Hats Finance bietet eine dezentrale Plattform für Bug Bounties und Audits im Web3, die Zwischenhändler ausschaltet und die Community in die Sicherheit einbindet. Durch On-Chain-Escrow und Anreizsysteme werden Transparenz und faire Auszahlungen gewährleistet, während gleichzeitig neue Talente gefördert und die Kosten für Sicherheitsprüfungen reduziert werden. Das innovative Modell adressiert die Ineffizienzen traditioneller Web2-Sicherheitsansätze und integriert neue Technologien wie KI-gestützte Audits.
Im Wettlauf um den Aufbau sicherer dezentraler Ökosysteme erweisen sich traditionelle, aus dem Web2 adaptierte Sicherheitsmodelle als unzureichend für die besonderen Bedürfnisse des Web3. Wie Cointelegraph berichtet, teilte Oliver Hor, Gründer von Hats Finance, in einem kürzlich abgehaltenen AMA seine Ansichten über die Ineffizienz aktueller Sicherheitsansätze und erläuterte, wie seine Plattform eine effizientere und transparentere Alternative zum Schutz dezentraler Projekte bieten möchte.
Die bekannten Sicherheitsrahmen des Web2 bringen versteckte Ineffizienzen mit sich, insbesondere wenn sie in dezentralen Ökosystemen eingesetzt werden. "Auditfirmen sind teuer", erklärte Hor gegenüber Cointelegraph. "Die Person, die den Code auditiert, erhält möglicherweise nur einen Bruchteil der Zahlung aufgrund von Marketing-, Vertriebs- und Verwaltungskosten." Bug-Bounty-Programme bergen ebenfalls Sicherheitsrisiken, da sie auf Menschen angewiesen sind, die Informationen über Schwachstellen prüfen. Es besteht immer die Möglichkeit, dass jemand diese Informationen für persönliche Vorteile missbraucht, insbesondere bei hochpreisigen Schwachstellen.
Als Antwort auf diese Herausforderungen bietet Hats Finance, ein dezentrales Protokoll für das Hosten von Bug Bounties und Audit-Wettbewerben ohne Verwahrung, eine Lösung, die Zwischenhändler ausschaltet. "Wir verbinden Sicherheitsexperten direkt mit denen, die Audits benötigen", so Hor. "Unser Peer-to-Peer-System nutzt Anreize und Spieltheorie. Je mehr Geld im System ist, desto attraktiver wird es für Experten."
Mit über 50 aktiven Programmen, darunter Projekte wie Safe und Liquity, will Hats Finance die Sicherheit zugänglicher und effektiver gestalten. Ein herausragendes Merkmal des Ansatzes von Hats Finance ist der doppelte Vorteil, den er Nutzern und Entwicklern bietet. "Endnutzer sind weniger anfällig für Angriffe", sagte Hor, "während Entwickler die Gewissheit haben, dass ihre Projekte sicher sind, und das Risiko von Hacks, die ihren Ruf ruinieren könnten, verringert wird. Unsere Lösung macht Sicherheit kostengünstiger und zugänglicher und ermöglicht es neuen Talenten, sich zu beteiligen."
Eine zentrale Herausforderung traditioneller Bug-Bounty-Programme ist die Unsicherheit bei den Auszahlungen. Hacker, die Schwachstellen aufdecken, sehen sich oft mit verspäteten oder fehlenden Zahlungen konfrontiert, insbesondere in Baisse-Märkten, in denen Projekte mit knappen Budgets zu kämpfen haben. Hats Finance, ein Teilnehmer des Cointelegraph Accelerators, bietet einen ethischeren Ansatz, der sich durch die Verwendung von On-Chain-Escrow auszeichnet. "Die Prämie wird in einem Smart Contract aufbewahrt, den jeder einsehen kann", erklärte Hor. "Wenn ein Projekt die Zahlung bestreitet, kann der Hacker einen dezentralen Streitbeilegungsprozess einleiten." Wenn Hacker wissen, dass sie fair entschädigt werden, ist es wahrscheinlicher, dass sie Schwachstellen verantwortungsvoll melden, was letztendlich die Gesamtsicherheit des Ökosystems verbessert.
Der traditionelle Bug-Bounty-Ansatz belastet die Projektteams vollständig mit der Finanzierung, was den Umfang und die Wirksamkeit dieser Programme einschränken kann. On-Chain-Lösungen bieten jedoch ein kollaborativeres Modell, das die Beteiligung der Community fördert. Hor verwies auf den Fall von DXdao, wo 75 % des Bug-Bounty-Programms von der Community finanziert wurden, was das kollektive Engagement für die Sicherheit des Protokolls demonstriert.
Bug Bounties können besonders für neue Projekte von Vorteil sein und mehr als nur Sicherheit bieten. "Man kann sogar Liquidity Mining mit seinem Token betreiben", fügte Hor hinzu. Dieser Ansatz ermöglicht es Projekten, gleichzeitig mit dem Aufbau von Sicherheitsfonds die Aktivität auf ihrem Protokoll anzukurbeln. "Man kann also nicht nur die Aktivität auf dem Protokoll anregen, sondern auch Sicherheitsfonds aufbauen und diejenigen belohnen, die bei der Identifizierung von Schwachstellen helfen. Die Tatsache, dass es sich um On-Chain handelt, ermöglicht all diese interessanten Aspekte der DeFi-Komponierbarkeit."
Der On-Chain-Ansatz von Hats Finance ermöglicht es Projekten, Sicherheitsausgaben automatisch zu verwalten und einen Teil der Projekteinkünfte für Auditprogramme oder Staking zuzuweisen. Eine anhaltende Herausforderung bei traditionellen Bug-Bounty-Programmen ist der Zustrom von minderwertigen Berichten, die in der Hoffnung auf eine Belohnung eingereicht werden. Hats Finance entschärft dieses Problem durch eine eingebaute Abschreckung: Einreichungsgebühren. "Da wir On-Chain sind, hatten wir immer eine Art natürlichen, organischen Schutz vor Spam", erklärte Hor. Jede Einreichung auf der Plattform beinhaltet eine Gasgebühr, die es unwirtschaftlich macht, minderwertige Berichte einzureichen. Die gesammelten Gasgebühren kommen auch dem Ökosystem zugute, da sie in Hats-Token (HAT) umgewandelt und dem Treasury der Plattform hinzugefügt werden.
Trotz dieser Hürde werden seriöse Forscher nicht von der Teilnahme abgehalten, denn wie Hor anmerkte: "Die Mindestprämie für eine geringfügige Schwachstelle beträgt in der Regel etwa 800 US-Dollar."
Hats Finance ist derzeit auf sieben Ethereum Virtual Machine (EVM)-kompatiblen Chains aktiv, darunter Ethereum und Arbitrum. Es vereinfacht den Auditprozess mit einer einheitlichen Oberfläche und ermöglicht es Forschern, Bug Bounties zu durchsuchen und Berichte anonym einzureichen. Für diejenigen, die Anerkennung suchen, ermöglichen optionale Profile den Teilnehmern, ihre Leistungen zu präsentieren und in der Rangliste aufzusteigen. "Wir haben große Communities aufgebaut, insbesondere in Indien und Südamerika", sagte Hor. "Unabhängige Forscher, die konstant an der Spitze stehen, können freiberuflich arbeiten. Wir haben gesehen, wie sich aus den Top-Performern ganze Unternehmen gebildet haben."
Selbst etablierte Sicherheitsfirmen erkennen den Wert der Teilnahme an Hats Finance. "Wir haben Unternehmen, die insbesondere in fortgeschrittenen Bereichen wie Rust oder formaler Verifikation konkurrieren." Die Offenheit der Plattform für neue Technologien, einschließlich KI-gestützter Audits, ermöglicht es Hats Finance, an der Spitze der Sicherheitslösungen zu bleiben. "Wir wollen minderwertige Berichte blockieren, aber wir schränken die Teilnahme nicht danach ein, ob der Einreicher eine Einzelperson, ein Unternehmen oder sogar eine KI ist", erklärte Hor.
Mit Blick auf die Zukunft stellt sich Hats Finance eine Zukunft vor, in der Top-Auditoren aus der Community hervorgehen. "Die Top-Performer in der Rangliste könnten Pre-Audit-Dienste gegen eine Gebühr anbieten und es Projekten ermöglichen, ihre Bereitschaft zu prüfen, bevor sie sich zu einem vollständigen Audit verpflichten", fügte Hor hinzu.
Der Gründer von Hats Finance sprach auch über die Herausforderungen bei der Implementierung von Account Abstraction: "Eine interessante Frage, die wir jetzt haben, ist, welche Art von Schwachstellen Smart-Contract-Wallets mit sich bringen. Schließlich wechselt die Wallet von einer einzigen Adresse zu einer Kombination von Smart Contracts, bei denen jedes Element einen potenziellen Angriffsvektor hat. Wir müssen also sicherstellen, dass sie wirklich sehr sicher sind."
Quellen:
