À medida que os ataques lançados contra os protocolos de finanças descentralizadas populares (DeFi) se tornam cada vez mais complexos, a eficácia das auditorias das principais empresas de segurança, por sua vez, está sob escrutínio - e alguns membros da comunidade DeFi já começaram a construir alternativas próprias.

“Acho que agora, depois de todos os hacks que tivemos, basicamente entendemos que se você tem duas auditorias, três auditorias, não significa que você está seguro”, disse o cofundador da DeFi Itália Emiliano Bonassi em uma entrevista ao Cointelegraph. “Isso não significa que as auditorias não tenham valor neste momento, mas não são balas de prata.”

Essa nova realidade foi o que levou Bonassi a formar a ReviewsDAO. Um fórum simples para conectar especialistas em segurança e projetos em busca de um olhar extra, nos três dias desde seu lançamento, o ReviewsDAO já atraiu quatro revisores voluntários (incluindo Bonassi) e combinou dois revisores com um projeto.

Bonassi junto ao ReviewsDAO também não estão sozinhos. O Code 423n4 é outro projeto que visa dar início a um movimento de segurança dentro do ecossistema, aproveitando uma reviravolta experimental e gamificada na recompensa por bugs. E, da mesma forma, a Immunefi, outra plataforma de recompensas DeFi lançada em dezembro do ano passado, está revisando o modelo de divulgação de segurança, pressionando por mais de 10% dos fundos vulneráveis ​​como recompensa.

O modelo da Immunefi em particular já fez acertos, ganhando com sucesso uma recompensa de US$ 1,5 milhão para um whitehat.

Três novos projetos surgindo em apenas dois meses, e cada um com seu próprio modelo de incentivo - é um esforço de toda a indústria que Stani Kulechov, fundador da plataforma de empréstimos DeFi Aave, acredita que será a chave para a saúde e segurança do espaço no futuro.

“Os auditores não estão aqui para garantir a segurança de um protocolo, apenas ajudam a detectar algo que a própria equipe desconhecia. Eventualmente, trata-se de revisão por pares e precisamos encontrar como uma comunidade incentivos para capacitar mais especialistas em segurança no espaço. ”

“Sem balas de prata”

Bonassi deve ser um nome familiar para qualquer pessoa que acompanhou a recente onda de hacks. O desenvolvedor italiano é um dos cerca de meia dúzia de hackers white-hat que freqüentemente se reúnem após um ataque em um esforço para replicar a exploração e ajudar os projetos a corrigir as vulnerabilidades.

Pergunte a qualquer fundador do DeFi sobre Bonassi e seus companheiros de "sala de guerra" pós-exploit, e eles serão rápidos em elogiar.

“A comunidade DeFi é abençoada por ter whitehats como Samczsun e Emiliano. Seus esforços [...] não só tornam o espaço mais seguro, mas também destacam a narrativa de que há muitas pessoas em nosso ecossistema que se preocupam com o sucesso do espaço ”, disse Kulechov.

Embora as habilidades de resposta dos whitehats sejam amplamente apreciadas, ReviewsDAO é, de certa forma, um esforço para reduzir a frequência com que os projetos precisam delas.

Na opinião de Bonassi, a tensão entre as necessidades dos projetos e os recursos limitados das empresas de auditoria está enfraquecendo a segurança do espaço da Defi em grande escala: os auditores estão sempre ocupados, mas as equipes no meio da corrida pela inovação da DeFi precisam permanecer ágeis. Embora um projeto possa querer uma auditoria em algumas pequenas mudanças, a disponibilidade e os custos geralmente exigem um pedido maior, levando à "fragmentação" do código.

“Como eles não estão disponíveis, você geralmente prepara um monte de coisas que deseja revisar e envia para eles. A interação é realmente, digamos, 'baseada em instantâneos', em vez de ter uma colaboração contínua ”, disse Bonassi.

Então, como permitir análises de segurança mais frequentes que atendam melhor às necessidades dos projetos? Bonassi diz que inicialmente considerou uma doação da Gitcoin para um grupo de whitehat como uma solução, mas acabou determinando que esse modelo seria excessivamente centralizado e não teria escala. Nenhum de seus colegas de whitehat tinha insights sobre como resolver o problema, então ele optou pela simplicidade.

“Se você não tem nenhum tipo de ideia, comece do básico: comece um fórum, digamos um‘ mercado ’, onde as pessoas podem pedir comentários grandes ou pequenos e também oferecer seus conhecimentos.”

Ele não tem como objetivo substituir as auditorias e empresas de auditoria inteiramente, Bonassi observa, e em vez disso, vê o DAO como um que pode ajudar projetos mais jovens a se prepararem melhor para uma auditoria, fornecendo "revisão contínua" e "auditoria líquida".

É um modelo que o especialista em segurança Maurelian da OptimismPBC acha que deixa espaço para grandes empresas de auditoria, ao mesmo tempo que reconhece que também deve haver outras soluções de segurança.

“IMO, existe um valor real para uma auditoria por uma empresa de alta qualidade e nada mais serve realmente como uma 'alternativa', mas também acho que há um problema de dependência excessiva de auditorias para fornecer segurança”, disse ele.

Bonassi também acredita que o ReviewsDAO pode eventualmente se tornar uma espécie de “Universidade” de auditoria, onde pessoas com conhecimento especializado podem se ramificar para outras áreas e jovens desenvolvedores podem se tornar auditores de pleno direito - tanto avaliando quanto reforçando os recursos de desenvolvedor em DeFi.

“Meu objetivo também é mapear pessoas e projetos - ter um lugar transparente onde as pessoas possam trocar informações, nos ajude a entender quantas pessoas que são, basicamente, do ponto de vista da segurança boas o suficiente, estão presentes no ecossistema.”

Skin no jogo

Embora atenda a uma necessidade clara do mercado, Bonassi diz que não há planos atuais para monetização ou token ReviewsDAO.

“Acho que iniciativas como essa devem ser bens da comunidade”, argumenta.

Este esforço para evitar incentivos de capital é mais do que apenas idealismo. Esses novos projetos de auditoria estão surgindo porque o modelo atual não é totalmente sustentável, diz Bonassi - um modelo que é "transacional", o que significa que os auditores não têm tanta pele no jogo quanto um parceiro mais totalmente engajado poderia. Como resultado, todo o cenário DeFi (que os auditores deveriam estar ostensivamente protegendo) está sofrendo.

“Eles não são um relacionamento. Não é uma parceria ”, diz Bonassi.

No entanto, mesmo o bem público muitas vezes tem financiamento público, e é uma questão em aberto se os desenvolvedores - que muitas vezes estão sobrecarregados para começar - estarão dispostos a doar tempo no que Andre Cronje chama de "Taxa Emiliano Bonassi": por nenhuma outra recompensa além do reconhecimento.

Bonsai observa que vários dos principais fundadores do protocolo DeFi ofereceram concessões, que até agora foram recusadas. Ele é teimoso para ver se os desenvolvedores estão dispostos a retribuir ao espaço que tantas vezes lhes é concedido, mesmo quando há outras opções potencialmente lucrativas disponíveis.

“O que realmente precisamos neste ecossistema é de mais pessoas que trabalhem nele - digamos, alguém pode me odiar, mas, menos forks se não estiverem agregando valor [...] Não quero acabar no ICO era. Não quero voltar a 2017. ”

Os primeiros retornos do esforço são promissores. Cobertura/protocolo de seguro foi o primeiro projeto a ser combinado com um revisor por meio do ReviewsDAO.

“Foi ótimo”, diz Pumpkin, um desenvolvedor central para Cover Protocol e Ruler Protocol. “Fui um dos poucos com quem Emiliano compartilhou a ideia antes do lançamento. Eu adorei imediatamente porque é o que eu estava procurando (para obter revisões de código externo e mais fácil e rápido) [...] Não tenho certeza do que sairá da revisão, mas o fórum certamente está funcionando bem como pretendido."

Maurelian também acredita que há esperança para o modelo talvez idealista - e que pode ser mais transacional do que parece à primeira vista.

"Você recebe o que você dá. Portanto, participar de um projeto como este é provavelmente uma boa ideia se você está planejando ficar no espaço por um longo período ”, disse ele.

Mesmo que alguns desenvolvedores doem tempo para obter favores futuros, Emiliano permanece decidido em sua visão de que os esforços para proteger o ecossistema devem vir de um lugar de altruísmo e amor.

“Esse é o ideal que devemos promover. E uma vez que temos muito dinheiro, e esta indústria tem muito dinheiro, você não deve precisar de recompensas, você deve fazer isso porque ama esta indústria. Este é um apelo a todas as pessoas que querem fazer crescer o ecossistema. ”

Leia mais: