiểm tra một vài thay đổi nhỏ, nhưng tính sẵn có và chi phí thường đòi hỏi một đơn đặt hàng lớn hơn, dẫn đến mã “phân khúc”.
“Vì họ không có sẵn, bạn thường chuẩn bị một loạt những thứ bạn muốn xem xét và gửi cho họ. Sự tương tác thực sự, giả sử là ‘dựa trên ảnh chụp nhanh’, thay vì có sự cộng tác liên tục, ”Bonassi nói.
Vì vậy, làm thế nào để kích hoạt các đánh giá bảo mật thường xuyên hơn đáp ứng tốt hơn nhu cầu của các dự án? Bonassi cho biết ban đầu anh ấy coi khoản tài trợ Gitcoin cho một nhóm whitehat như một giải pháp, nhưng cuối cùng xác định rằng một mô hình như vậy sẽ quá tập trung và sẽ không thể mở rộng quy mô. Không ai trong số các đồng nghiệp của anh ấy có hiểu biết sâu sắc về cách giải quyết vấn đề, vì vậy anh ấy đã chọn đơn giản.
Hướng dẫn cuối cùng về cách mở rộng quy mô tiền thưởng lỗi sẽ tăng cường DeFi và bảo mật hợp đồng thông minh, từ Giám đốc điều hành của chúng tôi @MitchellAmador:
– Hợp đồng thông minh khó bảo vệ
– Tiền thưởng lỗi là công cụ thay đổi trò chơi khuyến khích
– Nhân rộng tiền thưởng cho lỗi sẽ bảo vệ cộng đồnghttps://t.co/szvOn2JQu7
– Immunefi (@immunefi) Ngày 18 tháng 2 năm 2021
“Nếu bạn không có bất kỳ ý tưởng nào, hãy bắt đầu từ những điều cơ bản: bắt đầu một diễn đàn, giả sử như một‘ thị trường ’, nơi mọi người có thể yêu cầu đánh giá dù lớn hay nhỏ và cũng đưa ra kiến thức chuyên môn của họ.”
Bonassi lưu ý rằng anh ấy không nhắm đến việc thay thế hoàn toàn các công ty kiểm toán và kiểm toán, và thay vào đó anh ấy hình dung DAO là một tổ chức có thể giúp các dự án trẻ chuẩn bị tốt hơn cho cuộc kiểm toán bằng cách cung cấp “đánh giá liên tục” và “kiểm toán lỏng”.
Đó là mô hình mà chuyên gia bảo mật Maurelian tại OptimismPBC cho rằng sẽ để lại khoảng trống cho các công ty kiểm toán lớn, đồng thời thừa nhận rằng cần phải có các giải pháp bảo mật khác.
“IMO có giá trị thực sự đối với cuộc kiểm toán bởi một công ty chất lượng cao và không có gì khác thực sự đóng vai trò là một“ giải pháp thay thế ”, nhưng tôi cũng nghĩ rằng có vấn đề về việc phụ thuộc quá nhiều vào kiểm toán để cung cấp bảo mật,” ông nói.
Bonassi cũng tin rằng ReviewsDAO cuối cùng có thể trở thành một loại hình kiểm toán “Đại học”, nơi những người có kiến thức chuyên môn có thể phân nhánh sang các lĩnh vực khác và các nhà phát triển trẻ có thể phát triển thành các kiểm toán viên chính thức – cả hai đều nắm bắt và củng cố các nguồn lực của nhà phát triển trên DeFi.
“Mục tiêu của tôi cũng là lập bản đồ về con người và dự án – có một nơi minh bạch, nơi mọi người có thể trao đổi thông tin, giúp chúng tôi hiểu về cơ bản có bao nhiêu người, từ góc độ an ninh đủ tốt, đang hiện diện trong hệ sinh thái.”
Skin trong trò chơi
Mặc dù nó đáp ứng nhu cầu thị trường rõ ràng, Bonassi cho biết hiện tại không có kế hoạch kiếm tiền hoặc mã thông báo ReviewsDAO.
“Tôi nghĩ rằng các sáng kiến như thế này nên là hàng hóa cộng đồng,” anh ấy lập luận.
Nỗ lực này nhằm tránh các ưu đãi vốn không chỉ là chủ nghĩa lý tưởng. Bonassi cho biết các dự án kiểm toán mới này đang phát sinh bởi vì mô hình hiện tại không hoàn toàn bền vững – một mô hình mang tính “giao dịch”, nghĩa là các kiểm toán viên không có da trong trò chơi mà một đối tác tham gia đầy đủ hơn có thể có. Kết quả là toàn bộ cảnh quan DeFi (một thứ mà các kiểm toán viên có vẻ nên bảo mật) đang phải chịu đựng.
“Họ không phải là một mối quan hệ. Đó không phải là quan hệ đối tác, ”Bonassi nói.
Tuy nhiên, ngay cả hàng hóa công cũng thường có nguồn tài trợ công và đó là một câu hỏi mở liệu các nhà phát triển – những người thường làm việc quá sức khi bắt đầu – có sẵn sàng đóng góp thời gian cho cái mà Andre Cronje gọi là “Tỷ lệ Emiliano Bonassi”: không có phần thưởng nào khác ngoài sự công nhận.
Bonassi lưu ý rằng nhiều nhà sáng lập giao thức DeFi lớn đã cung cấp các khoản tài trợ, do đó, phần lớn đã bị từ chối. Anh ấy rất khó để xem liệu các nhà phát triển có sẵn sàng trả lại không gian mà họ thường cung cấp cho họ rất nhiều hay không, ngay cả khi có các lựa chọn tiềm năng sinh lợi khác.
“Những gì chúng tôi thực sự cần trong hệ sinh thái này là nhiều người hơn làm việc trên nó – giả sử, ai đó có thể ghét tôi nhưng, ít fork hơn nếu họ không gia tăng giá trị […] Tôi không muốn kết thúc trong ICO kỷ nguyên. Tôi không muốn quay lại năm 2017 ”
BÀI ĐĂNG GIỚI THIỆU.
Nếu bạn muốn tham gia, hãy tham gia vào cuộc bất hòa và cho tôi biết bạn muốn tham gia như thế nào.https://t.co/7AZSlMDKS9https://t.co/3YyPmKqs6I
– Mã 423n4 (@ code423n4) Ngày 15 tháng 2 năm 2021
Lợi nhuận sớm cho nỗ lực là đầy hứa hẹn. Phạm vi bảo hiểm / giao thức bảo hiểm Cover là dự án đầu tiên được đối chiếu với người đánh giá thông qua ReviewsDAO.
“Thật tuyệt,” Pumpkin, một nhà phát triển cốt lõi của Cover Protocol và Ruler Protocol cho biết. “Tôi là một trong số ít Emiliano chia sẻ ý tưởng ngay trước khi phát hành. Tôi yêu thích nó ngay lập tức vì nó là thứ tôi đang tìm kiếm (để nhận các đánh giá về mã bên ngoài và dễ dàng và nhanh chóng hơn) […] Tôi không chắc những gì sẽ xuất hiện từ đánh giá, nhưng diễn đàn chắc chắn đang hoạt động tốt như dự định. ”
Maurelian cũng tin rằng có hy vọng về mô hình có lẽ là lý tưởng – và nó có thể mang tính giao dịch nhiều hơn so với vẻ đỏ mặt lúc đầu.
“Bạn nhận được thứ bạn cho đi. Vì vậy, tham gia vào một dự án như thế này có lẽ là một ý tưởng hay nếu bạn đang có kế hoạch tham gia một chặng đường dài, ”anh nói.
Ngay cả khi một số nhà phát triển dành thời gian để dành thời gian cho những ưu ái trong tương lai, Emiliano vẫn kiên quyết với tầm nhìn của anh ấy rằng những nỗ lực đảm bảo hệ sinh thái phải xuất phát từ lòng vị tha và tình yêu thương.
“Đó là lý tưởng mà chúng ta nên thúc đẩy. Và vì chúng ta có rất nhiều tiền và ngành công nghiệp này cũng có rất nhiều tiền, bạn không cần tiền thưởng, bạn phải làm điều đó vì bạn yêu thích ngành này. Đây là lời kêu gọi tất cả những người muốn phát triển hệ sinh thái. “