サークルとテザーバグバウンティは十分ではありません

数十億ドルのStablecoin Giants CircleとTetherは、10,000ドルを超えない「不十分な」バグバウンティプログラムについて、Defiリスク管理会社によって焼かれています。

Llamariskは9月1日にレポートを公開しました。これは、AaveのV3プロトコルにリストされている暗号資産のバグバウンティプログラムを評価しました。

197億ドルのAaveの供給を構成する33の資産には、「適切な」バグバウンティプログラムがあることがわかりました。ただし、192億ドルのAaveの供給を表す10の資産には、プログラムがないか、「非常に不十分」です。

Llamariskは、700億ドルの資産を管理しているにもかかわらず、Circleには5,000ドルの「非常に不十分な」バグ賞金があると言います。 1,600億ドルを管理するテザー、 10,000ドルのバグバウンティのみを提供します。

バグの賞金が低い他の資産には、ビットゴラップされたビットコイン、グノーシス、リップルが含まれますが、Etherfi、Monerium、PayPal、およびAgoraは、アクティブなバグバウンティプログラムがまったくないとフラグがあります。

しかし、Llamariskは、Paywellと同様に、サークルとテザーの両方がすべて「集中型のフルリュエート発行者」として動作し、さまざまなセキュリティリスクを相殺する「堅牢な」法的操作で、バグバウンティが取り付けられるように使用されることに注意しています。

バグの賞金が熟練したセキュリティ研究者を引き付けるために、Llamariskは最低50,000ドルの報奨金を考慮します。

「TVLが2億5,000万ドルを超えるプロトコルの場合、100万ドルを超える最大支払いは十分に資本化されたプログラムを表しています」とLlamariskは主張しています。

バグバウンティは「事実上の業界の基準」になりつつあります

バグバウンティは、ソフトウェアの脆弱性を明らかにするために倫理的なハッカーを奨励する手段として、「ホワイトハットハッカー」に提供されます。たとえば、Coinbaseは今年、スマートコントラクトを確保することを目的としたバグバウンティプログラムを開始しました。 低リスクの発見は500万ドルに500万ドルになり、重要な発見が500万ドルになります。

ホワイトハットハッカーは、ハックに関するレポートを作成するよう求められ、それを第三者に開示するのではなく、悪意のある方法で悪用してはなりません。

ただし、場合によっては、代わりに、会社から資金を盗む「悪い俳優」に賞金が提供されます。

実際、昨年7月、Crypto Exchange GMXは4,200万ドルでハッキングされました。交換はハッカーに10％の賞金を提供し、最終的にはハッカーは500万ドルと引き換えに資金を返し始めました。

Aave Daoによって部分的に資金提供されているLlamariskは、Aaveはそのプロトコルにリストされている資産に関与し、業界標準のバグバウンティプログラムを実装することを奨励すべきだと言います。

米国とEUの法的枠組みには堅牢なセキュリティ基準が必要であるが、バグバウンティプログラムは要件ではないことに注意してください。

しかし、将来に目を向けると、Llamariskはバグの報奨金が「ライセンスレビューまたはインテリア後の調査中に規制の精査を受ける可能性が高い事実上の業界標準に急速になりつつあると主張しています。