Компанії Circle і Tether надто мало платять за пошук багів.
Компанія LlamaRisk, що надає послуги з управління ризиками у сфері децентралізованих фінансів (DeFi), розкритикувала найбільших емітентів стейблкоїнів Circle та Tether за «неадекватні» програми винагороди з виявлення багів, виплати за які не перевищують $10 000.
LlamaRisk оцінила програми винагороди для криптоактивів, представлених у протоколі Aave V3. Експерти виявили, що емітенти 33 криптоактивів, частка яких становить $19,7 млрд. від загального обсягу Aave, справедливо винагороджують білих хакерів за виявлення вразливостей. Однак розробники десяти активів, на які припадає $19,2 млрд. від загального обсягу активів Aave, або не запускають подібні програми, або недостатньо оплачують пошук помилок.
За даними LlamaRisk, компанія Circle, що випускає стейблкоини USDC, незважаючи на управління активами на суму $70 млрд, недостатньо оцінює зусилля дослідників, виплачуючи їм не більше $5000. А компанія Tether, яка випускає токени USDT, в управлінні якої знаходяться активи на суму $160 млрд, пропонує нагороду за знайдені помилки не більше ніж $10 000.
У LlamaRisk назвали й інші проекти з дрібними винагородами за виявлення багів: BitGo Wrapped Bitcoin, Gnosis та Ripple, тоді як у EtherFi, Monerium, PayPal та Agora програми винагород взагалі відсутні. Експерти зазначили, що Circle, Tether та Paywell, будучи централізованими емітентами з повним, як стверджують розробники, резервуванням, цілком здатні компенсувати потенційні ризики безпеки.
Дослідники LlamaRisk порекомендували компаніям призначати білим хакерам мінімальну нагороду $50 000, яка повинна збільшуватися в залежності від загальної заблокованої вартості активів (TVL). Для протоколів з TVL понад $250 млн, було б розумно виплачувати нагороду понад $1 млн. Це має залучити кваліфікованих фахівців з безпеки та зробити пошук уразливостей ефективнішим, заявили в LlamaRisk. Білим хакерам також рекомендується складати звіт про знайдені помилки у програмному забезпеченні, не розголошувати його третім особам та не зловживати результатами своїх досліджень.
Минулого року розробники протоколу кредитування Compound Finance у партнерстві з компанією Immunefi запустили програму винагород до $1 млн за пошук вразливостей. За виявлення дрібних багів передбачено виплати від $1000.
Источник: bits.media
