群体的智慧：社区驱动的安全性

致谢: 特别感谢来自 Code4rena 的 Sock 和 Samara LeMerle ， Hats Finance 的 Oliver Hörr ， Hexens 的 Konstantin Andriotis 以及 Runtime Verification 的 Bogdan Stanciu 进行审核和提供了极大的反馈，促进了本文的撰写。同时也非常感谢来自 ChainSecurity 的 Dominic Bruetsch 和 IOSG Ventures 的 Gökhan Er 的反馈和贡献。

安全生命周期左移：我们为何需要社区安全

如果我们将区块链生态系统视为一个超计算机程序系统，当前系统的复杂性水平远远超过五年前。基础设施的复杂性以及应用层智能合约逻辑的复杂性有了显著进展，与此同时，智能合约之间的交互变得更加频繁。区块链系统现在托管了大量的资产，这导致区块链安全社区在整个开发生命周期内对安全性的讨论增多，重要的是，大部分代码对善意和恶意行为者都是开放的。

在3433起骗局、黑客攻击和漏洞利用中损失了价值$76.98B的资产

以前，我们发布了区块链程序安全生命周期的完整图示：从程序部署前到部署后，在整个过程中有在审计前的测试、第三方审计、监控和更新审计。几乎所有的工作都是由传统安全公司完成的，但现在我们见证了一个有趣的趋势，越来越多的项目和协议愿意与社区驱动的安全平台合作，主要是因为它们希望有更多的眼球来审查它们的代码库。

智能合约的安全生命周期（来源：IOSG）

安全是攻击者与防御者之间的动态军备竞赛。正如 Bruce Schneier 所说：“安全是一个过程，而不是一种产品。它是一种看待世界的方式，必须渗透到软件开发过程的各个方面。”在几乎一切都是开源和透明的Web3世界里，像一片黑暗的森林，一个旨在长期生存的协议不可避免地需要安全性。直到现在，大部分流行的Web3产品都有一定程度的金融属性，而我们都知道，信任是金融空间中最重要的资产。用户的信任只能获得一次。

因此，我们经常提到安全左移——在开发过程中更早地检查安全问题并让其显现。在这一点上，博弈理论和基于竞赛模型的众包安全可能是这场比赛的最终保护措施 ，甚至更重要的是，它可以在整个程序生命周期中与传统安全互补，以提高整体安全水平。

市场格局与市场规模

在安全的Web2领域，中基于社区驱动的服务（如漏洞赏金或漏洞奖励计划）并不是什么新鲜事。许多大型科技公司，如Facebook、Google、Microsoft等，为其内部安全团队部署了赏金计划。2012年，第三方平台HackerOne由几名黑客创建，他们所报告的数百个漏洞被这些大公司.ignore。现在他们是Web2漏洞赏金平台市场的顶尖玩家，总共支付的赏金达到$230百万（2021年支付了$150百万），在2022年报告了65,000个漏洞，拥有100万注册用户/黑客，并且有超过1000名客户依赖他们的服务。

在Web3中，基于社区驱动的安全服务不仅有漏洞赏金，还有竞争审计。根据Hats Finance的数据，2022年，黑客在漏洞赏金和竞争审计平台上总共获得了5000万美元的报酬。平台的服务费率一般在10%到30%之间，因此粗略估计当前市场规模在500万到1500万之间，这表明了增长潜力。

另一个有趣的信号关于竞争审计平台：越来越多的客户愿意在区块链上启动协议之前直接为以社区为导向的安全解决方案付费（Code4rena已完成200+次审计，Sherlock已完成80+次审计）。

漏洞赏金平台与像Code4rena这样的竞争审计平台之间的关键区别在于它们进入开发生命周期的阶段。漏洞赏金通常发生在项目部署后，采用的是按发现支付的商业模式。 而像Code4rena和Sherlock这样的竞争审计平台通常在项目推出之前就开始工作，收取固定费用作为保证审计奖励给安全研究人员的方式。迄今为止最显著的例子是Opensea，在推出其新产品Seaport之前，选择与Code4rena建立100万美元的奖金池，而不是选择传统的安全公司。他们的理由是希望利用Code4rena社区增强模型中的成千上万的安全研究人员来审查代码，数据支持这一方法的有效性。

目前市场上有57家审计公司，前十家公司每年的收入总计超过1亿美元。在今天日益饱和的传统安全审计市场中，面对激烈的人才竞争、技术工具、商业客户、市场和品牌竞争，社区驱动的服务能否给整个安全市场带来额外价值？我相信，漏洞赏金和竞争审计平台在安全生命周期中占有独特地位，并具有巨大的市场增长潜力。

漏洞赏金与竞争审计

漏洞赏金和竞争审计在安全生命周期中占有不同的位置。漏洞赏金通常位于程序部署后的阶段，而竞争审计则在部署前的阶段，可以更好地为传统审计或双重审查做好准备，以查找其他审计无法发现的问题。

传统审计与审计竞争

尽管在客户为安全审计设定固定预算的意义上，传统方法与社区方法之间可能会有一些竞争，但我不认为审计竞争会直接取代传统审计（反之亦然），但我认为它们作为混合模型互补的潜力存在。两种方法各有优缺点。

传统审计是一个非常成熟的业务，优秀的公司或团队的强项在于其专业知识、严谨、结构、方法论，以提供全面的安全分析。但在牛市中，我们也听到了项目方的抱怨，他们不得不等待很长时间，这会显著影响他们的项目进展计划，同时审查代码的眼球数量也有限。

相比而言，竞争审计使用更为强烈的竞赛模型，注入强有力的经济激励以吸引更多的安全研究人员来审查代码，因为已有证据显示审计者越多，发现问题的数量越多。然而，必须承认的是，这种新兴的去中心化模型仍处于早期阶段，并面临实际挑战。这些挑战包括有效地组织工作、解决争议、建立公平的奖励结构以及为项目负责人的管理实施有效的治理等。这些领域需要在未来进一步完善和改进。

通过300多次安全审计，Quantstamp显示出越多的审计，发现越多的问题（来源：Quantstamp）

享受群众智慧的力量

在众包安全服务的垂直领域中，Immunefi是最知名的平台，专注于漏洞赏金。在竞争审计中，Code4rena是最有声望的平台。

如今，客户愿意为安全情报投入更高的预算

我们还可以看到一些新进入者提供基于社区驱动的安全服务，例如Hexens最近发布了其建立web3安全平台的愿景——Remedy，这也证明了顶级安全专家看到了现有安全生命周期的一些不足，并希望重塑它。同时，Spearbit最近推出了Cantina，主要用于为Web3安全服务建立高效的聚合器。

竞争审计的一些 notable players：

Code4rena（完成230+次审计）

Code4rena中有三种类型的角色：

1. Wardens审核代码。任何从硬核安全工程师到希望获得更多经验的初级开发者都可以注册为Warden，参与开放的审计竞赛。
2. Judges通常是C4社区中最优秀的工程师。他们决定发现的严重性、有效性和质量，并对Warden的表现进行评级。
3. Sponsors是项目，例如Opensea、Blur、ENS、Chainlink等，提供奖金池以吸引Warden审计其项目代码。项目还可以从一系列安全解决方案中选择，最佳匹配其需求，例如邀请制审计以增强隐私性。

Code4rena在这方面处于领先地位，结合了社区模型与具有强大安全行业背景的全职团队，通过模型和流程提高效率。Code4rena文化中最有趣的一个方面是它强调促进协作和团队合作。不同于仅奖励发现漏洞的第一人的漏洞赏金程序，Code4rena认可并补偿在竞赛中报告有效漏洞的所有安全研究人员。专注于发现独特的漏洞，Code4rena团队认为这一方法促进了贡献者之间更健康的竞争水平，激励他们挖掘对项目有价值的所有事物。此外，该平台鼓励参与者组建临时团队，使他们能够在发现漏洞的过程中共同合作。

当我们查看Code4rena完成竞赛的记录时，被黑的审计案例比例非常好（C4共运行154次竞赛，其中有4次被利用，但均与C4审计无关）。这里我们提供一个链接（https://rentry.co/audit-leaderboard），大致展示传统审计公司的记录（请注意，这些数据可能不准确）。

Sherlock（完成80+次审计）

Sherlock也有类似类型的角色（审计员、评审、赞助商）主要参与审计生命周期。此外，还有一个独特的Staker角色，可以将资金存入保险池（当前TVL $2.7m，覆盖$11.8m价值），并在固定期限内接受APY以换取使用资金的风险（最高可达50%）来支付受保护协议中的漏洞。

在Sherlock，利益分配机制稍有不同。与Code4rena相比，Sherlock有规定，Lead Senior Security Auditor和Lead Judge可以从奖金池中提取固定金额，以适当地补偿并激励专注的高级审计员。此外，还有选择和竞争负责人角色的制度。

Sherlock的另一个独特之处在于其保险服务。投资者/Stakers将USDC存入保险池，协议客户可以购买该服务。保险Stakers的收入来源将包括：来自协议客户的保费+将资金存入其他DeFi池（Aave，Compound等）所产生的利息+Sherlock代币激励。

Hats Finance（完成8次审计，31个漏洞赏金）

Hats Finance将漏洞赏金和竞争审计模型结合在一起，他们是首个将产品上链的平台。另一个使Hats与众不同的地方是他们的代币效用和解决在众包安全中常见争议的机制。

为了获得治理权利和附加效用，用户可以将其代币锁定在投票保管中。Stakers可以选择增强一个特定的Vault或将其增强力量分配到多个Vault。这种方法减少了协议费用，增加了流动性挖矿奖励，并吸引了更多的白帽黑客和流动性提供者。此外，Hats正在实施更去中心化的治理过程（可能会涉及专家委员会和去中心化法庭），以保护安全研究人员的利益。社区目前正在设计一个链上流程，允许贡献者在漏洞赏金和审计竞赛中针对委员会的决策提出质疑，以解决利益冲突的情况。

安全研究人员最看重的是什么？

在审查不同平台和与多种安全研究人员及项目创始人交流后，我们认为这些平台的主要目标是建立更健康、简化和用户友好的沟通渠道，让伦理黑客与项目之间建立联系。为了更深入了解激励因素、挑战和安全研究人员的整体收益，我基于对159名web2漏洞猎人的一项学术调查总结了以下表格。

此外，社区中的一些讨论也显示出黑客对当前平台的担忧，例如：大多数安全研究人员（甚至一些高级研究人员）优先考虑数量而非质量，目标是发现尽可能多的问题，时间限制过于短等。此外，从客户的角度来看，他们中的许多人仍然对竞争审计平台的内部运作缺乏足够的了解，例如，谁将根据什么治理流程被分配负责哪个项目，因为项目负责人（审计员和评委）对质量和生产力至关重要。

一些审计员对机制表示不满，Code4rena最终采纳了社区的反馈并做出了改进（在12.7k sloc的案例中，C4延长了时间框架）。

安全研究人员的工具？

随着LLM（大语言模型）如GPT的流行，我们听到很多人讨论是否人工智能也可以取代人类的安全审计。根据与经验丰富的安全专家的对话，他们普遍认为，GPT很难直接取代人类的专业知识。虽然语言模型可能能够检测一些低悬的果实（容易发现的问题），但更复杂的测试，如静态分析和动态分析（如形式验证），仍然需要大量人力智慧。这些更高级的方法要求专家提前定义属性、预期状态和测试域，当前阶段这些是不可能直接由AI完成的。例如，在进行形式验证时，最困难的部分是编写一个好的规范，代表关于程序执行的常规想法（即程序应该做什么）。

然而，我们也看到积极的证据表明，LLM可以提高审计过程的效率和有效性。最近一篇学术论文表明，LLM有潜力显著改善快速而全面检查智能合约潜在攻击的过程。然而，它们的性能产生的假阳性比例相当高，仍然需要人工审计员。此外，我们看到许多案例显示，安全人员正在积极探索AI和机器学习的使用。

另一个值得考虑的有趣视角是黑客和审计员之间的军备竞赛。虽然LLM工具可以为保护者提供价值，但也引发了攻击者是否也能利用这些工具的问题。目前至少低质量的漏洞报告滥用GPT已成为这些平台的头痛。

安全与人

人们往往将程序视为冷漠、机械和逻辑的事物。他们认为提升系统安全仅仅需要增强技术。然而，之前我们从经济激励和人性角度对安全问题缺乏更多考虑。在Web3的黑暗森林中，除了改善方法论、技能和工具之外，我们还需要一个健康的经济体系，以更好地激励个人在区块链程序的生命周期中贡献他们的专业知识。

目前，传统安全审计是一个非常成熟的业务，品牌声誉是该领域公司最有价值的无形资产。随着时间的推移，我们相信这些优质安全公司的影响会稳步提高（完全依赖于你提供给客户的产品质量）。然而，传统安全审计也面临着挑战，商业模式仍然 heavily relies on 人工工作，使其在短期内难以扩展，因为它们需要在希望扩大业务时平衡质量和数量（我们见证了一些公司因过快扩张而陷入困境，同时提供相对较低质量的服务，品牌价值受到负面影响）。因此，在众包安全领域，我期待这些平台需要付出更多努力，以建设更健全的结构，以应对我们上述讨论的相似问题。

社区驱动的审计平台会威胁到传统审计公司吗？我认为它们之间有一定的竞争，但它们会在互利和健康的竞争关系中共存。 从长远来看，众包安全平台应增强平台治理去中心化（因为目前依赖少数精英的民主决策），建立更好的流程、纪律和框架，持续建设一个社区，以解决未来的人力资源挑战（由于当前的熊市导致人才从审计公司转向这些社区驱动的安全平台，但我们不确定牛市回归时是否会有足够的人才能够用）。这些都是社区驱动平台将要面临的挑战，但好消息是我们已经看到客户对众包安全平台持相当积极的态度，如Opensea和L2s。

参考文献：

• 漏洞赏金和白帽黑客讨论——Devconnect 2022
• 审计：传统与社区——DeFi Security Summit 2023
• https://github.com/code-423n4/org/discussions
• 漏洞赏金计划中的生产力和活动模式：对HackerOne和Google漏洞研究的分析
• 漏洞猎人对漏洞赏金生态系统挑战和益处的看法
• 赏金万物：黑客与全球漏洞市场的形成
• 众包智能合约安全在L2扩展解决方案中的重要性

• 原文链接： medium.com/@ray_xiao/the...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～