BattleChain, как новый этап аудита контрактов
Cyfrin, компания Патрика Коллинса, пару недель назад объявила о запуске тестовой сети BattleChain. Это пре-мейннет, пост-тестнет блокчейн с реальными средствами, предназначенный для того, чтобы белые хакеры легально атаковали код протоколов до выхода на основную сеть.
Они подчеркивают, что в 2025 году индустрия потеряла 3,4 миллиарда долларов из-за взломов, и ИИ только усугубляет ситуацию. ИИ-агенты уже пишут и разворачивают контракты, генерируя небезопасный код в 45% случаев. Однако та же технология даёт и решение: ИИ можно настроить так, чтобы он всегда проходил через этап боевого тестирования.
Проблема текущей модели в том, что после аудита проекты идут с тестнета (где нет реальных противников) сразу на мейннет (где есть реальные деньги и хакеры). Баунти-программы работают слабо: за пять лет белые хакеры заработали 110 миллионов долларов, тогда как только за 2025 год чёрные хакеры украли 3,4 миллиарда.
BattleChain решает эту проблему иначе. Вы разворачиваете контракт с реальной ликвидностью, заключаете в сети юридически обязывающее Safe Harbor соглашение, и протокол переводится в режим атаки. Белые хакеры находят уязвимость, забирают 10% от найденного, а остаток возвращают. Без бюрократии, без споров о выплатах.
Если ваш контракт взломали на BattleChain — это не провал, а успешное краш-тестирование. Вы получаете сигнал, которому можно доверять.
Тестнет https://www.battlechain.com/ уже работает. Всё программное обеспечение открыто. В планах — рынки предсказаний, приватные транзакции через Prividium и поддержка AI-десктопов для не технических исследователей безопасности.
Если смотреть на проект со стороны аудитора, то проект действительно решает проблему с оспариванием отчетов по найденным багам: сумел взломать протокол - деньги твои, нет - ищи дальше.
При этом я не смог найти ответы на вопросы целесообразности размещения протокола в battlechain для разработчиков. Из описания сети ясно, что используются реальные активы компании разработчика, и при удачном взломе, аудитор может оставить себе только 10%, а остальное придется вернуть.
Но зачем мне размещать 100% реальной ликвидности на тестовой сети и откладывать запуск на боевой сети? В web3 также и как и в web2 - время очень ценный ресурс. И нужно поскорее набирать пользователей, чтобы хоть как-то выйти в плюс.
Во-вторых, я не нашел ответа эмуляции реальной сети с реальными пользователями и реальными протоколами. Если вы интересовались аудитом, то наверняка знаете, что очень много проблем протокол может иметь в некорректной связке вызовов с внешним протоколом, например, с Uniswap V3, Aave, OpenSea и др. Были ли эти проекты загружены в battechain?
А уникальные параметры l2 сетей? Какие настройки содержит battlenet: похожие на polygon, arbitrum, optimism? А ведь это тоже может иметь значение.
Кроме того, что делать если уязвимость не может быть подтверждена тестом, а соответственно и атакующим контрактом? Грубый пример, не правильный расчет подтверждения блока на сети, или heartbeat в Chainlink? Проблема реальная, но тестов на этот счет я еще не встречал в отчетах.
В-третьих, я не встречал открытой публичной информации о том, какие проекты сейчас загружены в battlechain. Т.е. как аудиторы узнают о новых протоколах в сети, которые можно взломать? О конкурсах говорили и сами площадки c4, cantina и другие в Твиттере, Дискорде, DailyWarden, сами аудиторы. Обсуждались правила и размеры пула. А тут тишина.
Протокол может быть загружен в сеть, только знающие аудиторы просмотрят контракты, протокол решил, что все ок и загрузит код в боевую сеть. И чем это лучше публичных конкурсов?
И это все учитывая то, что рынок аудитов сильно просел за последний год!
В общем у меня больше вопросов к реальной ценности для разработчиков, чем к самой идее. Хотя я могу и ошибаться, и через некоторое время battlechain станет полноценной сетью для работы аудиторов и протоколов.
А вы что думаете?
#battlechain
