Aave Labs a publié une proposition visant à lancer un nouveau programme de bug bounty dédié pour sa v4 sur la plateforme de sécurité de Sherlock pour les protocoles DeFi.
La proposition vise à établir un canal pour signaler tout problème de sécurité sur la plateforme DeFi lors de sa transition vers la quatrième version (v4) de son protocole. Les laboratoires affirment que Sherlock a travaillé avec la communauté pour auditer le protocole v3 actuel et a été utilisé pour les premiers tests v4. Cela se traduit par des normes de reporting partagées et des voies de remontée d’informations pour toutes les parties.
Le fondateur Stani Kulechov a souligné que les bug bounties constituent un élément important de la stratégie de sécurité du réseau. Il a également félicité l’équipe Sherlock pour son expertise dans la gestion des précédents programmes de bug bounty et des concours de sécurité.
De son côté, Sherlock a exprimé son soutien au programme proposé, ajoutant : « Une couverture toujours active, un tri structuré et une escalade claire pour les rapports de haute gravité au fur et à mesure que le V4 est expédié et mis à l’échelle. L’engagement d’Aave en matière de sécurité reste constant. »
La participation de 250 USDC d’Aave pour prévenir le spam
Le programme de bug bounty sera limité aux référentiels Aave v4 et aux contrats déployés. Toute expansion ou migration d’autres programmes nécessiterait un sondage de gouvernance distinct.
Les participants peuvent remettre à volonté des soumissions de priorité moyenne ou faible. Cependant, ils ne peuvent pas les mettre à niveau vers des soumissions de niveau supérieur, même si leur portée s’étend pour garantir qu’ils accordent suffisamment d’attention à la classification d’origine.
Les soumissions hautement prioritaires et critiques, qui reçoivent des paiements plus importants, seront limitées aux utilisateurs qui misent 250 USDC. Si la soumission est valide, la mise est restituée avec le paiement. En cas d’invalidité, la mise est perdue pour payer les frais de tri. Ceci est destiné à éviter le spam lorsque les participants classent toutes les soumissions comme hautement prioritaires pour tenter d’obtenir un paiement plus élevé.
Pour les soumissions hautement prioritaires, les membres de l’équipe de sécurité désignés d’Aave sont instantanément informés via Telegram et Slack pour répondre immédiatement. Les soumissions de moindre priorité sont évaluées par un programme d’IA travaillant aux côtés d’évaluateurs humains. Seuls les rapports jugés de meilleure qualité seront soumis pour examen.
Aave Labs a admis que même si la mise de 250 USDC réduirait le spam, elle pourrait dissuader certains véritables chercheurs de soumettre des problèmes de sécurité hautement prioritaires. Pour atténuer ces effets, il a l’intention de maintenir gratuit le niveau de priorité moyenne et de donner la priorité aux chercheurs expérimentés utilisant ce niveau.
Il a également reconnu qu’en interdisant la reclassification des soumissions moyennes en haute priorité, il punirait les soumissions mal classées. Il a l’intention de publier un guide détaillé dans le cadre du matériel de lancement du programme.
La proposition intervient des semaines après l’implosion d’un différend entre Aave Labs et BGD Labs, ce dernier annonçant son départ à la fin de ce mois. BGD, qui a été engagé par l’Aave DAO pour répondre aux problèmes de sécurité et techniques, affirme que les laboratoires ont contrecarré leurs efforts pour faire progresser le protocole.
