【年终更新】虫洞安全程序计划

2022年对加密圈来说无疑是个异常忙碌的年份，协议安全性，互操作性以及桥接相关技术都迎来发展新阶段。在今年2月虫洞协议遭到骇客攻击，成为了虫洞安全程序计划的巨大催化剂，进入全年无休的安全提升加速期。

接下来，我们将会总结过去十多个月来的虫洞安全程序改进，和其如何达到行业领头地位的安全标准。

虫洞贡献者（Contributor）更新

一直以来，贡献者都是任何加密项目的主干，参与项目的各方面发展如开发编程，安全管理等。自2月以来，虫洞出现渐增的工程师和开发者投入安全相关贡献，同时也增加了六名全职安全程序贡献者，并计划在明年1月再增加多一人。

协议安全是每位贡献者的责任，在这方面的专注投入大大提升了虫洞的安全性能。

漏洞赏金（Bug Bounty）更新

在今年1月，虫洞贡献者就已经筹备漏洞赏金计划，并于2月中旬正式在Immunefi平台上启动，成为史上最高的漏洞赏金—高达 $10,000,000USDC的破纪录上奖金金。随后，我们也看见其他跨链项目陆续发布各自的漏洞赏金计划。

• 2022年2月: Wormhole — 虫洞
• 2022年3月: Axelar
• 2022年3月: Multi-chain
• 2022年4月: LayerZero

就在赏金上线后的同一个月，我们就取得关键胜利，颁发了有史以来第一个1000万美元的漏洞赏金奖励。这里程碑确认了漏洞赏金计划是虫洞安全程序计划中不可缺的一部分。它也成功向白帽黑客社区发出了一个明确的信息 — — 即虫洞非常认真的对待这一项计划，履行1000万美元赏金的承诺。

今年9月，我们的贡献者发布了第二项附加的漏洞赏金计划。对于白帽黑客来说，拥有多项多平台的赏金计划可提高他们的参与度，虫洞也会在将来推出更多的相关计划。虫洞希望尽可能的在白帽黑客所信任之处与他们接触，这对我们来说是极重要的策略。

迄今为止，虫洞漏洞赏金计划在2022年所颁发的奖励已超过了2021年谷歌在Chrome和Android颁发的奖励总额。我们希望借此可帮助白帽黑客社区更了解我们对他们的赏识以及对这计划的决心。

大家可在此处找到关于虫洞漏洞赏金计划的详细资料。我们的贡献者也为白帽黑客提供成功案列指导，让他们在起步时获得更高的成功率。

审计（Auditing）更新

2022年1月，虫洞就已经与Neodyme和Kudelsk达成对虫洞各个组件进行安全审计的协议。然而考虑到所投入的安全团队增长以及对第三方安全测试的承诺，我们开始了一个雄心勃勃的审计路线图来增加虫洞的安全保障，并将其成为虫洞软件开发生命周期 (SDLC) 的一个部分。

至此以后，虫洞就超过25个不同的审计范围聘请了多家第三方公司（参阅此的完整列表）。 在范围清单中，其中15项审计成果已经公开，其余的也将其在完成后公之于众。 若没有以下的审计公司给予的额外支持，我们便无法完成如此巨大的审计工程：

• Certik
• Coinspect
• Hacken
• Halborn
• Kudelski
• Neodyme
• OtterSec
• Trail of Bits
• Zellic

我们要感谢上述所有公司与我们的深度合作。 与众多不同的行业人才合作给我们带来了宝贵的经验，使虫洞变得更加安全。

治理（Governor）更新

在2022年 8月，虫洞推出了一项名为Governor的新安全功能。这是为了防范智能合约或公链遭受到妥协的潜在风险。除此，我们也看见互操作性扩展在安全考量下面临的挑战。因此，我们决定需要一个附加的安全网来帮助协议不承担额外风险。

Governor功能使虫洞守护者（Guardian）拥有在每条链上各别对其代币跨链桥的流量设置上限的选择权。虫洞守护者可随着安全信心和市场交易量的增长，适当调整可承担的代币跨链桥风险上限。

事件回应（Incident Response）更新

2022年是加密安全非常忙碌的一年，因而我们有第一手机会学习如何处理好Web3中发生的事件回应。我们与Chainalysis和TRM的等取证组织建立了持久的关系，以满足我们的取证调查需求，对了解链上发生的事情有很大的帮助。这让我们有机会与真心给予协助的行业，相关公司和独立人士接触。我们非常感谢这些英雄的付出。

就在2月发生的重大事件之时，我们有幸卡键非常多的加密项目，深圳市竞争对手都站出来给与协助。对于大家可以抛开竞争意识，将用户放在第一位解决难题的精神感到非常骄傲！

我们也进一步将如何处理事件的步骤，指挥授权以及吸收到的经验教训总结成文档，供大家参考。

社交媒体观测（Social Media Monitoring）更新

今年10 月，虫洞添加了社交媒体观测作为社群聆听的方法之一，以便在发生与虫洞相关的安全事件时收到警报。

在与加密圈和推特紧密联系的基础下，这项系统为虫洞和贡献者们带来持续性的便利，让我们的耳朵和眼睛随时了解正在发生的事情以及对潜在风险做出立即回应。

这种与社群的合作是一种良好的关系，意味着群众无需是全职安全人员也能对虫洞的安全产生积极影响。 该系统曾提醒我们注意几项市场波动与公链事件，让贡献者们有足够空间动员决定是否代表虫洞采取任何行动。

信任假设（Trust Assumptions ）更新

虫洞的信任假设在2022年基本不变。我们有19个不同组织独立运营的守护者，其中一些甚至是加密领域最大的验证器运营商，协助虫洞协议保护链上的数十亿美元资产。

并非所有互操作性协议都拥有相同的信任假设，因此必须使协议信任假设的资料尽可能简易明白以及容易查找。 为此，我们在SECURITY.md页面中添加了相关部分，好了解特定操作需要的守护者验证人数。

集成公链（Chain Integrators）更新

集成公链的安全性会随着连接到虫洞网络里而与虫洞共享。因此，新公链或流量较低的公链会通过以上提起的Governor功能限制降低其风险上限。

当然若能源头上防止此类漏洞，那就更好了。为此我们一直与所有集成公链合作，善用我们的经验为他们的安全计划提供反馈。通常合作会从进行开源化，安全审计和建立漏洞赏金计划方面开始。

未来的期待

希望以上所有更新有助于大家理解虫洞安全程序计划过去十个月来的发展与成果。我们对其为虫洞安全的性能提升感到非常兴奋！我们也很愿意公布更多示例，来说明最佳的Web3安全程序应该如何运行。

如果您对改进虫洞的安全程序有建议，可在虫洞的代码库提交相关讨论。 期待能与您作为贡献者来联系，并能使这些建议转为现实。