IOSG：由加密社群驱动的漏洞赏金、悬赏竞赛可行吗？

本文将详谈传统审计的不足之处和问题，以及社群驱动的漏洞悬赏和审计比赛又能有什么优势补足这些问题？前情提要：15个假白帽骇客懒得Coding用ChatGPT写漏洞报告，遭Immunefi永久封杀背景补充：跨链桥 Wormhole 支付史上最高近3亿台币抓漏奖金给1名白帽骇客

本文目录

前言

区块链作为大型的电脑系统，当前的系统复杂程度已经远远超过 5 年以前的水平，基础设施模组化程度更加精细，应用层的智慧合约逻辑越来越丰富并且合约之间的互动非常频繁，更重要的是区块链系统托管着资产数量已经非常庞大，因此最近区块链安全社群关于安全周期的讨论也多了起来情况和是 2017 年一样当人们提到安全想到的只是开发者写完合约扔给以太坊基金会的朋友看一眼做一些基本的测试大有不同。

在整个区块链程式的安全生命周期中从测试、邀请第三方审计再到事后监测、更新审计，漏洞赏金社群像是一个安全垫通过博弈论、丛集工作的方式吸引白帽们对专案方的程式码进行最后一次审查，也有智慧合约安全工作者觉得漏洞赏金更像是防线上的最后一人，但是我觉得漏洞赏金和审计比赛未来有潜力发挥更大的价值，充当一个贯穿整个安全生命周期角色提升系统整体的安全性。

当然在传统网路安全领域也有漏洞赏金专案Bug Bounty or Vulnerabilty Rewards)，首先各大科技公司像 Facebook、Google、Microsoft 等会针对他们自己的 inhouse 安全团队和自己公司的产品线部署 bounty program，其次从 2015 年左右开始出现了以 HackerOne 和 Bugcrowd 为代表的漏洞赏金第三方平台，目前这两家领先的安全公司依靠发放 bounty 抽取提成作为主营收入年收入分别可以达到将近 5000 万美金和 2000 万美金。

而在区块链世界里赏金是一个安全圈经常讨论的更有意思的话题，主要原因是区块链程式码开源其实让骇客攻击和提升攻击策略的成本更加低廉，再加上 crypto 世界非常提倡丛集工作，创作者和所有权经济开放性贡献模式，这一切让一个更开放的白帽经济模式更加有价值。

什么是漏洞悬赏和审计比赛？我们为什么需要它们？

安全是一个攻击方和防守方动态博弈的过程，就像电脑保安专家和密码学家 Bruce Schneier 所说的安全是一个过程，而非一个产品。它是一种思维方式，必须贯穿软体开发过程的方方面面。在区块链世界这个一切程式码都开源、透明的黑暗森林里，一个想长期生存的区块链专案方对自己产品 / 合约的安全性必然有着永恒的需求，大部分的区块链产品都或多或少有金融属性，金融中最重要的资产就是信任，而使用者的信任只有一次。

那传统审计的不足之处和问题在哪呢？社群驱动的漏洞悬赏和审计比赛又能有什么优势补足这些问题？

使用审计服务的开发人员经常发现：

哪怕购买了第三方审计公司的服务，程式码经过了审计还是出现了问题，虽然这些问题原因各不相同技术的非技术的，但最终说明依赖于一家审计公司似乎也并不完全靠谱，程式码审计质量还是取决于审计者的水平，而客户往往对谁更好缺乏辨别能力。

而赏金平台和审计竞赛作为一个更开放的沙盒，专案程式码可以让白帽们随意审查，背景不限有可能有来自于专业审计公司的人员，有可能是自由职业的安全分析者，武器库不限，客户要做的只是设定合理的奖金，在白帽找到问题的时候支付他们的贡献。

通常客户会先提交他们需要被白帽审查程式码，定义漏洞的安全等级通常与可能造成的经济损失相关，越容易直接导致经济损失的漏洞严重等级越高、赏金的预算、测试的程式码范围甚至测试步骤。

市场规模有多大？

赏金平台和审计竞赛的商业模式通常是从客户支付的赏金中或者设定的总奖金池子中抽取一部分比例作为平台的服务费。对程式码安全审计有需求的客户专案方会根据自身需求哪些程式码需要被审计覆盖、如何定义漏洞严重等级以及愿意支付多少赏金在赏金平台上公布自己的计划，而白帽们会根据专案方的需求寻找漏洞，一旦漏洞被白帽找出并且满足专案方的需求，赏金就会被发放给白帽们，而赏金平台则会从中抽成作为服务费。

在 Web2 传统网路安全领域，漏洞赏金平台也是一个比较年轻的方向2012 之后出现，目前最大的漏洞赏金平台是 HackerOne 和 Bugcrowd。2022 年，HackerOne 的年收入达到了 5800 万美金，公司估值达到 5 亿美金左右，历史累计支付赏金 23 亿美金20212022 年两年支付赏金 15 亿美金，发现超过 65000 个软体漏洞，拥有注册骇客数量超过 100 万，每月使用 HackerOne 服务的客户数量超过 1000 家。而其竞争对手 Bugcrowd 则在 2022 年收入超过 2000 万美金。

在 Web3 安全领域，2022 年所有的 Web3 漏洞赏金和审计竞赛平台总共发放了 5000 万美金的赏金给白帽骇客，而这类平台平均的收费水平在 1030 左右，因此保守估计目前的市场规模在 5m15m 左右，还是一个非常新兴的市场。

另一个有意思的事情是有越来越多的客户愿意直接使用这种去中心化安全社群提供的程式码审计服务，最有名的例子就是 Opensea 在推出他们的新平台 Seaport 之前并没有像往常直接找第三方审计公司，而是选择了目前最大的去中心化审计竞赛平台 Code4Rena 并设定了 100 万美金的奖金池，在传统安全审计市场日益内卷的今天卷人力资源、卷技术工具、卷市场 BD，去中心化的安全服务会不会是这个市场的重要增量呢？目前市面有 56 家审计公司，顶级的公司过去年收入在 1000 万美金4000 万美金，我觉得去中心化安全市场的想象空间非常大。