一个白帽发现合约漏洞,最危险的时刻,往往不是利用代码写不写得出来,而是准备开口那一刻。
链上这事很尴尬。你得尽快通知项目方,不然漏洞随时可能被别人撞见。
可你又不能把 exploit 路径、关键参数、复现方式直接发到公开环境里。
消息要是先被黑帽看到,项目方补丁还没打,资金池可能已经被掏空了。
最后最荒唐的情况就是,白帽想做对的事,却被公开透明这件事反过来逼到角落。
Этот сценарий как раз позволяет четко увидеть основную ценность @MidnightNetwork .
@MidnightNetwork сам по себе не ставит целью скрыть все, а сосредоточен на рациональной конфиденциальности.
Говоря проще, это означает, что то, что должно быть доказано, должно быть доказано, а то, что не должно быть распространено, не должно быть разослано. Он всегда подчеркивает селективное раскрытие, которое особенно хорошо работает в раскрытии уязвимостей.
То, что проекту действительно нужно подтвердить, это не то, чтобы сначала раскрыть весь эксплойт, а подтвердить три вещи: является ли эта уязвимость вашей, является ли эта информация действительной, была ли эта запись изменена.
Сначала заблокируйте эти три вещи, а детали будут раскрыты по мере необходимости, вот как должен выглядеть процесс безопасности в блокчейне.
Роль Midnight заключается именно в этом.
Это не просто дает вам коробку конфиденциальности, а предоставляет вам набор проверяемых рабочих процессов конфиденциальности.
Вы можете сначала подать описание уязвимости, оставив временную метку и доказательство существования.
Проект может подтвердить, что подсказки сначала пришли, содержание действительное, порядок подачи ясен, но снаружи нельзя увидеть идентичность белых шляп и полные детали эксплуатации.
Дождитесь завершения исправлений, определения правил вознаграждения, а затем решите, на каком этапе раскрывать информацию.
Таким образом, в блокчейне сохраняется проверяемость, а информация о уязвимостях не станет бомбой замедленного действия из-за преждевременного раскрытия.
За этим не стоит абстрактная концепция.
Compact от Midnight изначально был спроектирован с учетом такого сценария конфиденциальных контрактов.
Открытие бухгалтерских книг, нулевые знания, локальная оффлайн-логика обрабатываются отдельно, созданное разработчиками не является чем-то, что только эксперты в области криптографии могут понять, а представляет собой набор логики приложения, который действительно может запустить процесс.
В контексте безопасности вознаграждений, анонимных отчетов и разведывательных вознаграждений, она решает не вопрос о том, можно ли скрыть, а вопрос о том, как одновременно оставлять доказательства и контролировать распространение.
$NIGHT И эта система DUST не является чем-то необязательным.
$NIGHT это публичный нативный токен управления, а также капитальный уровень.
DUST генерируется NIGHT, а при выполнении сделок и контрактов расходуется DUST. Уведомления о подаче уязвимостей, обновления состояния, последующая проверка, выплата вознаграждений — эти действия не являются разовыми, система должна работать долго, ресурсы должны быть стабильными.
Таким образом, проекту не нужно каждый раз рассчитывать газ, разработчикам также легче создавать такие высокочувствительные процессы в качестве долгосрочной услуги.
Таким образом, суть Midnight заключается не только в конфиденциальности.
Его действительно важное место заключается в том, что он объединяет проверку, разрешения, ритм раскрытия и длительную работу в единую механизм, который может быть реализован.
Поместив это в процесс раскрытия уязвимостей, который больше всего боится утечек, ошибок и потери контроля, этот проект действительно решает что-то важное.
@MidnightNetwork $NIGHT #night
