Les géants des stablescoin de plusieurs milliards de dollars cercle et l’attache sont grillés par une entreprise de gestion des risques Defi sur leurs programmes de primes de bogue prétendument «inadéquats» qui ne dépassent pas 10 000 $.
Llamarisk a publié le rapport le 1er septembre, qui a évalué les programmes de primes de bogues pour les actifs cryptographiques répertoriés sur le protocole V3 d’Aave.
Il a constaté que 33 actifs, représentant 19,7 milliards de dollars de l’approvisionnement d’Aave, ont des programmes de primes de bogues «adéquats». Cependant, dix actifs représentant 19,2 milliards de dollars de l’offre d’Aave n’ont pas de programme ou sont «très insuffisants».
Llamarisk dit que Circle, malgré la gestion de 70 milliards de dollars d’actifs, a une prime de bogue «largement insuffisante» de 5 000 $. Tether, qui gère 160 milliards de dollars, Offre seulement une prime de bogue de 10 000 $.
Les autres actifs avec des primes à faible insecte incluent le bitcoin enveloppé de bitgo, la gnose et l’ondulation, tandis que Etherfi, Monerium, PayPal et Agora sont signalés comme n’ayant aucun programme de primes de bogue actif.
Llamarisk note cependant que le cercle et l’attache, ainsi que Paywell, fonctionnent tous comme des «émetteurs centralisés et à réserve complète», avec des opérations juridiques «robustes» qui compenseraient divers risques de sécurité, les primes de bug sont utilisées pour s’attaquer.
Pour qu’une prime de bogue attire des chercheurs de sécurité qualifiés, Llamarisk considère une prime minimale de 50 000 $, ce qui s’adapterait en fonction de la valeur totale verrouillée (TVL) en jeu.
« Pour les protocoles avec TVL supérieurs à 250 millions de dollars, un paiement maximal dépassant 1 million de dollars représente un programme suffisamment capitalisé », affirme Llamarisk.
Les primes de bug deviennent des «normes de l’industrie de facto»
Les primes de bogues sont offertes aux «pirates de chattes blanches» comme moyen d’inciter les pirates éthiques pour découvrir les vulnérabilités logicielles. Par exemple, Coinbase a lancé cette année un programme de primes de bogue qui visait à sécuriser ses contrats intelligents, avec des récompenses allant de 5 000 $ pour les découvertes à faible risque à 5 millions de dollars pour les découvertes critiques.
Les pirates de White Hat sont invités à créer un rapport sur le piratage, à ne pas le divulguer à un tiers et ne doivent pas l’exploiter de manière malveillante.
Dans certains cas, cependant, une prime est plutôt offerte à un «mauvais acteur» qui vole des fonds à une entreprise.
En effet, en juillet dernier, le Crypto Exchange GMX a été piraté pour 42 millions de dollars. L’échange a offert au pirate une prime de 10%, et finalement, le pirate a commencé à retourner les fonds en échange de 5 millions de dollars.
Llamarisk, qui est financé en partie par l’Aave Dao, dit qu’Aave devrait s’engager avec les actifs répertoriés sur son protocole et les encourager à mettre en œuvre un programme de primes de bug standard de l’industrie.
Il note que bien que les cadres juridiques aux États-Unis et à l’UE nécessitent des normes de sécurité robustes, les programmes de primes de bogue ne sont pas une exigence.
Cependant, en regardant vers l’avenir, Llamarisk affirme que les primes de bogue «deviennent rapidement des normes de l’industrie de facto qui recevront probablement un examen réglementaire lors des examens de licence ou des enquêtes post-incident.»
