什么是漏洞悬赏和审计比赛?我们为什么需要它们？

那传统审计的不足之处和问题在哪呢？社区驱动的漏洞悬赏和审计比赛又能有什么优势补足这些问题？

通常客户会先提交他们需要被白帽审查代码，定义漏洞的安全等级（通常与可能造成的经济损失相关，越容易直接导致经济损失的漏洞严重等级越高）、赏金的预算、测试的代码范围甚至测试步骤。

市场规模有多大?

漏洞赏金平台 vs 审计竞赛平台

专注于审计竞赛的项目

Code4Rena - 一家类似电子竞技的社区驱动审计竞赛平台

Code4Rena有三种角色类型：

1. 审计员（Wardens）查审代码。从专业的安全工程师到试图获得更多经验的新手开发人员，任何人都可以注册成为审计员参加公开审的计竞赛。

2. 评委（Judges）通常是C4社区中最优秀的工程师。他们决定漏洞的严重程度、有效性和质量，并评估审计的员表现。

3. 赞助商（Sponsors）是项目方，如Opensea、Blur、ENS、Chainlink等，他们创建奖金池以吸引审计员审计他们项目的代码。赞助商还可以选择举办限仅邀请的私人竞赛以提高隐私性。

Sherlock - 有智能合约保险保障的社区驱动审计

如何构建黑客社区？Web3 白帽们最关心的是什么？

Source: 《Bug Hunters’ Perspectives on the Challenges and Benefits of the Bug Bounty Ecosystem》

除了一些常见的需求外，在Immunefi白帽社区（我看到最热闹的白帽discord社区）我还看到了一些有意思的话题。

哪些工具可以为白帽们提供帮助?

随着 LLMs GPT的大火，我最近频繁听到人们在讨论安全审计是否也能被AI替代这类话题。我聊过的经验丰富安全从业者普遍认为GPT很难直接取代人的智慧，一些低 hanging fruit（易于发现的问题）可能可以被语言模型检测出来，但是那些中高风险的问题仍然需要专家参与。比如据一位资深的安全专家反馈，对于类似数据分析, 动态分析这些更复杂测试需要人为提前具体结合协议实际业务逻辑进行安全分析测试并提前定义测试预期目标属性，最困难的部分是编写良好的属性和定义正确的测试领域。根据他们对GPT的实验，他们认为GPT在目前阶段做不到这一点完全替代人类。

https://twitter.com/HatforceSec/status/1671758690808913922

https://www.researchgate.net/publication/371758506_Do_you_still_need_a_manual_smart_contract_audit。

安全以人为本