Le concours d'examen de sécurité offrira une prime de 1,2 million de dollars
- Blast et Spearbit organisent un concours d'examen de sécurité avec une prime de 1,2 million de dollars.
- Le concours utilisera Cantina, le marché ouvert de Spearbit, pour faciliter et gérer le défi.
- Les compétitions d'examen de sécurité offrent une perspective différente par rapport aux audits traditionnels mais comportent des risques supplémentaires.
Blast, un prochain roll-up optimiste d'Ethereum, devrait collaborer avec Spearbit, une société leader dans la recherche sur la sécurité Web3, pour proposer un concours d'examen de la sécurité avec un pool de primes de 1,2 million de dollars. Le concours utilisera Cantina, le marché ouvert de Spearbit pour les auditeurs de sécurité, pour faciliter et gérer le défi. Il s’agira de l’une des récompenses les plus importantes offertes dans le cadre d’un concours d’examen de sécurité conçu pour attirer des auditeurs de sécurité solo. Le précédent plus grand pool de primes a vu 1,1 million de dollars distribués aux participants, l'un des concurrents ayant remporté plus de 500 000 dollars de récompenses.
Harikrishnan Mulackal, co-fondateur de Spearbit Labs et ancien ingénieur compilateur à la Fondation Ethereum, a déclaré à Blockworks dans une interview que n'importe qui dans le monde peut « avoir une part du gâteau » en participant à ce concours en lisant le code et en soumettant des bugs.
Lire la suite : Prime de 20 BTC de la Human Rights Foundation à gagner pour améliorer le réseau Bitcoin
Mulackal note que la sécurité elle-même est un processus extrêmement complexe, et chaque couche tente de détecter une certaine classe de bogues.
« Ces compétitions sont l'une des dernières couches de ce processus d'examen de la sécurité avant le lancement sur le réseau principal », a déclaré Mulackal.
Avant les concours d'examen de la sécurité, les entreprises s'appuyaient largement sur des sociétés de cybersécurité centralisées pour auditer leur code et leurs systèmes, et des opinions contradictoires sont apparues sur les meilleures solutions pour examiner les contrats intelligents, Alex Beregszaszi, co-fondateur de Spearbit Labs et responsable de la recherche à l'Ethereum. L'équipe Ipsilon de la Fondation a déclaré à Blockworks.
« Un certain nombre de plates-formes organisant des concours pensent que c'est le meilleur moyen d'obtenir une couverture médiatique pour la recherche de bogues, car cela peut attirer de nombreuses personnes différentes et vous trouverez probablement tous les types de bugs. [bug]», a déclaré Beregszaszi. « D'un autre côté, il y a une thèse émanant de sociétés d'audit dites traditionnelles, selon lesquelles la meilleure façon d'auditer le code est d'avoir des personnes formées qui l'examinent chaque semaine avec différents clients. »
David Schwed, directeur de l'exploitation de la société de sécurité Web3 Halborn, estime que ces deux approches ont leurs mérites et sont recommandées dans une stratégie d'examen globale.
Il note que lorsque des cabinets d'audit de sécurité sont engagés pour auditer des contrats intelligents, le processus implique souvent des ingénieurs dédiés qui passent beaucoup de temps à analyser le code et à développer des cas de test pour découvrir d'éventuels problèmes inconnus.
« Le principal avantage de cette méthode est la profondeur de l’analyse, qui est approfondie et systématique. Cependant, cette approche limite l'examen à un moment donné et à une base de code spécifique », a déclaré Schwed.
Au contraire, les bug bounties peuvent offrir une perspective différente, étant souvent capables d’atteindre des personnes hautement qualifiées qu’une équipe dédiée pourrait négliger.
Lire la suite : LayerZero et Immunefi offrent une prime aux bugs avec un paiement maximum de 15 millions de dollars
« Un avantage significatif est la possibilité que de nombreux regards soient tournés vers le projet, ce qui augmente les chances de trouver divers types de vulnérabilités. Cependant, un inconvénient notable est le manque de garantie que les individus recherchent activement les vulnérabilités ou que toutes les vulnérabilités potentielles seront identifiées », a-t-il déclaré.
Schwed ajoute qu'il existe également un risque supplémentaire lorsque les participants exploitent les vulnérabilités trouvées à des fins personnelles au lieu de les signaler.
Spencer Macdonald, co-fondateur de Spearbit et conseiller de la Foundation for American Innovation, a souligné l'importance d'une sécurité solide dans l'industrie de la blockchain. Il a souligné que, comme la finance traditionnelle, l’espace Web3 exige une stratégie de défense globale pour une surveillance efficace des contrats et protocoles intelligents.
« Vous ne pouvez pas simplement obtenir un audit et en finir avec cela, vous devez surveiller en permanence votre protocole. Ensuite, au fur et à mesure que vous itérez, vous devez continuellement essayer de vous améliorer et de renforcer votre surface d’attaque », a déclaré Macdonald.
en faire un suffit… il y a ce cycle perpétuel de nouveaux bugs découverts et de protocoles devenant plus sûrs au fil du temps. »
