
Trí tuệ tập thể trong lĩnh vực an ninh – Thị trường tiền thưởng và kiểm toán do cộng đồng dẫn dắt
Tuyển chọn TechFlowTuyển chọn TechFlow

Trí tuệ tập thể trong lĩnh vực an ninh – Thị trường tiền thưởng và kiểm toán do cộng đồng dẫn dắt
Là gì và tại sao chúng ta cần chương trình thưởng lỗ hổng và cuộc thi kiểm toán?
Tác giả: Ray, IOSG Ventures
Lời mở đầu
Blockchain như một hệ thống máy tính lớn, hiện tại mức độ phức tạp của hệ thống đã vượt xa so với 5 năm trước, các module cơ sở hạ tầng được mô-đun hóa chi tiết hơn, logic hợp đồng thông minh ở lớp ứng dụng ngày càng phong phú và sự tương tác giữa các hợp đồng diễn ra rất thường xuyên. Quan trọng hơn, hệ thống blockchain hiện đang quản lý một lượng tài sản khổng lồ. Do đó, gần đây cộng đồng an ninh blockchain cũng bắt đầu thảo luận nhiều hơn về chu kỳ an toàn (khác hẳn với năm 2017 khi mọi người nghĩ đến an ninh chỉ là việc nhà phát triển viết xong hợp đồng rồi gửi cho bạn bè tại Ethereum Foundation kiểm tra qua loa và thực hiện một vài bài kiểm thử cơ bản).

Trong suốt vòng đời an ninh của chương trình blockchain (từ kiểm thử, mời kiểm toán bên thứ ba, đến giám sát sau sự cố và cập nhật kiểm toán), cộng đồng thưởng lỗi hoạt động như một tấm đệm an toàn, thu hút các white hat dựa trên lý thuyết trò chơi và phương pháp làm việc theo nhóm để rà soát mã nguồn lần cuối cùng cho các dự án. Một số chuyên gia an ninh hợp đồng thông minh cho rằng chương trình thưởng lỗi giống như người phòng thủ cuối cùng trên tuyến. Tuy nhiên, tôi cho rằng chương trình thưởng lỗi và cuộc thi kiểm toán trong tương lai có tiềm năng đóng vai trò lớn hơn, trở thành yếu tố xuyên suốt toàn bộ vòng đời an ninh, nâng cao tổng thể mức độ an toàn của hệ thống.
Tất nhiên, trong lĩnh vực an ninh mạng truyền thống cũng có các chương trình thưởng lỗi (Bug Bounty hoặc Vulnerability Rewards). Trước tiên, các công ty công nghệ lớn như Facebook, Google, Microsoft sẽ triển khai chương trình thưởng dành riêng cho đội ngũ an ninh nội bộ và dòng sản phẩm của họ. Tiếp đó, từ khoảng năm 2015, xuất hiện các nền tảng bên thứ ba như HackerOne và Bugcrowd đại diện cho thị trường thưởng lỗi. Hiện nay hai công ty an ninh hàng đầu này đều kiếm được doanh thu hàng năm lên tới gần 50 triệu USD và 20 triệu USD thông qua việc trích hoa hồng từ các khoản thưởng. Trong thế giới blockchain, phần thưởng lỗi là chủ đề thú vị thường xuyên được bàn luận trong cộng đồng an ninh, nguyên nhân chính là mã nguồn blockchain mở giúp giảm đáng kể chi phí tấn công và cải thiện chiến lược tấn công. Thêm vào đó, thế giới crypto rất đề cao mô hình đóng góp mở, kinh tế sáng tạo và quyền sở hữu, tất cả những điều này khiến mô hình kinh tế white hat mở rộng trở nên có giá trị hơn.
Thưởng lỗi và cuộc thi kiểm toán là gì? Vì sao chúng ta cần chúng?
An ninh là quá trình đấu tranh động giữa bên tấn công và bên phòng thủ, như chuyên gia an ninh máy tính và nhà mật mã học Bruce Schneier từng nói: “An ninh là một quá trình chứ không phải một sản phẩm. Đó là một tư duy, phải thấm nhuần vào mọi khía cạnh của quy trình phát triển phần mềm.” Trong thế giới blockchain – khu rừng tối nơi mọi mã nguồn đều mở và minh bạch – bất kỳ dự án nào muốn tồn tại lâu dài chắc chắn luôn có nhu cầu vĩnh cửu về độ an toàn sản phẩm/hợp đồng. Hầu hết các sản phẩm blockchain đều mang tính chất tài chính ít nhiều, và tài sản quan trọng nhất trong tài chính chính là niềm tin – mà niềm tin của người dùng chỉ có một lần.
Vậy điểm yếu và vấn đề của kiểm toán truyền thống nằm ở đâu? Cộng đồng thưởng lỗi và cuộc thi kiểm toán do cộng đồng dẫn dắt có thể bổ sung ưu thế gì để khắc phục những vấn đề này?

Các nhà phát triển sử dụng dịch vụ kiểm toán thường nhận thấy:
-
Ngay cả khi đã mua dịch vụ từ công ty kiểm toán bên thứ ba, mã nguồn sau kiểm toán vẫn xảy ra sự cố. Dù nguyên nhân mỗi lỗi khác nhau (kỹ thuật hay phi kỹ thuật), nhưng cuối cùng điều này chứng tỏ việc phụ thuộc vào một công ty kiểm toán dường như không hoàn toàn đáng tin cậy. Chất lượng kiểm toán vẫn phụ thuộc vào trình độ của người kiểm toán, trong khi khách hàng thường thiếu khả năng phân biệt "ai tốt hơn".
-
Mặt khác, nền tảng thưởng lỗi và cuộc thi kiểm toán như một “sandbox” mở hơn, mã nguồn dự án có thể để các white hat tự do kiểm tra, không giới hạn bối cảnh (có thể là nhân viên từ công ty kiểm toán chuyên nghiệp hoặc các nhà phân tích an ninh tự do) và không giới hạn công cụ. Việc khách hàng cần làm chỉ là thiết lập phần thưởng hợp lý và chi trả cho đóng góp khi white hat tìm ra lỗi.
-
Thông thường khách hàng sẽ gửi mã nguồn cần được kiểm tra bởi white hat, định nghĩa cấp độ nghiêm trọng của lỗi (thường liên quan đến thiệt hại kinh tế có thể gây ra – lỗi dễ dẫn trực tiếp đến tổn thất tài chính thì mức độ nghiêm trọng càng cao), ngân sách thưởng, phạm vi mã cần kiểm tra thậm chí cả bước kiểm thử.
Quy mô thị trường lớn đến đâu?

Mô hình kinh doanh của nền tảng thưởng lỗi và cuộc thi kiểm toán thường là trích một tỷ lệ nhất định từ phần thưởng mà khách hàng chi trả hoặc từ tổng quỹ thưởng đặt ra làm phí dịch vụ nền tảng. Khách hàng (các dự án) có nhu cầu kiểm toán an ninh mã nguồn sẽ công bố kế hoạch trên nền tảng thưởng lỗi theo nhu cầu của mình (mã nào cần kiểm toán, cách định nghĩa cấp độ lỗi, sẵn sàng chi bao nhiêu tiền thưởng). Các white hat sẽ tìm kiếm lỗi theo yêu cầu dự án, khi phát hiện lỗi thỏa mãn điều kiện, phần thưởng sẽ được trao, và nền tảng sẽ trích một phần làm phí dịch vụ.
Trong lĩnh vực an ninh mạng Web2 truyền thống, nền tảng thưởng lỗi cũng là hướng đi khá non trẻ (xuất hiện từ 2012), hiện nay nền tảng lớn nhất là HackerOne và Bugcrowd. Năm 2022, HackerOne đạt doanh thu 58 triệu USD, định giá công ty khoảng 500 triệu USD, tổng cộng đã chi 230 triệu USD tiền thưởng (chi 150 triệu USD trong 2 năm 2021-2022), phát hiện hơn 65.000 lỗi phần mềm, sở hữu hơn 1 triệu hacker đăng ký, hàng tháng có hơn 1.000 khách hàng sử dụng dịch vụ. Đối thủ cạnh tranh Bugcrowd đạt doanh thu hơn 20 triệu USD năm 2022.
Trong lĩnh vực an ninh Web3, năm 2022 tất cả các nền tảng thưởng lỗi và cuộc thi kiểm toán web3 đã chi tổng cộng 50 triệu USD tiền thưởng cho các hacker white hat. Mức phí trung bình của các nền tảng này rơi vào khoảng 10%-30%, do đó ước tính khiêm tốn quy mô thị trường hiện tại vào khoảng 5-15 triệu USD, vẫn còn là một thị trường rất mới mẻ.
Một điều thú vị khác là ngày càng nhiều khách hàng sẵn sàng trực tiếp sử dụng dịch vụ kiểm toán mã nguồn do cộng đồng an ninh phi tập trung cung cấp. Ví dụ nổi bật nhất là Opensea khi ra mắt nền tảng mới Seaport đã không tìm đến công ty kiểm toán bên thứ ba như thông thường, mà chọn nền tảng cuộc thi kiểm toán phi tập trung lớn nhất hiện nay là Code4Rena và thiết lập quỹ thưởng 1 triệu USD. Trong bối cảnh thị trường kiểm toán truyền thống ngày càng cạnh tranh gay gắt (chạy đua nhân lực, công cụ kỹ thuật, phát triển thị trường), liệu dịch vụ an ninh phi tập trung có thể trở thành yếu tố tăng trưởng quan trọng cho thị trường này? (Hiện nay có 56 công ty kiểm toán, các công ty đầu ngành có doanh thu hàng năm từ 10-40 triệu USD. Tôi cho rằng tiềm năng thị trường an ninh phi tập trung là rất lớn).
Nền tảng thưởng lỗi vs Nền tảng cuộc thi kiểm toán
Mặc dù nền tảng thưởng lỗi trong Web2 đã phát triển khoảng 10 năm, nhưng nền tảng cuộc thi kiểm toán lại là một hiện tượng mới đặc trưng của Web3. Dịch vụ của nền tảng cuộc thi kiểm toán hướng đến các dự án sắp ra mắt sản phẩm hoặc thêm chức năng mới, tận dụng sức mạnh cộng đồng phi tập trung để hoàn thành dịch vụ kiểm toán trong thời gian nhất định (trên 2 tuần). Từ góc độ này, cuộc thi kiểm toán sẽ tạo ra mối đe dọa thương mại đáng kể đối với các công ty kiểm toán truyền thống.
Dưới đây tôi phân tích sự khác biệt giữa hai loại nền tảng này qua ba khía cạnh: hình thức tham gia, cấu trúc thưởng, phạm vi kiểm tra.
Hình thức tham gia
Nền tảng thưởng lỗi (như Immunefi) thường là dự án mở, bất kỳ ai cũng có thể tham gia bất cứ lúc nào. Người tham gia thường tự khám phá và báo cáo lỗi để nhận thưởng. Nếu hai người phát hiện cùng một lỗi trùng lặp, nguyên tắc "ai trước được trước" sẽ áp dụng, người nộp báo cáo trước sẽ nhận thưởng.
Nền tảng cuộc thi kiểm toán do cộng đồng dẫn dắt (ví dụ Code4rena, Sherlock) thường có giới hạn thời gian, người tham gia cạnh tranh trong khoảng thời gian nhất định để tìm và báo cáo lỗi. So với nền tảng thưởng lỗi, ở đây có một phần hợp tác nhóm (ví dụ mỗi dự án sẽ phân công rõ ràng vai trò Trưởng nhóm Kiểm toán Cấp cao và Trưởng ban Giám khảo để tổng hợp, rà soát và nộp báo cáo kiểm toán cho khách hàng; hai vị trí lãnh đạo này cũng được lựa chọn theo nguyên tắc bầu cử cộng đồng và cạnh tranh trong cuộc thi). Ngoài ra, nếu hai người tham gia phát hiện cùng một lỗi trong thời gian quy định, cả hai đều có thể nhận thưởng.
Cấu trúc thưởng
Việc phát thưởng thực tế của cả hai nền tảng đều chủ yếu dựa trên mức độ nghiêm trọng của lỗi được phát hiện.
Điểm khác biệt duy nhất là các nền tảng cuộc thi kiểm toán do cộng đồng dẫn dắt như Code4Rena sẽ phân bổ cố định một phần (5%-10%) quỹ thưởng cho Trưởng nhóm Kiểm toán Cấp cao và Trưởng ban Giám khảo vì họ thực tế đảm nhiệm vai trò người phụ trách dự án như ở các công ty kiểm toán truyền thống.
Một điểm thú vị khác là trên nền tảng thưởng lỗi, đôi khi các dự án dùng token dự án làm phần thưởng, tuy nhiên tôi cũng thấy trong cộng đồng có những white hat thích nhận USDC, USDT (stablecoin) hơn là token dự án có biến động giá.
Phạm vi và trọng tâm
Dự án trên nền tảng thưởng lỗi thường có phạm vi rộng, trong khi dự án trên cuộc thi kiểm toán thường có phạm vi tập trung hơn, hướng đến chức năng hoặc khía cạnh cụ thể của phần mềm, đồng thời yêu cầu white hat tập trung hoàn thành công việc trong thời gian ngắn.

Các dự án tập trung vào cuộc thi kiểm toán
Code4Rena - Một nền tảng cuộc thi kiểm toán do cộng đồng dẫn dắt, kiểu esports
Code4Rena có ba vai trò:
1. Kiểm toán viên (Wardens): rà soát mã nguồn. Bất kỳ ai, từ kỹ sư an ninh chuyên nghiệp đến nhà phát triển mới muốn tích lũy kinh nghiệm, đều có thể đăng ký làm kiểm toán viên tham gia cuộc thi công khai.
2. Giám khảo (Judges): thường là những kỹ sư giỏi nhất trong cộng đồng C4. Họ quyết định mức độ nghiêm trọng, tính hợp lệ và chất lượng của lỗi, đồng thời đánh giá hiệu suất của kiểm toán viên.
3. Nhà tài trợ (Sponsors): là các dự án như Opensea, Blur, ENS, Chainlink... tạo quỹ thưởng nhằm thu hút kiểm toán viên rà soát mã nguồn dự án của họ. Nhà tài trợ cũng có thể chọn tổ chức cuộc thi riêng (chỉ mời) để tăng tính bảo mật.
Điều thú vị nhất là văn hóa mà Code4Rena đang xây dựng: khuyến khích hợp tác và làm việc nhóm. Khác với các chương trình thưởng lỗi truyền thống, Code4Rena trả thưởng cho tất cả kiểm toán viên báo cáo lỗi hợp lệ, ngay cả khi lỗi đó đã được báo cáo. Phương pháp này khuyến khích cạnh tranh lành mạnh giữa các kiểm toán viên vì họ có động lực tìm kiếm những lỗi nghiêm trọng và phổ biến. Trên nền tảng này, một số kiểm toán viên còn hình thành nhóm tạm thời để cùng tìm lỗi.
Mô hình kinh doanh:
Bất kỳ dự án nào cũng có thể khởi động chương trình cuộc thi kiểm toán trên Code4rena và thiết lập quỹ thưởng cơ sở bằng USDC hoặc ETH (quy mô quỹ thường từ $40,000 đến $100,000). Code4rena sẽ trích 20% từ quỹ cơ sở này làm doanh thu dịch vụ cho việc tổ chức cuộc thi, cung cấp giám khảo, tổng hợp và nộp báo cáo. Dự án cũng có thể bổ sung thêm quỹ thưởng bằng token dự án, và Code4rena sẽ trích 40% từ phần quỹ bổ sung này.
Sherlock - Kiểm toán cộng đồng có bảo hiểm hợp đồng thông minh
Tương tự Code4rena, Sherlock cũng có kiểm toán viên, nhà tài trợ và giám khảo. Điểm khác biệt độc đáo của Sherlock là dịch vụ bảo hiểm mà nền tảng cung cấp. Bất kỳ ai cũng có thể đầu tư vào quỹ bảo hiểm của Sherlock bằng cách gửi USDC vào quỹ. Khách hàng giao thức có thể mua dịch vụ để phòng ngừa rủi ro bị hack hợp đồng thông minh. Nguồn thu nhập của nhà đầu tư bảo hiểm bao gồm: phí bảo hiểm từ khách hàng + lãi suất từ việc gửi tiền vào các pool DeFi khác (Aave, Compound...) + phần thưởng token Sherlock. Tuy nhiên, nhà đầu tư vừa hưởng lợi nhuận vừa chịu rủi ro phải bồi thường khi có sự kiện bảo hiểm.
Một điểm khác với Code4rena là cơ chế phân phối lợi nhuận từ dịch vụ kiểm toán. So với Code4rena, Sherlock có quy định cho phép Trưởng nhóm Kiểm toán Cấp cao và Trưởng ban Giám khảo nhận một khoản cố định từ quỹ thưởng (5%-10%) nhằm bù đắp và khuyến khích các kiểm toán viên cấp cao chuyên trách. Ngoài ra, nền tảng còn có chế độ lựa chọn và cạnh tranh để tuyển chọn các vai trò lãnh đạo.
Xây dựng cộng đồng hacker như thế nào? White hat Web3 quan tâm điều gì nhất?
Sau khi quan sát các cộng đồng an ninh phi tập trung khác nhau (ImmuneFi, Hats Finance, Code4Rena, Sherlock...) và trao đổi với một số doanh nhân an ninh, chúng tôi nhận thấy tất cả các nền tảng phi tập trung đều hướng đến mục tiêu: xây dựng một nền tảng giao tiếp và hợp tác hiệu quả, khỏe mạnh hơn. Nền tảng thưởng lỗi giống như một sàn giao dịch giữa hacker và dự án, họ phải vừa đứng ở góc nhìn hacker để hiểu nhu cầu của họ (xem bảng dưới), vừa cân nhắc nhu cầu của dự án (chất lượng kiểm toán).

Nguồn:《Góc nhìn của những người săn lỗi về thách thức và lợi ích của hệ sinh thái thưởng lỗi》
Ngoài những nhu cầu phổ biến, trong cộng đồng white hat Immunefi (tôi thấy đây là cộng đồng Discord sôi động nhất), tôi còn thấy một số chủ đề thú vị.
Ví dụ:
Một white hat tên Rappie muốn công khai một số lỗi mà anh/cô ấy đã phát hiện trước đây, hỏi về các quy tắc cộng đồng cần tuân thủ. (1. Chỉ công khai lỗi đã được sửa. 2. Đảm bảo thông tin công khai không gây ảnh hưởng tiêu cực đến giao thức hoặc người dùng. Giữ bí mật thông tin nhạy cảm, ví dụ: sau khi họ sửa lỗi SQL injection của bạn, đừng đăng thông tin cơ sở dữ liệu đầy đủ của họ. 3. Cần nhắn tin riêng cho đội dự án trước khi công khai).
Một white hat tên Noam Yakov đặt câu hỏi về định nghĩa của một chương trình thưởng lỗi (việc này thường xảy ra vì thông thường chỉ những lỗi an ninh nghiêm trọng mới được thưởng, cách định nghĩa cấp độ lỗi của dự án là điều white hat rất quan tâm, cộng đồng cũng thường nghe các tranh chấp kiểu này). Anh ấy nghi ngờ việc Uniwhales định nghĩa ảnh hưởng MEV là lỗi an ninh nghiêm trọng. Cuối cùng, qua thảo luận, mọi người cho rằng mô tả này không phù hợp với mọi trường hợp MEV. Ví dụ, tình huống toxic order flow có thể rút sạch tài sản trong pool giao thức thì rõ ràng là sự cố an ninh nghiêm trọng (do đó, việc định nghĩa một framework cấp độ an ninh thường là chưa đủ, thường cần có vai trò trọng tài trên nền tảng can thiệp vào từng trường hợp cụ thể).
Với một chủ đề rất thú vị: “Các bạn mong đợi gì ở các nền tảng thưởng lỗi như Immunefi?”, một white hat tên ckksec đưa ra câu trả lời: 1) Giúp làm rõ mặt pháp lý cho thu nhập lao động của các white hat ẩn danh trong crypto, ví dụ như phát hành hóa đơn. 2) Nền tảng không chỉ nên có hệ thống xếp hạng cho white hat, mà còn nên xếp hạng chất lượng dự án vì white hat thường mất thời gian để phân biệt chất lượng dự án. 3) Với các white hat sẵn sàng công khai hồ sơ, nền tảng có thể hiển thị luồng công việc của họ, đồng thời nền tảng cũng nên minh bạch hơn trong việc công bố thông tin báo cáo phân tích an ninh mà dự án nhận được.
Những công cụ nào có thể hỗ trợ white hat?
Khi LLMs và GPT trở nên phổ biến, gần đây tôi thường xuyên nghe người ta thảo luận liệu kiểm toán an ninh có thể bị AI thay thế hay không. Các chuyên gia an ninh giàu kinh nghiệm mà tôi trao đổi đều cho rằng GPT khó có thể thay thế hoàn toàn trí tuệ con người. Một số vấn đề đơn giản (low hanging fruit) có thể được mô hình ngôn ngữ phát hiện, nhưng các vấn đề trung và cao cấp vẫn cần chuyên gia tham gia. Ví dụ, theo phản hồi từ một chuyên gia an ninh kỳ cựu, đối với các kiểm thử phức tạp hơn như phân tích dữ liệu, phân tích động, cần con người kết hợp trước logic nghiệp vụ thực tế của giao thức để thực hiện kiểm tra an ninh và định nghĩa trước thuộc tính mục tiêu kiểm thử. Phần khó khăn nhất là viết thuộc tính tốt và định nghĩa đúng phạm vi kiểm thử. Theo thử nghiệm của họ với GPT, họ cho rằng GPT hiện tại chưa thể hoàn toàn thay thế con người ở điểm này.

Tuy nhiên, hiện tại cũng có một số kết quả khả quan cho thấy LLM có thể cực kỳ nâng cao hiệu suất công cụ phân tích an ninh và giảm tỷ lệ báo sai:
https://twitter.com/HatforceSec/status/1671758690808913922
https://www.researchgate.net/publication/371758506_Do_you_still_need_a_manual_smart_contract_audit
Về chủ đề này, chúng ta hãy suy nghĩ từ một góc độ phi kỹ thuật thú vị khác: kẻ tấn công và người phòng thủ an ninh đang trong trạng thái đấu tranh động, "ma cao một thước, đạo cao một trượng", liệu AI có thể tương tự giúp ích cho cả bên tấn công an ninh không?

An ninh lấy con người làm gốc
Con người thường mặc định phần mềm là thứ lạnh lẽo, máy móc, logic, và chỉ cần nâng cao kỹ thuật phân tích, mức độ phòng thủ hệ thống là có thể cải thiện an ninh. Nhưng người ta thiếu suy nghĩ về vấn đề an ninh từ góc độ động lực kinh tế và bản chất con người. Trong khu rừng tối mã nguồn mở, chúng ta cần một hệ thống phân phối phù hợp hơn với giả định về con người hợp lý, xây dựng cơ chế khuyến khích kinh tế tích cực để thu hút thêm nhiều người sẵn sàng đóng góp trí tuệ lâu dài cho an ninh hệ thống blockchain.
Hiện tại, thị trường kiểm toán an ninh truyền thống có格局 ổn định, danh tiếng thương hiệu là tài sản vô hình quan trọng nhất trong lĩnh vực này. Theo thời gian, ảnh hưởng và niềm tin của khách hàng đối với các thương hiệu an ninh hàng đầu ngày càng tăng mạnh. Tuy nhiên, kiểm toán an ninh truyền thống cũng có vấn đề riêng (mô hình kinh doanh đơn nhất, phụ thuộc vào nhân lực nên khó mở rộng quy mô; các doanh nghiệp đầu ngành phải cân bằng giữa tăng trưởng và chất lượng kiểm toán, một số doanh nghiệp đã chạm trần tăng trưởng, thậm chí ảnh hưởng đến giá trị thương hiệu).
Cuộc thi kiểm toán do cộng đồng dẫn dắt là một mô hình kinh doanh sáng tạo. Hiện tại hai nền tảng lớn nhất đã có hơn 300 khách hàng, dần tìm thấy điểm hòa hợp sản phẩm-thị trường (PMF). Nền tảng thưởng lỗi là bổ sung tốt cho vòng đời an ninh. Dù các nền tảng phi tập trung này vẫn chưa tìm ra mô hình token hiệu quả đặc biệt, chúng tôi rất lạc quan về khả năng tăng trưởng quy mô trong tương lai của thị trường này (vì trí tuệ đám đông rất phù hợp với bối cảnh đấu tranh tấn-công/phòng thủ trong thị trường an ninh).
Liệu nền tảng kiểm toán do cộng đồng dẫn dắt có đe dọa các công ty kiểm toán tập trung? Chúng tôi cho rằng họ sẽ có mối quan hệ cạnh tranh lành mạnh và bổ trợ lẫn nhau. Trong ngắn hạn, khi các nền tảng như Code4rena tạo được hiệu ứng mạng lưới nhất định và có thành tích tốt (tỷ lệ dự án bị hack thấp), chắc chắn sẽ gây áp lực cạnh tranh nhất định lên các công ty tập trung ở phân khúc trung và cuối. Nhưng về dài hạn, điều này cũng có thể thúc đẩy các nền tảng kiểm toán tập trung hợp tác với các nền tảng cộng đồng, vì điều này giúp mở rộng nhóm khách hàng và nâng cao chất lượng kiểm toán (giống như các công ty lớn Web2 vận hành riêng chương trình thưởng an ninh nội bộ, sau đó cũng hợp tác với các nền tảng bên thứ ba như HackerOne).
Mặc dù các nền tảng an ninh theo kiểu cộng đồng hướng tới mục tiêu DAO hóa hơn (Forta thực tế cũng có thể xếp vào nhóm này), nhưng trong vận hành thực tế hiện nay vẫn gặp phải một số vấn đề như: làm sao để luồng công việc và quy trình phân phối kinh tế minh bạch, công khai hơn; làm sao cân bằng giữa nhu cầu riêng tư và an ninh của dự án; làm sao định nghĩa rõ ràng hơn mối quan hệ giữa hợp tác nhóm và đóng góp cá nhân; làm sao giải quyết công bằng, chuyên nghiệp hơn khi xảy ra tranh chấp lợi ích… Tất cả đều là thách thức mà các DAO an ninh cần đối mặt.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News













