ການກວດສອບຄວາມປອດໄພແບບດັ້ງເດີມພຽງແຕ່ບໍ່ໄດ້ຕັດມັນສໍາລັບ ສັນຍາສະຫມາດ.
"ສະເຕກສູງເກີນໄປ," ເວົ້າວ່າ Sockdrawermoney, ຫນຶ່ງໃນຜູ້ປະກອບສ່ວນຈໍານວນຫຼາຍທີ່ສ້າງເວທີການກວດສອບການແບ່ງຂັ້ນຄຸ້ມຄອງທີ່ເອີ້ນວ່າ Code4rena. ໄດ້ DAO ໄດ້ບຸກເບີກຮູບແບບໃຫມ່ທີ່ອອກແບບໂດຍ Scott Lewis ແລະ Zak Cole, ບ່ອນທີ່ຜູ້ກວດສອບແຂ່ງຂັນເພື່ອຮັກສາຂໍ້ບົກພ່ອງອອກຈາກລະຫັດສົດ.
ແລະນັ້ນແມ່ນສິ່ງສຳຄັນສຳລັບສັນຍາທີ່ສະຫຼາດທີ່ໃຫ້ອຳນາດທາງດ້ານການເງິນແບບແບ່ງຂັ້ນ (Defi). ໃນຂະນະທີ່ຂໍ້ບົກພ່ອງຂອງຊອບແວທີ່ບໍ່ໄດ້ຮັບການຄົ້ນພົບອາດຈະເຮັດໃຫ້ໂຄງການຂັດຂ້ອງ, ຫຼືບັນຫາການດໍາເນີນງານອື່ນໆ, ຂໍ້ຜິດພາດຂອງສັນຍາສະຫມາດໃນ DeFi ຫຼືໂປໂຕຄອນການແລກປ່ຽນຊັບສິນສາມາດນໍາໄປສູ່ການສູນເສຍໃນທັນທີ. ຫຼາຍຮ້ອຍລ້ານໂດລາ ມູນຄ່າຂອງ tokens.
ການປ່ຽນແປງທະເລ
ນີ້ ແມ່ນ ທາງ ເທີງ ຂອງ ໃຈ ສໍາ ລັບ Opensea, ທີ່ໃຫຍ່ທີ່ສຸດຂອງໂລກ ຕະຫຼາດ NFT, ໃນຕົ້ນປີນີ້. ໃນເດືອນພຶດສະພາ, OpenSea ໄດ້ນໍາສະເຫນີອະນຸສັນຍາໃຫມ່ທີ່ເອີ້ນວ່າ Seaport ເພື່ອຈັດການທຸລະກໍາຂອງຕົນແລະຊ່ວຍຫຼຸດຜ່ອນຄ່າທໍານຽມອາຍແກັສ.
ແຜນການແມ່ນຈະຍ້າຍໄປ Seaport ຈາກອະນຸສັນຍາ Wyvern ທີ່ໄດ້ຮັບການສ້າງຕັ້ງຂຶ້ນ. ແຕ່ເນື່ອງຈາກປະລິມານການຈະລາຈອນແລະ cryptocurrency ໄຫຼຜ່ານ OpenSea—ມັນ ບັນລຸເຖິງ 10 ຕື້ໂດລາ ໃນປະລິມານທັງໝົດໃນປີກາຍນີ້— ທ່າເຮືອທະເລຈຳເປັນຕ້ອງໄດ້ຮັບການທົດສອບການສູ້ຮົບຢ່າງລະອຽດກ່ອນທີ່ຈະຕົກ.
OpenSea ໄດ້ສັນຍາກັບບໍລິສັດຄວາມປອດໄພເພື່ອດໍາເນີນການກວດສອບ Seaport. ແຕ່ສໍາລັບການເຄື່ອນໄຫວຂະຫນາດໃຫຍ່ເທົ່າກັບການເຄື່ອນຍ້າຍຂອງເວທີທັງຫມົດຂອງຕົນໄປສູ່ພິທີການຍີ່ຫໍ້ໃຫມ່, ມັນຕ້ອງການການປົກປ້ອງເພີ່ມເຕີມ.
ໂຄສົກຂອງ OpenSea ກ່າວວ່າ "ພວກເຮົາຕ້ອງການໃຫ້ຄົນຈາກພື້ນຖານທີ່ແຕກຕ່າງກັນແລະຂະບວນການຄິດເຂົ້າມາເບິ່ງສັນຍາສະຫມາດຢ່າງເປັນສ່ວນລວມ," Decrypt. "ໂດຍສະເພາະ, ພວກເຮົາຕ້ອງການທີ່ດີທີ່ສຸດຂອງນັກພັດທະນາທີ່ດີທີ່ສຸດເພື່ອເບິ່ງ Seaport - ແລະຫຼາຍໆຄົນເຫຼົ່ານັ້ນບໍ່ຈໍາເປັນຕ້ອງເຮັດວຽກສໍາລັບບໍລິສັດກວດສອບ."
ສະຕິປັນຍາຂອງຝູງຊົນ
ເຖິງແມ່ນວ່າບໍລິສັດຄວາມປອດໄພຊັ້ນນໍາສາມາດຫວ່າງພຽງແຕ່ຫນຶ່ງຫຼືສອງຜູ້ກວດສອບເພື່ອທົບທວນໂຄງການສໍາລັບຫນຶ່ງຫຼືສອງອາທິດ, ເຊິ່ງບໍ່ມີເວລາພຽງພໍຫຼືສາຍຕາພຽງພໍໃນການວິເຄາະຢ່າງລະອຽດກ່ຽວກັບສັນຍາສັນຍາສະຫມາດສໍາລັບຊ່ອງຫວ່າງທີ່ລີ້ຊ້ອນ.
Code4rena ກະຕຸ້ນຊຸມຊົນໃຫຍ່ຂອງຜູ້ກວດສອບເພື່ອລ່າຫາແມງໄມ້ທີ່ຫາຍາກທີ່ສຸດ ແລະມີມູນຄ່າສູງສຸດ, ຄືກັນກັບຜູ້ໂຈມຕີ. ແຕ່ບໍ່ຄືກັບ bug bounties, ເປົ້າຫມາຍຕົ້ນຕໍຂອງ C4 ແມ່ນເພື່ອຮັກສາແມງໄມ້ອອກຈາກລະຫັດການຜະລິດ.
ນັ້ນແມ່ນເຫດຜົນທີ່ OpenSea ຕັດສິນໃຈໃຫ້ການສະຫນັບສະຫນູນ a ການແຂ່ງຂັນສາທາລະນະສອງອາທິດ ກັບ Code4rena ເພື່ອໃຫ້ລະຫັດ Seaport ຂັດຄັ້ງທີສອງກ່ອນການເຄື່ອນຍ້າຍ. ເງິນລາງວັນແມ່ນ 1 ລ້ານໂດລາສະຫະລັດ.
ຄວາມເຂັ້ມແຂງໃນຕົວເລກ
Code4rena ແມ່ນ DAO ດໍາເນີນການໂດຍຜູ້ປະກອບສ່ວນແລະຄຸ້ມຄອງໂດຍ $ARENA ຜູ້ຖື token. ວິທີການຂອງມັນແມ່ນງ່າຍດາຍຫຼອກລວງ: ຫຼາຍແມ່ນດີກວ່າ. ຮູບແບບຂອງມັນປະກອບມີສາມນັກສະແດງຕົ້ນຕໍ: ຜູ້ສະຫນັບສະຫນູນ, wardens ແລະຜູ້ພິພາກສາ.
ຜູ້ສະໜັບສະໜຸນເຊັ່ນ OpenSea ສ້າງສະນຸກເກີລາງວັນເພື່ອດຶງດູດຜູ້ຄຸມໃຫ້ກວດສອບໂຄງການຂອງເຂົາເຈົ້າ. Wardens ຂຸດເຂົ້າໄປໃນລະຫັດແລະເປີດເຜີຍໄພຂົ່ມຂູ່ຫຼາຍເທົ່າທີ່ເປັນໄປໄດ້. ແລະຜູ້ພິພາກສາເອກະລາດ, ປົກກະຕິແລ້ວແມ່ນວິສະວະກອນຊັ້ນສູງທີ່ສຸດໃນຊຸມຊົນ C4, ກວດສອບການຄົ້ນພົບແລະມອບລາງວັນໃຫ້ຜູ້ຄຸ້ມຄອງໂດຍອີງໃສ່ການປະຕິບັດຂອງພວກເຂົາ.
(ຂັ້ນຕອນການຍື່ນສະເຫນີຂໍ້ບົກພ່ອງແມ່ນບໍ່ເປີດເຜີຍຊື່ທັງຫມົດ, ແຕ່ສໍາລັບຜູ້ສະຫນັບສະຫນູນກັບ KYC, AML ຫຼືພັນທະທາງດ້ານກົດຫມາຍອື່ນໆ, C4 ຍັງຈັດການແຂ່ງຂັນສ່ວນບຸກຄົນທີ່ເຊີນເທົ່ານັ້ນທີ່ມີຈໍານວນຜູ້ສະຫນັບສະຫນູນທີ່ໄດ້ຮັບການຢັ້ງຢືນຫນ້ອຍກວ່າທີ່ເຮັດວຽກພາຍໃຕ້ NDA.)
ຮ່ວມກັນດີກວ່າ
ຄວາມງາມຂອງການກວດສອບ C4 ສາທາລະນະແມ່ນວ່າມັນມີການແຂ່ງຂັນແລະທຸກຄົນສາມາດເຂົ້າຮ່ວມໄດ້, Sock ກ່າວ.
Wardens ດໍາເນີນການ gamut, ຈາກວິສະວະກອນຄວາມປອດໄພ hardcore ກັບນັກພັດທະນາສີຂຽວພະຍາຍາມທີ່ຈະໄດ້ຮັບປະສົບການເພີ່ມເຕີມການກວດສອບສັນຍາສະຫມາດ, ກັບປະຊາຊົນຜູ້ທີ່ໄດ້ເຮັດແລ້ວ fortune ໃນ crypto ແລະພຽງແຕ່ຕ້ອງການທີ່ຈະມີບາງແມງໄມ້ລ່າສັດມ່ວນ.
"ມັນເຮັດໃຫ້ຜູ້ພັດທະນາແລະນັກຄົ້ນຄວ້າໃຫມ່ເຂົ້າໄປໃນພື້ນທີ່ການກວດສອບໃນລະດັບໃດຫນຶ່ງ," OpenSea ບອກ. Decrypt.
ການຊອກຫາແມງໄມ້ທີ່ຫາຍາກ ຫຼືຮ້າຍແຮງຮ້າຍແຮງຈະມີລາຍໄດ້ຫຼາຍກວ່າແມງໄມ້ທົ່ວໄປທີ່ຖືກສົ່ງໂດຍຜູ້ຄຸ້ມຄອງຫຼາຍຄົນ - ແຕ່ທຸກຄົນທີ່ສົ່ງຂໍ້ບົກພ່ອງທີ່ຖືກຕ້ອງຈະໄດ້ຮັບເງິນ, ເຖິງແມ່ນວ່າແມງໄມ້ນັ້ນຈະຖືກລາຍງານແລ້ວກໍຕາມ.
ນັ້ນແຕກຕ່າງກັນຫຼາຍຈາກໂປຣແກມ bug bounty ທີ່ພຽງແຕ່ໃຫ້ລາງວັນຄົນທໍາອິດທີ່ຊອກຫາການຂູດຮີດ. ຖ້າຜູ້ອື່ນມາພົບແມງໄມ້ດຽວກັນສອງສາມນາທີຕໍ່ມາ, ເຂົາເຈົ້າໂຊກບໍ່ດີ.
ນີ້ສົ່ງເສີມຄວາມຮູ້ສຶກຂອງການແຂ່ງຂັນທີ່ມີສຸຂະພາບດີ. ເຖິງແມ່ນວ່າ wardens ໄດ້ຮັບການກະຕຸ້ນໃຫ້ຊອກຫາແມງໄມ້ທີ່ມີຄວາມຮຸນແຮງສູງກວ່າ, ພວກເຂົາເຈົ້າຍັງຈົບລົງດ້ວຍການຊອກຫາແມງໄມ້ອື່ນໆຈໍານວນຫຼາຍໃນຂະບວນການ, ແລະພວກເຂົາໄດ້ຮັບລາງວັນສໍາລັບຄວາມພະຍາຍາມຂອງເຂົາເຈົ້າ. ຜູ້ຄຸມບາງຄົນກໍ່ເຮັດວຽກຮ່ວມກັນໃນທີມສະເພາະ.
"ທ່ານສາມາດຄິດວ່າມັນເກືອບຄືກັບ esport," Sock ເວົ້າ.
ການກວດສອບ C4 ປົກກະຕິຈະເຫັນ 50 wardens ສ້າງປະມານ 400 ການຍື່ນສະເຫນີຂໍ້ບົກພ່ອງທີ່ແຕກຕ່າງກັນໃນໄລຍະຫນຶ່ງຫຼືສອງອາທິດ.
ຖ້າບໍລິສັດກວດສອບປົກກະຕິມີການກວດສອບ 1-2 ອາທິດກັບຜູ້ກວດສອບ 1-2 ຄົນ, ມັນຈະໃຫ້ຜົນລະຫວ່າງ 40 ຫາ 160 ຊົ່ວໂມງຂອງການກວດສອບລະຫັດ. ອີງຕາມການລາຍງານໂດຍສະເລ່ຍຂອງ wardens ຂອງຕົນເອງທີ່ໃຊ້ເວລາໃນການກວດສອບລະຫັດ, ການແຂ່ງຂັນ Code4rena ສ່ວນໃຫຍ່ໃນປັດຈຸບັນຈະເຫັນການທົບທວນລະຫັດຢ່າງຫນ້ອຍ 600 ຊົ່ວໂມງ, ບາງຄົນເຫັນ 1,000 ຊົ່ວໂມງຫຼືຫຼາຍກວ່ານັ້ນ.
ພົບແລະແກ້ໄຂ
ໃນລະຫວ່າງການທົບທວນຄືນຂອງ OpenSea's Seaport ອະນຸສັນຍາ, wardens C4 ເປີດເຜີຍຫຼາຍບັນຫາ ທີ່ກ່ອນຫນ້ານີ້ບໍ່ໄດ້ສັງເກດເຫັນ, ລວມທັງສອງທີ່ຜູ້ພິພາກສາ C4 ຖືວ່າມີຄວາມຮຸນແຮງສູງ. ຫນຶ່ງໃນບັນຫາເຫຼົ່ານັ້ນໄດ້ຖືກພົບເຫັນໂດຍແປດ warwards ທີ່ແຕກຕ່າງກັນແລະ / ຫຼືທີມງານ. ອີກອັນໜຶ່ງຖືກພົບເຫັນພຽງຄົນດຽວ.
ຕົວຢ່າງ, ຜູ້ທົບທວນຫຼາຍໆຄົນໄດ້ຮັບຮູ້ວ່າຄໍາສັ່ງທີ່ໄດ້ຖືກຕື່ມໃສ່ບາງສ່ວນສາມາດດໍາເນີນການໄດ້ຫຼາຍຄັ້ງ. OpenSea ແກ້ໄຂບັນຫາພາຍໃນທ່າເຮືອທ່າເຮືອໂດຍການວາງການປ້ອງກັນເພື່ອບໍ່ໃຫ້ຕົວເລກ ແລະຕົວຫານເກີນຄ່າສະເພາະໃດໜຶ່ງ.
ທ່າເຮືອ @code4rena ດຽວນີ້ການແຂ່ງຂັນໄດ້ສິ້ນສຸດລົງແລ້ວ — ຂອບໃຈອີກເທື່ອໜຶ່ງກັບບັນດານັກທົບທວນທີ່ເຂົ້າຮ່ວມ!
ບົດສະຫຼຸບການຄົ້ນພົບທີ່ກ່ຽວຂ້ອງຈະຖືກເປີດເຜີຍໃນໄວໆນີ້, ແຕ່ຂ້ອຍຢາກແບ່ງປັນການຄົ້ນພົບທີ່ສໍາຄັນບາງຢ່າງແລະແຈ້ງໃຫ້ຊາບວ່າພວກເຮົາຈະນໍາໃຊ້ Seaport v1.1 ເພື່ອແກ້ໄຂພວກມັນ.
— 0 ອາຍຸ (@z0age) ມິຖຸນາ 4, 2022
ຜູ້ກວດສອບຂອງ C4 ຍັງສັງເກດເຫັນວ່າການເຮັດໃຫ້ເກີດຄວາມຜິດພາດສະເພາະສອງຢ່າງທີ່ກ່ຽວຂ້ອງກັບການລວບລວມການສໍາເລັດຜົນຫນຶ່ງຫຼັງຈາກອີກອັນຫນຶ່ງຈະຂ້າມການກວດສອບທັງສອງ. ສະຖານະການທີ່ອາດຈະບໍ່ດີຫຼາຍໄດ້ຖືກແກ້ໄຂໂດຍການດັດແກ້ເລັກນ້ອຍຕໍ່ການກວດສອບຄວາມຜິດພາດ.
ຫຼາຍໆຂໍ້ບົກພ່ອງທີ່ລະບຸໄວ້ໃນລະຫັດໂດຍຜູ້ຄຸ້ມຄອງຂອງ Code4rena ໄດ້ຖືກພາດໂອກາດໂດຍຜູ້ອື່ນໃນລະຫວ່າງການທົບທວນແລະການກວດສອບຫຼາຍໆຄັ້ງທີ່ຜ່ານມາ.
ໃນເດືອນມິຖຸນາ, OpenSea ສາມາດ ຍ້າຍຕະຫຼາດຂອງຕົນໄປ Seaport ດ້ວຍຄວາມໝັ້ນໃຈວ່າບັນຫາໃຫຍ່ທັງໝົດໄດ້ຖືກພົບເຫັນ ແລະແກ້ໄຂໄດ້, ຜູ້ແທນ OpenSea ບອກ Decrypt.
ອະນາຄົດຂອງການເຮັດວຽກ
ແຕ່ນອກເຫນືອຈາກຄວາມໄວ, ປະສິດທິພາບແລະມູນຄ່າທີ່ການກວດສອບ C4 ສາມາດນໍາມາໃຫ້ບໍລິສັດທີ່ຊອກຫາເພື່ອຮັບປະກັນລະຫັດສັນຍາສະຫມາດຂອງພວກເຂົາ, ຮູບແບບຍັງເປັນກໍລະນີສຶກສາໃນລັກສະນະການເຮັດວຽກທີ່ມີການປ່ຽນແປງ.
Code4rena ດໍາເນີນການແຂ່ງຂັນການກວດສອບຫຼາຍໆຄັ້ງໃນທຸກໆອາທິດແລະທຸກຄົນສາມາດເຂົ້າຮ່ວມໄດ້, Christoph Michel (aka cmichel), ຫນຶ່ງໃນ wardens ຊັ້ນນໍາຂອງ C4 ກ່າວ. ນັບຕັ້ງແຕ່ເດືອນກຸມພາ 2021 ໃນເວລາທີ່ cmichel ແຂ່ງຂັນໃນການແຂ່ງຂັນ C4 ຄັ້ງທໍາອິດຂອງລາວ, ລາວໄດ້ກວດສອບພື້ນຖານລະຫັດສໍາລັບປະມານ 100 ໂຄງການແລະ ມີລາຍໄດ້ຫຼາຍກວ່າ 1 ລ້ານໂດລາສະຫະລັດ.
"ທ່ານບໍ່ຈໍາເປັນຕ້ອງຂໍອະນຸຍາດຫຼືຜ່ານການສໍາພາດວຽກ," cmichel ເວົ້າ. "ສິ່ງດຽວທີ່ນັບໄດ້ແມ່ນວິທີທີ່ທ່ານສາມາດທໍາລາຍພິທີການ."
ຄວາມຍືດຫຍຸ່ນແມ່ນຍັງດຶງດູດ.
"ຖ້າຂ້ອຍຫຍຸ້ງກັບວຽກອື່ນຫຼືຕ້ອງການພັກຜ່ອນ, ຂ້ອຍບໍ່ໄດ້ລົງແຂ່ງຂັນໃນອາທິດນັ້ນ," Cichel ເວົ້າ. "ສໍາລັບຂ້ອຍ, ນີ້ແມ່ນອະນາຄົດຂອງການເຮັດວຽກ."
ອຸປະຖໍາໂດຍ ລະຫັດ 4rena
ບົດຂຽນທີ່ອຸປະ ຖຳ ນີ້ຖືກສ້າງຂື້ນໂດຍ Decrypt Studio. ຮຽນຮູ້ເພີ່ມເຕີມ ກ່ຽວກັບການຮ່ວມມືກັບ Decrypt Studio.
ຕ້ອງການເປັນຜູ້ຊ່ຽວຊານດ້ານ crypto ບໍ? ຮັບເອົາສິ່ງທີ່ດີທີ່ສຸດຂອງການຖອດລະຫັດກົງໄປຫາກ່ອງຈົດໝາຍຂອງເຈົ້າ.
ໄດ້ຮັບຂ່າວ crypto ທີ່ໃຫຍ່ທີ່ສຸດ + ສະຫຼຸບປະຈໍາອາທິດແລະອື່ນໆອີກ!
ແຫຼ່ງຂໍ້ມູນ: https://decrypt.co/105173/like-an-esport-how-opensea-secured-its-code-with-code4renas-audit-contest