“不要信任，验证”在DeFi中從未如此相關。隨著智能合約日益複雜，數十億美元的資產在鏈上得到保障，問題隨之而來：漏洞賞金計劃在防範漏洞方面扮演什麼角色？我們分析了@Aave列出的資產情況 👇 漏洞賞金計劃通過提供經濟獎勵來激勵獨立研究人員發現漏洞。這個在Web2中早已建立的模式，現在已成為Web3安全的一個重要層面，解決智能合約的獨特風險——尤其是用戶資金的潛在損失。獎勵根據嚴重性進行分級，影響最大的漏洞獲得最高的獎勵。 我們的報告審查了Aave V3市場，重點關注總價值供應（TVS）至少為500萬美元的資產。每個資產的評估基於以下標準： • 明確包含在漏洞賞金範圍內， • 隱含在協議範圍內的政策中，或 • 沒有任何可驗證的覆蓋。 如果無法通過公開文檔確認覆蓋情況，則該資產被視為缺乏正式的賞金。 基準標準 • 至少需要50,000美元的賞金以吸引熟練的研究人員，無論TVL如何。 • 對於TVL超過2.5億美元的協議，最高獎勵應超過100萬美元，以展示嚴肅的承諾，並提供與黑帽攻擊相比的競爭性激勵。 發現 • 47個資產在Aave V3中符合我們的審查標準（> 500萬美元TVS）。 • 33個資產（供應總額197億美元）得到了足夠規模的賞金支持。 • 10個資產（供應總額192億美元）沒有覆蓋或程序嚴重不足。 • 4個資產（供應總額108億美元）符合最低標準，但需要更高的獎勵或更廣泛的範圍。 需要改進的發行方包括： @circle (USDC, EURC), @Tether_to (USDT), @BitGo (WBTC), @EtherFi (eBTC, weETH), @monerium (EURe), @GnosisDAO (GNO), @Ripple (RLUSD), @PayPal (PYUSD), @withAUSD (AUSD), @KelpDAO (rsETH), @avax (WAVAX), @Binance (WBNB)。 下一步 在本報告發布後，我們將啟動一系列每週/每日的專題，聚焦於我們分析中標記的發行方。目標：鼓勵資產發行方建立或升級漏洞賞金計劃，以符合我們推薦的標準。