# 白帽应该得到多少漏洞赏金？

**Published by:** [mogician in crypto](https://paragraph.com/@mogician/)
**Published on:** 2022-03-10
**URL:** https://paragraph.com/@mogician/wkVtgLjpWMCo3hX2tLZ7

## Content

智能漏洞赏金支出本文描述了Hats version 2战略路线图的一个功能。我们将发布一系列文章来讨论Hats version 2的经济模型和流程，并与社区进行有效的讨论，从而整合来自社区的反馈。更详细的路线图将在之后的文章中发布。黑客激励调整漏洞赏金计划是软件行业中一种广为人知的手段，它以有利于生态系统的方式激励白帽黑客。白帽通常会保全数百万美元的用户资金，他们的作用在整个生态系统中意义非凡。我们的理念是：我们必须给他们公平的份额，以保证白帽参与，并通过激励调整将黑客变成白帽。 该任务可以从多个角度进行划分。例如，为黑客提供更安全和可预测的报告流程，使黑客能够保持匿名，同时获得生态系统的认可和炫耀的权利。我们将通过迭代产品来提供上面讲的东西。但今天我们想谈谈最基本的激励：Bug 赏金。 为赏金计划设定合理的奖金是一个不小的任务。严格意义上来讲，设置份额的大小通常是赏金计划百分比。但是，可支付的最高金额应该是多少？通常来讲，与白帽社区达成一致的看法是：支付挽回资金的 10% 。如果你没有很好地设置赏金，你甚至会冒着被白帽劫持资产的风险，因为他们认为你给的赏金很低，而且这的确不公平。 在 Hats Finance，每个人都可以为保险库中的特定协议增加漏洞赏金的规模，并且不同的参与者群体有明确的动机来这样做。投资者和用户希望保护他们锁定在协议中的投资和资产。 DAO 和开发团队希望使他们的产品更安全并保护他们的声誉。因为每个人都可以通过增加流动性来参与到保证 Protocol 安全的工作中，甚至可以从激励中受益¹，所以保险库的规模可以增长到远远超出传统漏洞赏金所能提供的范围。那么应该如何使用这种流动性呢？黑客希望得到公平的奖励，而社区不想多付钱。引入智能漏洞赏金我们今天想与您讨论的是目前正在开发的一项功能：智能漏洞赏金。设置赏金的委员会将获得控制赏金的能力，从而更准确地激励黑客。 委员会第一个可控的地方是：白帽在报告严重漏洞时，保险库应支付给他（她）的百分比份额。如果团队开始的流动性是 20 万美元，他们可能会选择 80%的百分比，那么现在他们的协议用 16 万美元的赏金来防止严重漏洞。 启动资金库后，将激励社区、投资者和用户增加金库的流动性。团队和其他流动性提供者将存入的主要资产是协议的原生代币。通常情况下，代币的价格会随着时间的推移而升值，因此漏洞赏金的价值也会随之增加。假设我们示例中的保险库会随着时间的推移而增长，资产价值 来到了500 万美元。 400 万美元的赏金对团队来说可能听起来有些过分。 这就是智能赏金的第二个有效的控制功能：以美元计算的最大支付设置--cut off 功能。当委员会建立保险库时，他们决定最高支付额应为 100 万美元。但这不是线性增加支出一直到达到截止金额，而是每一次 16 万美元到 100 万美元之间的支出，都将通过曲线计算，以便在协议安全性、黑客激励和流动性提供者风险之间取得更好的平衡。为什么是对数曲线计算而不是线性计算，从而达到赏金cut-off值？管理保险库中的流动性的目的是：使保护协议的责任民主化和分散化。第一要务是达到协议安全的水平，第二是降低为金库提供流动性的每个参与者的风险。该曲线使委员会能够为黑客提供一个奖金急剧增长的部分（A部分），以此来鼓励漏洞搜索和披露。一旦达到足够的赏金规模，支出将逐渐增加（B部分），最终降低所有参与者的风险，从而激励额外的流动性。 这条曲线对所有类型的协议都有帮助，因为我们称 A 部分中的保管库处于“成长阶段”，而 B 部分中的保管库处于“成熟阶段”。C部分强调了我们选择线性加曲线的原因。增加的额外流动性都应该使黑客以及流动性提供者受益。随着线性增长，流动性提供者的收益只有在达到临界值后才能实现，从而导致一些不利的风险/回报情景---流动性仅在接近或超过临界值时才涌入金库。 C 部分显示了与线性支付模型相比从流动性提供者身上转移的风险，最后，所有高于临界值的风险都得到了完全稀释。 在我们之前的示例中金库包含 500 万美元的总流动性。如果报告了严重漏洞，cut-off 现在将生效，每个参与者仅贡献其质押金额的 20%。相比而言，，在没有cut-off 功能的老旧线性模型中，每个流动性提供者都需要贡献其质押金额的 80%。因此，新模型显着降低了每个流动性提供者的风险。 此外，曲线机制与流动性挖矿计划是共生的，因为它将保证金库参与的风险/回报平衡。尽管金库中的额外流动性降低了每笔投入的收益，但它也通过支付曲线降低了整体风险，从而使曲线成为一个很好的平衡工具。这种新机制将支持每个漏洞赏金计划达到它所需的流动性，同时奖励承担最大风险的参与者。处理不同的漏洞等级为了创建一个公平的系统，报告的漏洞将根据其严重性等级获得赏金。危及用户资金致命漏洞应与小的漏洞别对待。在 Hats Finance中有四个漏洞级别，必须单独定义支付赏金的份额大小。先前设置的最大支付百分比定义了将释放多少资金用于致命漏洞。但是，委员会必须决定应该为高、中和低严重性释放多少保险库份额。我们建议将以下设置作为默认设置。根据上图每个漏洞等级的占比，原始曲线将被分解为四个适应曲线，然后用于计算每个报告的漏洞所应有的份额。每个保险库都可以选择修改这些预设值来适应自己项目的情况，例如合约复杂性和 TVL。 一旦白帽报告了漏洞，委员会将在更细的范围内从 1 到 20 来判断其严重性，从而使过程更加准确。这些数字被映射到先前定义的四个严重程度，然后在这些括号内自动计算支出。每个漏洞等级（严重、高、中、低）都分为五个值。曲线的计算我们考虑了不同的方程来定义支出金额，指数分布方程为我们提供了最好的特征，以反映我们从博弈论的角度想要实现的目标。 拥有一条以近似线性陡度开始然后逐渐接近截止值的曲线用在计算支出金额上非常适合。公式拥有尽可能高的陡度，但其斜率不得超过 1（因为金库在任何时间点都无法支付超过其持有的资产）。 如果我们在第一步中忽略不同的严重性来计算曲线，而只使用cut- off 数值来获得 100% 的支出，我们将收到以下曲线。由于定义的cut-off 数值预计会为报告的严重漏洞设置最大支出，因此必须修改等式以考虑减少其百分比，以便计算每个严重性 (B) 的支出。变量 (A) 由为严重严重性（critical severity）漏洞选择的百分比数定义，(B) 根据报告的漏洞的严重性定义。如果曲线用于计算严重严重性（critical severity）的支出，则 (A) 等于 (B) 但 (B) 可以同样代表先前定义的低、中和高严重性值。写在最后通过展示这个特性，我们希望围绕着公平的漏洞赏金应该是什么样子展开广泛的讨论，并进一步确定这是正确的路。我们已经使用所提供的公式与 Hats 团队和其他加密先驱进行了深入的内部讨论，但我们期待社区的意见和他们的贡献。 代表 Hats DAO 感谢您的关注， Angler

## Publication Information

- [mogician in crypto](https://paragraph.com/@mogician/): Publication homepage
- [All Posts](https://paragraph.com/@mogician/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@mogician): Subscribe to updates