Crypto Week

WEFUZZ, une solution d’audit de sécurité et de prime de bogue entièrement décentralisée et participative | par Coinbase | février 2022

Ce rapport met à jour ce que WEFUZZ, Coinbase Récipiendaire de la subvention du Fonds communautaire Crypto, a travaillé sur la première partie de leur subvention de développement Crypto d’un an. Cela couvre spécifiquement leur travail sur un audit de sécurité décentralisé et participatif et une solution de prime de bogue.

WEFUZZ, une solution d'audit de sécurité et de prime de bogue entièrement décentralisée et participative | par Coinbase | février 2022

Par WEFUZZ, récipiendaire de la subvention du Coinbase Crypto Community Fund

WEFUZZ met en œuvre une solution d’audit de sécurité et de bug bounty entièrement décentralisée et participative : un ensemble de contrats intelligents qui permettent aux développeurs et aux entreprises de faire auditer leurs contrats intelligents, leurs chaînes de blocs, leurs sites Web, etc., par la communauté des auditeurs et des hackers. Avec ce travail, WEFUZZ vise à devenir le *Hacker DAO*.

Le crowdsourcing est un modèle d’approvisionnement dans lequel des individus ou des organisations obtiennent des biens ou des services – y compris des idées, des votes, des micro-tâches, etc., auprès d’un groupe de participants important, relativement ouvert et en évolution rapide. Des entreprises comme Uber, Gitcoin et GoJek utilisent déjà ce modèle. Le modèle de crowdsourcing offre des coûts, une vitesse, une qualité, une flexibilité, une évolutivité et une diversité améliorés.

Le système traditionnel de crowdsourcing se compose principalement de trois rôles : les demandeurs, les travailleurs (les auditeurs dans notre cas) et un système centralisé. Les demandeurs soumettent des tâches à accomplir via le système de crowdsourcing. Un ensemble d’auditeurs complètent cette tâche et soumettent des solutions au système de crowdsourcing. Les demandeurs sélectionneront ensuite une solution appropriée (généralement la première ou la meilleure qui résout la tâche) et récompenseront le travailleur correspondant

Cela rend les systèmes centralisés vulnérables. Les informations sensibles de l’utilisateur (par exemple, nom, adresse e-mail, etc.) et les rapports de vulnérabilité sont enregistrés dans la base de données de ces systèmes centralisés, ce qui présente le risque inhérent de divulgation de la vie privée et de perte de données. Les points d’étranglement centralisés ne sont pas seulement des vecteurs d’attaque pour les fuites et les piratages, mais aussi pour les pannes.

Les entreprises de crowdsourcing tiennent à maximiser leurs avantages et exigent que les demandeurs paient pour les services, ce qui à son tour augmente les coûts pour l’utilisateur. La plupart des systèmes de crowdsourcing exigent des frais de service de 10 à 25 %.

Tous ces problèmes s’ajoutent aux préoccupations déjà existantes des propriétaires et développeurs de contrats intelligents et multi-chaînes (les demandeurs d’audit), des auditeurs indépendants et des hackers éthiques. Certaines de ces préoccupations sont :

  • S’assurer que leurs actifs sont à l’abri du cybervol, du piratage de données ou de tout autre risque pouvant entraîner une perte de fonds et des données compromises
  • Être en mesure d’effectuer des audits de manière rentable – qu’il s’agisse d’audits de sécurité privés ou publics
  • S’assurer que les contrats intelligents sont audités par plusieurs auditeurs
  • Les pirates ne veulent pas partager de données personnelles sensibles
  • Les pirates, les auditeurs et les développeurs ont besoin d’une transparence totale

WEFUZZ est une plate-forme d’audit et de bug bounty entièrement décentralisée et participative visant à être le Hacker DAO. WEFUZZ vise à fournir la fiabilité, l’équité, la sécurité et des frais de service peu élevés dès la conception.

La plate-forme décentralisée présente de nombreux avantages, tels qu’une sécurité accrue des utilisateurs, la disponibilité des services et des coûts réduits. Les contrats intelligents exécutés sur une blockchain choisie sont utilisés pour effectuer l’ensemble du processus de tâches de crowdsourcing qui contient la publication de campagnes d’audit et de primes, la soumission de rapports d’audit et de bogues, l’attribution de primes, etc.

La solution WEFUZZ offre de nombreux avantages supplémentaires aux utilisateurs :

  • Sécurité des données: Les rapports sont cryptés avec la clé publique des auditeurs et des développeurs cibles, de sorte que les rapports de bogue ne soient lus que par la personne à qui ils sont destinés. Les fichiers sont cryptés et stockés sur le stockage réseau décentralisé. Plus de violations de données, de piratages, de fuites de mots de passe ou de tout autre risque affectant les plateformes d’audit et de primes de bogues existantes basées sur le cloud.
  • Rentabilité: Permettre aux développeurs de contrats intelligents, aux développeurs multi-chaînes et aux entreprises de faire effectuer des audits de manière rentable directement par les auditeurs et les hackers sur la plate-forme WEFUZZ. Cela aide les développeurs et les entreprises à éviter les frais énormes et les problèmes de congestion affectant les plates-formes traditionnelles de primes de bogues.
  • Anonymat flexible: Les auditeurs et les pirates peuvent choisir de rester anonymes tout en soumettant des rapports, en protégeant leur vie privée et en étant toujours payés.
  • Sécurité des communications: Pas de stockage centralisé des données, anonymat complet, pas de transferts de données, pas de modérateurs et chiffrement complet de bout en bout. Toutes les données résident chiffrées sur la blockchain Solana et tous les fichiers résident sur la blockchain IPFS.

Demandeurs d’audit: Les développeurs, les entreprises ou tout individu peuvent demander des audits ou lancer une campagne de primes de bugs privée/publique.

Auditeurs: Les auditeurs peuvent être n’importe qui, des hackers éthiques aux cabinets d’audit, qui peuvent effectuer les audits demandés ou participer à des campagnes de primes de bogues.

Juges: Les juges sont des membres de la communauté qui sont soit élus par la communauté, soit élevés à la catégorie des juges grâce à leur réputation.

Actuellement, nous travaillons sur la conceptualisation, l’architecture technique et la conception du système de WEFUZZ, en plus de construire notre MVP sur les blockchains Solana et Polygon, et de tester la chaîne optimale pour notre projet.

Merci de rejoindre notre Discord et de nous suivre sur notre Twitter et Medium pour suivre les progrès. Nous allons publier le code et d’autres outils que nous construisons dans le cadre de la recherche et du développement de ce compte Github.

Source blog.coinbase.com

Quitter la version mobile