Code4rena는 스마트 컨트랙트 보안 마켓플레이스이며, 25명으로 구성된 원격 팀이 보안 연구원들이 취약점을 발견할 수 있도록 경쟁적인 감사를 제공합니다. ^[1][2]

개요

Code4rena는 더 넓은 프로토콜 커버리지와 보장된 보상을 제공하여 전통적인 감사 및 버그 바운티와 차별화됩니다. zkSync, ENS, Chainlink 및 Opensea와 같은 주요 DeFi 및 NFT 업계 리더들이 프로토콜 보안 및 시장 진입 가속화를 위해 Code4rena와 협력했습니다. 48시간 내 감사 시작을 제공하며, 플랫폼은 280건의 감사에서 950건 이상의 높은 심각도의 취약점을 식별했으며, 콘테스트당 평균 70명의 전문 감사관이 참여했습니다. ^[1][3]

Code4rena 생태계에서 워든은 DeFi 공간을 보호하기 위해 감사를 수행하고, 스폰서는 워든에게 프로젝트 감사를 장려하기 위해 상금 풀을 설정합니다. 심판은 발견 사항의 중요성, 유효성 및 품질을 평가하고 워든의 성과를 평가하는 데 중요한 역할을 합니다. 고유한 C4 감사는 버그 바운티와 전통적인 감사 접근 방식 모두와 차별됩니다. ^[3]

역할

워든

역할 및 책임

워든의 주요 역할은 철저한 코드 감사를 통해 탈중앙화 금융(DeFi) 생태계를 보호하는 것입니다. 이러한 감사는 다양한 기술을 가진 개인들에게 보상을 받을 기회를 제공하는 동시에 더욱 안전한 DeFi 환경에 대한 기여를 보여줄 수 있게 합니다. ^[4]

참여 과정

개인은 누구나 워든이 되어 Code4rena 감사에 참여할 수 있습니다. 신청 절차를 거친 후 승인된 워든은 Discord에서 커뮤니티에 참여하고 진행 중인 감사에 대한 관심을 표명할 수 있습니다. Code4rena 웹사이트는 포트 크기, 시작 및 종료 날짜, 관련 정보를 포함하여 공개 및 예정된 감사에 대한 세부 정보에 액세스하기 위한 허브 역할을 합니다. 워든은 코드 감사에 참여하기 전에 Code4rena 행동 강령을 숙지하는 것이 좋습니다. ^[5]

팀 등록

팀을 등록하려는 사용자는 먼저 개별 Warden 핸들을 등록한 다음 팀을 생성해야 합니다. Code4rena 웹사이트에서 팀 리더는 팀원을 관리하고 결제 정보를 업데이트할 수 있습니다. 모든 팀 등록은 Code4rena 팀의 검토를 거칩니다. ^[6]

감사 타임라인

대부분의 Code4rena 감사는 일반적으로 20:00 UTC에 시작하여 종료되며 3-7일 동안 진행됩니다. ^[7]

제출 정책

워든은 책임감 있고 윤리적인 취약점 공개를 보장하는 명확한 제출 정책을 따릅니다. 보고서는 감사 중단 시간 전에 지정된 형식과 지침에 따라 제출할 수 있습니다. 높음, 중간 및 QA 보고서는 개별적으로 또는 집합적으로 제출되며 분석은 코드베이스에 대한 전체적인 검토를 제공합니다. Code4rena는 엄격한 감사 마감일을 시행하며 늦은 제출은 허용하지 않습니다. 잘못된 감사에 실수로 제출한 경우 워든은 올바른 감사에 다시 제출하고 철회에 대한 특정 단계를 따를 수 있습니다. ^[8]

질문 및 커뮤니티 상호 작용

Code4rena는 명확성과 이해를 보장하기 위해 지정된 채널에서 질문과 토론을 장려합니다. 커뮤니티는 적극적으로 협력하여 질문에 응답하고 정책 개선을 위한 제안을 환영합니다. ^[9]

지적 재산 및 권한 부여

워든은 발견 사항에 포함된 배경 지적 재산에 대해 크리에이티브 커먼즈 0 1.0 라이선스를 부여하여 투명성과 협업을 보장합니다. Code4rena는 워든의 선의의 노력을 인정하고 지원하며, 승인된 연구 활동과 관련된 법적 조치를 자제합니다. ^[10]

스폰서

스폰서십 시작

스폰서는 코드4레나에 참여하기 위해 경쟁적인 감사를 구매합니다. 여기에는 워든이 프로젝트 코드를 면밀히 검토하도록 장려하기 위한 보상 풀 생성이 포함됩니다. 코드4레나 감사를 원하는 모든 프로젝트는 스폰서 요청을 제출하여 협업 프로세스를 시작할 수 있습니다. ^[11]

감사 범위

요청 제출 시 Code4rena 팀은 프로젝트 저장소를 평가하고, 응답 및 계약을 검토하여 적절한 감사 패키지를 추천합니다. 범위 지정 단계에서는 코드 라인 수 및 테스트 커버리지 비율과 같은 기술적 세부 사항이 포함되어 감사의 범위를 정확하게 평가합니다. ^[12]

상금 풀 결정

경쟁적인 시장에서 숙련된 감사관을 유치하기 위해 Code4rena는 감사 범위에 따라 표준 상금 풀 규모를 설정합니다. 상금 규모는 감사관의 재능을 유치하는 데 중요한 요소이며, 스폰서는 상금 풀을 늘려 더 많은 관심을 받을 수 있습니다. ^[11]

할당 풀

Code4rena는 각 감사 보상 풀의 일부를 분석(5%)과 유효한 가스 최적화(2.5%)에 할당합니다. 분석은 특정 버그 보고서 이상의 가치 있는 통찰력을 제공하는 고급 조언 및 검토를 제공합니다. 가스 최적화 풀은 사용자에게 가스 요금을 최소화하는 솔루션을 장려하는 것을 목표로 합니다. ^[11]

조직 수수료

감사 풀과는 별도로 Code4rena DAO의 조직 비용을 충당하기 위한 수수료가 적용됩니다. 이 수수료는 감사 구성, 홍보 및 보고와 관련된 노력에 기여합니다. ^[11]

감사 일정 및 프로세스

표준 1주일 감사는 고정된 일정에 따라 UTC 기준 평일 20:00:00에 시작하고 종료됩니다. 스폰서는 일정 확정을 위해 보증금을 예치해야 합니다. 코드, 문서, 메모를 포함한 감사 레포지토리는 효율적이고 효과적인 코드 검토를 위해 감사 시작 최소 48시간 전에 설정되어야 합니다. ^[11]

감사 중 및 감사 후

감사 기간 동안 스폰서는 공정한 경쟁을 유지하기 위해 코드 동결을 준수해야 합니다. 스폰서는 C4 Discord 서버에서 팀 구성원이 Warden 질문에 비공개로 응답할 수 있도록 하는 것이 좋습니다. 감사 후 스폰서는 발견 사항을 검토하고, 중복을 식별하는 데 도움을 주며, 식별된 문제를 해결하기 위한 완화 검토 단계에 참여합니다. ^[11]

Code4rena 완화 검토

완화 검토는 스폰서 팀이 감사 중 발견된 높은 위험 및 중간 위험 문제에 대한 완화를 해결하고 검증하기 위해 최고의 워든과 협력하는 것을 포함합니다. 이 단계에는 초기 감사 콘테스트와 유사한 검토 및 심사 프로세스가 포함됩니다. ^[11]

Code4rena 감사 준비

Code4rena 감사의 가치를 극대화하기 위해 스폰서는 작동하는 명령어가 포함된 자체 포함 리포지토리를 준비하고, 정리된 리포지토리 및 README를 유지하고, 가능한 경우 비디오 안내를 공유하고, 워든 질문에 빠르게 액세스할 수 있도록 C4 Discord에서 활발하게 활동하는 것이 좋습니다. ^[13]

심판

심판은 Code4rena 경쟁 감사 모델에서 중요한 역할을 수행하며, 와든이 제출한 발견 사항의 심각도, 유효성 및 품질을 결정합니다. 이러한 공정한 평가는 Code4rena 플랫폼의 전반적인 성공에 기본이 됩니다. ^[14]

선정 및 공정성

스폰서와의 일치성을 보장하고 심각도 평가의 객관성을 유지하기 위해 Code4rena는 각 감사에 대해 공정한 심판을 선정합니다. 심판은 감사관의 발견 사항과 스폰서의 의견을 독립적으로 검토하여 Code4rena가 감사 보고서에 대한 발견 사항을 공정하게 분류할 수 있도록 합니다. 커뮤니티는 심판에게 심각도를 결정하는 최종 권한을 부여하며, 심판은 감사 풀의 일정 비율을 기준으로 보상을 받습니다. ^[14]

심판이 되는 방법

Code4rena에서 존경받고 필수적인 역할인 심판은 신중한 선발 과정을 거칩니다. 일반적으로 DeFi 커뮤니티의 기존 구성원인 심판은 이전 심판 경험을 바탕으로 추천을 받습니다. C4 커뮤니티 내에서 자체적으로 선발된 커뮤니티 심판은 Code4rena 감사 참여, 버그 발견, 공정성 및 명확한 의사 소통과 같은 비기술적 기준 준수를 포함한 특정 기준을 충족해야 합니다. ^[14]

판사 선정 과정

판사 지원서는 최고 순위 워든과 과거 판사로 구성된 C4 판사 선정 위원회에서 매달 검토합니다. 위원회는 지원서를 평가하여 '예' 또는 '아직 아님' 결정을 내립니다. 워든은 판사가 될 수 있지만, 공정성을 보장하기 위해 동일 감사에서 발견한 결과에 대해 받을 수 있는 상을 포기해야 합니다. ^[14]

감사 평가

평가 과정은 이상적으로 핸드오프 후 48시간 이내에 완료됩니다. 심사위원은 평가 도구에 대한 기술 문서를 제공받으며, 검토에는 스폰서 피드백, 코드베이스 유효성 검사, 심각도 및 유효성 평가가 포함됩니다. 심사위원의 역할은 스폰서와의 논의 및 종합 보고서 확정으로 확장됩니다. ^[14]

심사위원은 특정 지침을 따르며, 참조를 위해 기술 문서 및 과거 감사를 검토합니다. 스마트 계약 로직과 직접 관련이 없는 제출물은 QA로 간주됩니다. 심사위원은 스폰서 피드백을 고려하지만, 결정은 독립적으로 유지됩니다. 명확성을 위해 스폰서와의 논의가 권장되며, 심사위원은 심각도 평가 변경에 대한 정당성을 제공해야 합니다. ^[14]

결과를 넘기기 전에 심사위원은 최고 점수 QA 보고서 상단에 의견을 추가하여 심각도 또는 무효 항목에 대한 이견을 기록합니다. 이 정보는 최종 보고서에 기여하며, 심사위원은 Code4rena 콘테스트 관리자에게 심사 후 QA 및 상금 분배 준비 상태를 알립니다. 심사 과정 전반에 걸쳐 #judges Discord 채널 또는 DM 내에서 열린 소통이 권장됩니다. ^[14]

인증된 기여자

Code4rena는 커뮤니티 구성원이 적극적으로 기여할 수 있는 플랫폼을 제공하며, 인증된 기여자는 신원 확인 및 계약을 통해 향상된 기회를 누릴 수 있습니다. 이 인증은 Code4rena 생태계 내에서 다양한 역할과 책임을 수행할 수 있는 문을 열어줍니다. ^[15]

자격 요건 역할

인증된 기여자는 비공개 또는 초대 전용 콘테스트에 참여하고, 범위 지정 및 콘테스트 전 코드 인텔리전스를 위한 스카우트 역할을 맡고, 콘테스트 후 분류 및 심사 후 QA에 참여하고, 완화 검토 서비스를 제공하고, Code4rena를 통해 단독 감사 및 컨설팅 서비스를 제공할 수 있습니다. 고려 중인 추가 기회에는 특정 토큰 보상 및 잠재적인 미래 보상 고려 사항이 포함됩니다. ^[15]

인증 프로세스

인증 프로세스는 제3자(Provenance)를 통해 실행되며 개인 정보 보호를 우선시합니다. 기여자는 신청서를 제출하고, 인증된 기여자 약관에 동의하고, 신원 확인을 거치며, 행동 강령 및 기밀 유지 계약서에 서명합니다. Code4 Corporation은 개인 정보에 접근하지 않고 인증 확인을 받아 기여자의 개인 정보를 보호합니다. ^[16]

제약 조건

인증된 기여자는 계약 합의에 구속되며, 위반 시 Code4rena Cayman Foundation에서 구제 조치를 취할 수 있습니다. 익스플로잇과 관련된 주장은 Provenance가 당국에 식별 정보를 제공하도록 하며, 이는 인증 조건 준수의 중요성을 강조합니다. ^[17]

+Backstage Wardens

특정 성과 기준을 충족하는 뛰어난 인증된 기여자는 Code4rena 감사에 대한 "+Backstage" 액세스 권한을 얻어 결과 저장소에 즉시 액세스하고, 감사 후 분류에 기여하며, 심사 후 QA에 참여할 수 있습니다. 기준에는 인증 승인, 최소 3회의 Code4rena 감사 참여, 특정 심각도 발견, 인증된 기여자 약관 준수가 포함됩니다. ^[18]

+Backstage 액세스 요청

자격 기준을 충족하는 인증된 기여자는 지정된 프로세스를 통해 +Backstage 액세스 요청을 제출할 수 있습니다. Code4rena 직원은 승인 시 설정을 용이하게 합니다. ^[19]

전문적인 행동 지침

인증된 기여자는 객관적이고 동료애적이며 지적으로 열린 접근 방식을 보장하는 전문적인 행동 강령을 준수해야 합니다. 모든 커뮤니티 구성원을 존중하고 감사 보고서가 공개될 때까지 기밀을 유지하는 것은 +Backstage 역할을 유지하는 데 필수적입니다. ^[18]

Lookouts

Lookout은 Code4rena에서 중요한 역할을 수행하며, 대회 제출물을 검토 및 정리하여 프로젝트 팀의 업무 부담을 줄이고 심사를 위해 저장소를 준비합니다. Lookout이 되려면 심사위원 또는 평판이 좋은 Lookout의 추천을 받거나 스스로 추천할 수 있습니다. 이 역할에는 최소 3회의 Code4rena 감사, 입증된 발견 사항, 공정성 및 효과적인 서면 의사 소통에 대한 헌신이 필요합니다. ^[20]

지원 절차

지원자는 간단한 자기소개, 관련 경험, 제출물 예시를 공유하는 종합적인 양식을 작성합니다. 지원서는 매달 검토되며, 합격자는 통보를 받습니다. ^[20]

스카우트

Code4rena 스카우트는 범위 설정 및 사전 감사 정보 수집을 전문으로 하며, 라이브러리 종속성, 외부 호출, 타임락, 코드 라인 수와 같은 요소를 평가합니다. 이들의 통찰력은 감사 매개변수 최적화에 기여합니다. 스카우트는 감사가 시작되기 전에 제안된 코드와 저장소를 검토하여 범위 설정 정확도 및 저장소 준비 상태에 대한 피드백을 제공합니다. 감사 중에는 스카우트는 공개 코드 저장소를 모니터링하여 지침 준수를 확인합니다. 스카우트 보상은 대회당 500달러(USDC)의 고정 수수료를 포함합니다. ^[21]

선정 과정

역할의 민감한 특성으로 인해 스카우트는 현재 Code4rena 팀에서 직접 선정하며, 이는 그들의 기여에 있어서 정확성과 신뢰성의 중요성을 반영합니다. ^[21]

수상

인센티브 모델 및 채점 시스템

Code4rena는 고유한 버그를 발견한 참가자에게 보상하고 시빌 공격으로부터 감사를 보호하는 동시에 참가자 간의 협업을 장려하는 이중 목표를 달성하도록 설계된 독특한 채점 시스템을 사용합니다. ^[22]

Warden 인센티브

참가자는 심각도에 따라 버그에 대한 지분을 받으며, 중간 및 높은 위험 버그에 대해 지분이 계산됩니다. 점수 시스템은 비례 배분 모델을 사용하여 공정한 보상을 보장합니다. 또한 감사 보고서에 포함될 최상의 제출물은 고유한 높음 또는 중간 위험 발견 각각에 대해 30%의 지분 보너스를 받습니다. ^[22]

중복 및 부분 점수 처리

동일한 기능적 취약점을 식별하는 문제는 중복으로 간주되며, 이에 따라 지분이 공유됩니다. 최고 심각도 사례를 효과적으로 합리화하지 못한 제출물은 심사관의 재량에 따라 지분이 2 또는 4로 나뉘어 '부분 점수'를 받을 수 있습니다. ^[22]

봇 레이스

각 Code4rena 감사의 초기 1시간은 봇 레이스를 특징으로 하며, 고품질 자동화 결과를 우선시합니다. 모든 워든과 공유되는 우승 봇 보고서는 특정 결과를 수상 범위에서 벗어난 것으로 지정하여 노력을 간소화하고 인간 감사관이 고유한 문제에 집중할 수 있도록 합니다. ^[23]

분석, QA 및 가스 최적화 보고서

감사자들은 분석 보고서를 제출하여 보상 풀의 일부를 놓고 경쟁할 수 있습니다. QA 및 가스 최적화 보고서는 높은 수준의 품질과 가치를 보장하기 위해 등급이 매겨지고 보상이 주어집니다. 각 범주(분석, QA 보고서, 가스 보고서)에서 최고의 보고서는 30%의 보너스를 받습니다. 특히, 포함되도록 선택된 B 등급 보고서도 비례 보상 및 보너스 고려 사항에 대해 A 등급으로 취급됩니다. ^[22]

QA 및 가스 최적화 보고서를 위한 커브 로직

QA 및 가스 보고서 채점은 세 단계 시스템(A, B 또는 C 등급)을 포함하며, 해당 등급에 따라 상금 풀의 일부를 받습니다. 점수가 동점인 경우, 해당 슬롯에 대한 총 상금은 동점 보고서 간에 분할됩니다. ^[24]

심사 기준

심사위원은 심사 과정에서 심각성, 유효성, 중복 및 보고서 품질을 평가하는 중요한 역할을 합니다. 결정은 공정성과 품질을 보장하기 위해 48시간의 품질 보증 프로세스를 거칩니다. ^[25]

만족/불만족 제출물

불만족스럽다고 판단되는 제출물은 수상 자격이 없습니다. 만족스러운 제출물의 기준은 전문 감사인의 초안 보고서와 비슷한 수준으로 설정되며, 기술적인 내용과 효과적인 의사 소통을 강조합니다. [25]

분석 평가 기준

분석은 A, B 또는 C 등급으로 평가되며, A 등급 보고서는 2점을 받습니다. 최고의 분석은 감사 보고서에 포함되도록 선정되어 C4의 심각도 기준의 진화하는 메타에 기여합니다. ^[25]

공정성과 유효성

Code4rena는 공정성, 객관성 및 일관성을 강조하며, 참가자는 정의된 역할과 원칙을 준수해야 합니다. 시스템은 지속적으로 진화하며, 모든 이해 관계자를 위해 문제점을 해결하고 프로세스를 개선합니다. ^[26]

규칙의 진화

규칙의 지속적인 발전은 유효성의 주관적인 기준을 설명하는 루브릭에 의해 안내됩니다. 이 루브릭은 제출물의 품질에 대한 표준을 설정하고 참가자에게 명확성을 제공하여 공정하고 상호 합의된 기준선을 촉진하는 것을 목표로 합니다. 규칙 개선과 관련된 문제 및 제안 사항은 공개적으로 논의되고 반복적인 개선을 위해 문서화됩니다. ^[25]