Code4rena는 스마트 컨트랙트 보안 마켓플레이스이며, 25명으로 구성된 원격 팀이 보안 연구원들이 취약점을 발견할 수 있도록 경쟁적인 감사를 제공합니다. ^[1][2]

개요

Code4rena는 더 넓은 프로토콜 커버리지와 보장된 보상을 제공하여 전통적인 감사 및 버그 바운티와 차별화됩니다. zkSync, ENS, Chainlink 및 Opensea와 같은 주요 DeFi 및 NFT 업계 리더들이 프로토콜 보안 및 시장 진입 가속화를 위해 Code4rena와 협력했습니다. 48시간 내 감사 시작을 제공하며, 플랫폼은 280건의 감사에서 950개 이상의 심각한 취약점을 식별했으며, 콘테스트당 평균 70명의 전문 감사관이 참여합니다. ^[1][3]

Code4rena 생태계에서 워든은 DeFi 공간을 보호하기 위해 감사를 수행하고, 스폰서는 워든에게 프로젝트 감사에 대한 인센티브를 제공하기 위해 상금 풀을 설정합니다. 심판은 발견 사항의 중요성, 유효성 및 품질을 평가하고 워든 성과를 평가하는 데 중요한 역할을 합니다. 고유한 C4 감사는 버그 바운티 및 전통적인 감사 접근 방식과 차별화됩니다. ^[3]

역할

워든

역할 및 책임

워든의 주요 역할은 철저한 코드 감사를 통해 탈중앙화 금융(DeFi) 생태계를 보호하는 것입니다. 이러한 감사를 통해 다양한 기술을 가진 개인들이 보상을 받을 수 있는 기회를 얻고, 더욱 안전한 DeFi 환경에 대한 기여를 보여줄 수 있습니다. ^[4]

참여 과정

개인은 누구나 Warden이 되어 Code4rena의 감사에 참여하기 위해 신청할 수 있습니다. 신청 절차 후 승인된 Warden은 Discord에서 커뮤니티에 참여하고 진행 중인 감사에 대한 관심을 표명할 수 있습니다. Code4rena 웹사이트는 포트 크기, 시작 및 종료 날짜, 관련 정보를 포함하여 공개 및 예정된 감사에 대한 세부 정보에 액세스하기 위한 허브 역할을 합니다. Warden은 코드 감사에 참여하기 전에 Code4rena 행동 강령을 숙지하는 것이 좋습니다. ^[5]

팀 등록

팀을 등록하려는 사용자는 먼저 개별 Warden 핸들을 등록한 다음 팀을 생성해야 합니다. Code4rena 웹사이트를 통해 팀 리더는 멤버를 관리하고 결제 정보를 업데이트할 수 있습니다. 모든 팀 등록은 Code4rena 팀의 검토를 거칩니다. ^[6]

감사 타임라인

대부분의 Code4rena 감사는 일반적으로 UTC 20:00에 시작하여 3~7일 동안 진행됩니다. ^[7]

제출 정책

워든은 책임감 있고 윤리적인 취약점 공개를 보장하는 명확한 제출 정책을 따릅니다. 보고서는 감사 종료 시간 전에 지정된 형식과 지침에 따라 제출할 수 있습니다. 높음, 중간, QA 보고서는 개별적으로 또는 집합적으로 제출되며, 분석은 코드베이스에 대한 전체적인 검토를 제공합니다. Code4rena는 엄격한 감사 마감일을 시행하며 늦은 제출은 허용하지 않습니다. 잘못된 감사에 실수로 제출한 경우 워든은 올바른 감사에 다시 제출하고 철회에 대한 특정 단계를 따를 수 있습니다. ^[8]

질문 및 커뮤니티 상호 작용

Code4rena는 명확성과 이해를 보장하기 위해 지정된 채널에서 질문과 토론을 장려합니다. 커뮤니티는 적극적으로 협력하여 질문에 응답하고 정책 개선을 위한 제안을 환영합니다. ^[9]

지적 재산 및 권한 부여

워든은 발견 사항에 포함된 배경 지적 재산에 대해 크리에이티브 커먼즈 0 1.0 라이선스를 부여하여 투명성과 협업을 보장합니다. Code4rena는 워든의 선의의 노력을 인정하고 지원하며, 승인된 연구 활동과 관련된 법적 조치를 자제합니다. ^[10]

스폰서

스폰서십 시작

스폰서는 경쟁적인 감사를 구매하여 Code4rena에 참여하며, 이는 워든이 프로젝트 코드를 면밀히 검토하도록 장려하기 위한 상금 풀을 조성하는 것을 포함합니다. Code4rena 감사를 원하는 모든 프로젝트는 스폰서 요청을 제출하여 협업 프로세스를 시작할 수 있습니다. ^[11]

감사 범위 설정

요청 제출 시 Code4rena 팀은 프로젝트 저장소를 평가하고, 응답 및 계약을 검토하여 적절한 감사 패키지를 추천합니다. 범위 설정 단계에서는 코드 라인 수, 테스트 커버리지 비율과 같은 기술적 세부 사항이 포함되어 감사의 범위를 정확하게 평가합니다. ^[12]

상금 풀 결정

경쟁적인 시장에서 숙련된 감사관을 유치하기 위해 Code4rena는 감사 범위에 따라 표준 상금 풀 규모를 설정합니다. 상금 규모는 감사관의 재능을 유치하는 데 중요한 요소이며, 스폰서는 상금 풀을 늘려 더 많은 관심을 받을 수 있습니다. ^[11]

할당 풀

Code4rena는 각 감사 보상 풀의 일부를 분석(5%)과 유효한 가스 최적화(2.5%)에 할당합니다. 분석은 특정 버그 보고서 외에 가치 있는 통찰력을 제공하는 고급 조언 및 검토를 제공합니다. 가스 최적화 풀은 사용자에게 가스 요금을 최소화하는 솔루션을 장려하는 것을 목표로 합니다. ^[11]

조직 수수료

감사 풀과는 별도로 Code4rena DAO의 조직 비용을 충당하기 위한 수수료가 부과됩니다. 이 수수료는 감사 구성, 홍보 및 보고와 관련된 노력에 기여합니다. ^[11]

감사 일정 및 프로세스

표준 1주일 감사는 고정된 일정에 따라 진행되며, UTC 기준 평일 20:00:00에 시작하여 종료됩니다. 스폰서는 일정 확정을 위해 보증금을 예치해야 합니다. 코드, 문서, 메모를 포함한 감사 레포지토리는 효율적이고 효과적인 코드 검토를 위해 감사 시작 최소 48시간 전에 설정되어야 합니다. ^[11]

감사 중 및 감사 후

감사 기간 동안 스폰서는 공정한 경쟁을 유지하기 위해 코드 동결을 준수해야 합니다. 스폰서는 워든 질문에 개인적으로 답변할 수 있도록 C4 Discord 서버에서 팀원을 사용할 수 있도록 권장됩니다. 감사 후 스폰서는 발견 사항을 검토하고, 중복을 식별하는 데 도움을 주며, 식별된 문제를 해결하기 위해 완화 검토 단계를 수행합니다. ^[11]

Code4rena 완화 검토

완화 검토는 감사 중 발견된 높은 위험 및 중간 위험 문제에 대한 완화를 해결하고 검증하기 위해 스폰서 팀이 최고의 성과를 내는 워든과 협력하는 것을 포함합니다. 이 단계에는 초기 감사 콘테스트와 유사한 검토 및 심사 프로세스가 포함됩니다. ^[11]

Code4rena 감사 준비

Code4rena 감사의 가치를 극대화하기 위해 스폰서는 작동하는 명령어가 포함된 자체 포함 리포지토리를 준비하고, 정리된 리포지토리 및 README를 유지하며, 가능한 경우 비디오 안내를 공유하고, 감사관 질문에 빠르게 접근할 수 있도록 C4 Discord에서 활발하게 활동하는 것이 좋습니다. ^[13]

심판

심판은 코드4레나 경쟁 감사 모델에서 중요한 역할을 수행하며, 와든이 제출한 발견 사항의 심각도, 유효성 및 품질을 결정하는 책임을 맡습니다. 이러한 공정한 평가는 코드4레나 플랫폼의 전반적인 성공에 근본적인 역할을 합니다. ^[14]

선정 및 공정성

스폰서와의 연계를 보장하고 심각도 평가의 객관성을 유지하기 위해 Code4rena는 각 감사에 대해 공정한 심판을 선정합니다. 심판은 와든의 발견 사항과 스폰서의 의견을 독립적으로 검토하여 Code4rena가 감사 보고서를 위해 발견 사항을 공정하게 분류할 수 있도록 합니다. 커뮤니티는 심판에게 심각도를 결정할 최종 권한을 부여하며, 심판은 감사 풀의 일정 비율을 기준으로 보상을 받습니다. ^[14]

심판이 되는 방법

Code4rena에서 존경받고 필수적인 역할인 심판은 신중한 선발 과정을 거칩니다. 일반적으로 DeFi 커뮤니티의 기존 구성원인 심판은 이전 심판 경험을 바탕으로 추천을 받습니다. C4 커뮤니티 내에서 자체적으로 선발된 커뮤니티 심판은 Code4rena 감사 참여, 버그 발견, 공정성 및 명확한 의사 소통과 같은 비기술적 기준 준수를 포함한 특정 기준을 충족해야 합니다. ^[14]

판사 선정 과정

판사 지원서는 최고 순위 감사관과 과거 판사로 구성된 C4 판사 선정 위원회에서 매월 검토합니다. 위원회는 지원서를 평가하여 '예' 또는 '아직 아님' 결정을 내립니다. 감사관은 판사가 될 수 있지만, 공정성을 보장하기 위해 동일 감사에서 발견한 결과에 대해 받을 수 있는 상을 포기해야 합니다. ^[14]

감사 평가

평가 과정은 이상적으로 핸드오프 후 48시간 이내에 완료됩니다. 심사위원은 평가 도구에 대한 기술 문서를 받으며, 검토에는 스폰서 피드백, 코드베이스 유효성 검사, 심각도 및 유효성 평가가 포함됩니다. 심사위원의 역할은 스폰서와의 논의 및 종합 보고서 확정까지 확장됩니다. ^[14]

심사위원은 특정 지침을 따르며, 기술 문서 및 과거 감사 보고서를 참조하여 검토합니다. 스마트 계약 로직과 직접 관련이 없는 제출물은 QA로 간주됩니다. 심사위원은 스폰서 피드백을 고려하지만, 결정은 독립적으로 이루어집니다. 명확성을 위해 스폰서와의 논의가 권장되며, 심사위원은 심각도 평가 변경에 대한 정당성을 제공해야 합니다. ^[14]

결과를 넘기기 전에 심사위원은 최고 점수를 받은 QA 보고서 상단에 심각도 또는 유효하지 않은 항목에 대한 이견을 기록합니다. 이 정보는 최종 보고서에 기여하며, 심사위원은 Code4rena 콘테스트 관리자에게 심사 후 QA 및 상금 분배 준비가 되었음을 알립니다. 심사 과정 전반에 걸쳐 #judges Discord 채널 또는 DM 내에서 열린 커뮤니케이션이 권장됩니다. ^[14]

인증된 기여자

Code4rena는 커뮤니티 구성원이 적극적으로 기여할 수 있는 플랫폼을 제공하며, 인증된 기여자는 신원 확인 및 계약을 통해 향상된 기회를 누릴 수 있습니다. 이 인증은 Code4rena 생태계 내에서 다양한 역할과 책임에 대한 문을 엽니다. ^[15]

참여 자격이 있는 역할

인증된 기여자는 비공개 또는 초대 전용 콘테스트에 참여하고, 범위 지정 및 콘테스트 전 코드 인텔리전스를 위한 스카우트 역할을 맡고, 콘테스트 후 심사 및 심사 후 QA에 참여하고, 완화 검토 서비스를 제공하며, Code4rena를 통해 단독 감사 및 컨설팅 서비스를 제공할 수 있습니다. 고려 중인 추가 기회로는 특정 토큰 보상과 잠재적인 미래 보상 고려 사항이 있습니다. ^[15]

인증 프로세스

제3자(Provenance)를 통해 실행되는 인증 프로세스는 개인 정보 보호를 우선시합니다. 기여자는 신청서를 제출하고, 인증된 기여자 약관에 동의하고, 신원 확인을 거치며, 행동 강령 및 기밀 유지 계약서에 서명합니다. Code4 Corporation은 개인 정보에 접근하지 않고 인증 확인을 받아 기여자의 개인 정보를 보호합니다. ^[16]

제약 조건

인증된 기여자는 계약상 합의에 구속되며, 위반 시 Code4rena Cayman Foundation에서 구제 조치를 취할 수 있습니다. 익스플로잇과 관련된 주장은 Provenance가 당국에 식별 정보를 제공하도록 하며, 이는 인증 조건 준수의 중요성을 강조합니다. ^[17]

+Backstage Wardens

특정 성과 기준을 충족하는 뛰어난 인증된 기여자는 Code4rena 감사에 대한 "+Backstage" 액세스 권한을 얻어 감사 결과 저장소에 즉시 액세스하고, 감사 후 분류에 기여하며, 심사 후 QA에 참여할 수 있습니다. 기준에는 인증 승인, 최소 3회의 Code4rena 감사 참여, 특정 심각도 발견 사항, 인증된 기여자 약관 준수가 포함됩니다. ^[18]

+Backstage 액세스 요청

자격 기준을 충족하는 인증된 기여자는 지정된 프로세스를 통해 +Backstage 액세스 권한을 요청할 수 있습니다. Code4rena 스태프는 승인 시 설정을 용이하게 합니다. ^[19]

전문적인 행동 지침

인증된 기여자는 객관적이고 동료애적이며 지적으로 열린 접근 방식을 보장하는 전문적인 행동 강령을 준수해야 합니다. 모든 커뮤니티 구성원을 존중하고 감사 보고서가 공개될 때까지 기밀을 유지하는 것은 +Backstage 역할을 유지하는 데 필수적입니다. ^[18]

Lookouts

Lookout은 Code4rena에서 중요한 역할을 수행하며, 대회 제출물을 검토하고 정리하여 프로젝트 팀의 업무 부담을 줄이고 심사를 위해 저장소를 준비합니다. Lookout이 되려면 평판이 좋은 심판이나 Lookout의 추천을 받거나 스스로 추천할 수 있습니다. 이 역할에는 최소 3회의 Code4rena 감사, 입증된 발견 사항, 공정성과 효과적인 서면 커뮤니케이션에 대한 헌신이 필요합니다. ^[20]

지원 절차

지원자는 상세한 양식을 작성하여 간단한 자기소개, 관련 경험 및 제출물 예시를 공유합니다. 지원서는 매월 검토되며, 합격자는 통보받습니다. ^[20]

스카우트

Code4rena 스카우트는 범위 설정 및 사전 감사 정보 수집을 전문으로 하며, 라이브러리 종속성, 외부 호출, 타임락, 코드 라인 수와 같은 요소를 평가합니다. 이들의 통찰력은 감사 매개변수 최적화에 기여합니다. 스카우트는 감사가 시작되기 전에 제안된 코드와 저장소를 검토하여 범위 설정 정확도 및 저장소 준비 상태에 대한 피드백을 제공합니다. 감사 중에는 스카우트는 공개 코드 저장소를 모니터링하여 지침 준수를 확인합니다. 스카우트 보상은 경쟁당 500달러(USDC)의 고정 요금을 포함합니다. ^[21]

선발 과정

역할의 민감한 특성으로 인해 스카우트는 현재 Code4rena 팀에서 직접 선정하고 있으며, 이는 그들의 기여에 있어서 정확성과 신뢰성의 중요성을 반영합니다. ^[21]

수상

인센티브 모델 및 채점 시스템

Code4rena는 고유한 버그를 발견한 참가자에게 보상을 제공하고 시빌 공격으로부터 감사를 보호하는 이중 목표를 달성하도록 설계된 독특한 채점 시스템을 사용합니다. 이 시스템은 또한 참가자 간의 협업을 장려합니다. ^[22]

Warden 인센티브

참가자는 심각도에 따라 버그에 대한 지분을 받으며, 중간 및 높은 위험 버그에 대해 지분이 계산됩니다. 점수 시스템은 비례 배분 모델을 사용하여 공정한 보상을 보장합니다. 또한 감사 보고서에 포함하기 위한 최상의 제출물은 각 고유한 높음 또는 중간 발견 사항에 대해 30%의 지분 보너스를 받습니다. ^[22]

중복 및 부분 점수 처리

동일한 기능적 취약점을 식별하는 문제는 중복으로 간주되며, 이에 따라 지분이 공유됩니다. 최고 심각도 사례를 효과적으로 합리화하지 못한 제출물은 심사관의 재량에 따라 지분이 2 또는 4로 나뉘어 '부분 점수'를 받을 수 있습니다. ^[22]

봇 레이스

각 Code4rena 감사의 첫 시간은 봇 레이스를 특징으로 하며, 고품질 자동화된 발견을 우선시합니다. 모든 워든과 공유되는 우승 봇 보고서는 특정 발견 사항을 수상 범위에서 제외하여 노력을 간소화하고 인간 감사자가 고유한 문제에 집중할 수 있도록 합니다. ^[23]

분석, QA, 가스 최적화 보고서

감사자들은 분석 보고서를 제출하여 보상 풀의 일부를 놓고 경쟁할 수 있습니다. QA 및 가스 최적화 보고서는 높은 수준의 품질과 가치를 보장하기 위해 높은 심각도 및 중간 심각도 발견 사항에 중점을 두고 평가 및 보상이 이루어집니다. 각 범주(분석, QA 보고서, 가스 보고서)에서 최고의 보고서는 30%의 보너스를 받습니다. 특히 포함되도록 선택된 B 등급 보고서도 비례 보상 및 보너스 고려 사항에 대해 A 등급으로 취급됩니다. ^[22]

QA 및 가스 최적화 보고서를 위한 커브 로직

QA 및 가스 보고서 등급은 A, B 또는 C 등급의 3단계 시스템과 해당 보상 풀의 부분으로 구성됩니다. 점수가 동점인 경우 해당 슬롯에 대한 총 보상은 동점 보고서 간에 분할됩니다. ^[24]

심사 기준

심사위원은 심사 과정에서 심각성, 유효성, 중복 및 보고서 품질을 평가하는 중요한 역할을 합니다. 결정은 공정성과 품질을 보장하기 위해 48시간의 품질 보증 프로세스를 거칩니다. ^[25]

만족/불만족 제출물

불만족스러운 제출물은 수상 자격이 없습니다. 만족스러운 제출물의 기준은 전문 감사인의 초안 보고서와 유사한 수준으로 설정되며, 기술적인 내용과 효과적인 의사 소통을 강조합니다. ^[25]

분석 평가 기준

분석 보고서는 A, B, C 등급으로 평가되며, A등급 보고서는 2점을 받습니다. 최고의 분석 보고서는 감사 보고서에 포함되도록 선정되며, C4의 심각도 기준의 진화하는 메타에 기여합니다. ^[25]

공정성과 유효성

Code4rena는 공정성, 불편부당성, 일관성을 강조하며, 참가자들은 정의된 역할과 원칙을 준수해야 합니다. 시스템은 지속적으로 발전하며, 모든 이해관계자에게 이익이 되도록 문제점을 해결하고 프로세스를 개선합니다. ^[26]

규칙의 진화

규칙의 지속적인 발전은 유효성의 주관적인 기준을 설명하는 루브릭에 의해 안내됩니다. 이 루브릭은 제출물의 품질에 대한 표준을 설정하고 참가자에게 명확성을 제공하여 공정하고 상호 합의된 기준선을 촉진하는 것을 목표로 합니다. 규칙 개선과 관련된 문제 및 제안 사항은 공개적으로 논의되고 반복적인 개선을 위해 문서화됩니다. ^[25]