Définitions des conditions de fonctionnement du comité de sécurité

CyberSapyen Excellente idée : belle balise GPS

Alors ça, c'est même pas la peine!

Une fois sur deux je ne comprends pas le sarcasme, et je risque de te prendre au premier degré.

Du coup, @CyberSapyen , tu es pour ou contre?

DRKTT Euh...la plupart des REG des postulants sont certainement déjà dans le Vault

J'en ai vu en vente ce matin.

PhilP On pourrait utiliser l'application de snapshots des REG (pour le PowerVoting),

Michael-RealT Attention les REG dans le vault le sont pour une durée différente du mandat, ça peux donc etre problématique, et donne une fenêtre pour faire des actions malveillante sans risque de perte de REG

Michael-RealT La solution la plus simple serais de demander de bloquer les REG sur le Safe du comité ou de le faire via sablier, si nous avons besoin de fonctionnement particulier alors il faudra dev quelque chose

@PhilP
Je n'ai pas l'habitude, mais il me semble plus sain que les gens décident pour quelle activité et avec quel ratio risques/récompenses ils investissent leurs REGs (et leur temps). D'après mes recherches, les deux principaux avantages d'un "vault" unique seraient la simplicité et la possibilité pour les détenteurs d’optimiser leurs rendements en utilisant un seul dépôt pour plusieurs types d’incitations.

Le "vault" dont tu parles, PhilP, a été conçu pour encourager la participation active et l'engagement dans la gouvernance de la DAO, en récompensant notamment les votes. Ici, nous parlons d’une tout autre responsabilité : assumer un rôle au sein du comité de sécurité, qui implique des engagements spécifiques.

Michael nous a confirmé qu’il est possible d'utiliser le "Safe" du comité comme compte de dépôt pour la caution, ce qui répond à mes exigences sans nécessiter d'efforts techniques supplémentaires.

Je suis donc contre l'idée d'utiliser les REGs dans le REGIncentiveVault comme caution pour le comité de sécurité. Je suis pour l'utilisation du Safe dédié au comité comme compte de caution.

@PhilP
I'm not used to it, but it seems healthier that people decide what activity and with what risk/reward ratio they invest their REGs (and their time). According to my research, the two main advantages of a unique “vault” would be simplicity and the possibility for holders to optimize their returns by using a single deposit for several types of incentives.

The “vault” you're talking about, PhilP, was designed to encourage active participation and engagement in DAO governance, notably by rewarding votes. Here, we're talking about an entirely different responsibility: taking on a role on the safety committee, which involves specific commitments.

Michael has confirmed that it is possible to use the committee's "Safe" as a deposit account for the deposit, which meets my requirements without requiring any additional technical effort.

I am therefore against the idea of using REGs in the REGIncentiveVault as a surety for the safety committee. I am for using the Safe dedicated to the committee as a surety account.

Michael-RealT I think that the security committee should have a dedicated discussion group somewhere

C'est effectivement une nécessité. Ne serait-ce que pour permettre aux membres du comité de sécurité de s’organiser efficacement pour assurer une couverture continue pendant les périodes critiques, comme l'été ou les fêtes de fin d'année, où les indisponibilités peuvent se chevaucher.

Je rapelle aussi que dans sa forme actuelle, la suggestion demande que le commité rédige un rapport d'incident. On peut imaginer qu'un minimum d'échange entre les membres soit requis.

Sylvain Leroux Ici encore , consensus sur la maîtrise des Gnosis Safe qui semble une compétence requise.

Sylvain Leroux Tous les membres devront être à l'aise avec un explorateur de blocs type GnosisScan et être capable d'identifier un éventuel problème ou dysfonctionnement.

Je pense qu'il y a un consensus sur ce point.

Sylvain Leroux Toujours pour ma part, je pense que la première question qu’un candidat doit se poser est celle de sa disponibilité, avant même celle de ses compétences techniques. Les compétences peuvent toujours être mises à jour, mais si l’emploi du temps ne permet pas d’assumer la fonction, cela devient un obstacle difficilement surmontable.

Compétence requises

Nous définissons les compétences suivantes comme requises:

1. Être capable d'utiliser un Gnosis Safe pour signer et exécuter des transactions multi-signatures
2. Être capable d’utiliser un explorateur de bloc type GnosisScan pour suivre un transaction
3. Être disponible pour réagir en cas d'alerte

Par contre, je vois beaucoup d'autres remarques au sujet de compétence requises. Je crois les avoir tous passé en revue, mais si j'ai oublié des messages, merci de me le signaler:

Skill requirements

We define the following skills as required:

1. Proficient in using Gnosis Safe to sign and execute multi-signature transactions
2. Proficient in using a GnosisScan-type block explorer to track a transaction
3. Be available to react in the event of an alert

On the other hand, I see a lot of other remarks about required skills. I think I've covered them all below, but if I've missed any, please let me know:

Yohann76 I think we need to find a balance between the required skills and the number of people. If we ask for certifications or other highly selective evidence, we will limit the number of candidates. Conversely, if we are not too demanding, we can hope for a few more candidates.

PhilP critères d'éligibilité (jusqu'à une douzaine dans certains messages), pas contraignants mais à renseigner lors de la candidature (sur le forum).

Sylvain Leroux Nous n'avons pas précisé le niveau technique requis pour participer au comité. Par exemple, des compétences en programmation web3 sont-elles nécessaires ? Comment évaluer si le candidat possède les « compétences minimales requises » ?

CyberSapyen Une Certification blockchain validée par un organisme sérieux & reconnu est aussi à mon sens une preuve du sérieux d'un potentiel candidat.

CyberSapyen l'absence de vente / achat à tout va seraient des indicateurs témoignant de l'engagement du candidat.

Yohann76 Technical Criteria:

In-depth expertise in blockchain and smart contracts, with the ability to demonstrate/analyze/understand potential vulnerabilities
Mastery of Gnosis Safe for multi-signature transactions
Advanced understanding of DeFi security protocols and common attack vectors

Behavioral Criteria:

Strategic Communicator: Ability to write clear and concise reports on emergency situations, and communicate effectively with the team and community
Technology Watchdog: Commitment to staying constantly informed about the latest blockchain security trends and threats
Social Media Monitoring: Active presence on crypto ecosystem social networks to detect protocol hacks

Operational Criteria:

24/7 Availability: Ability to respond quickly to emergencies, regardless of the time
Geographic Distribution: Residence in a time zone complementary to those of other members to ensure global coverage
Schedule Flexibility: Willingness to participate in emergency meetings at unusual hours if necessary

Personal Criteria:

Continuous Learning: Commitment to regular training on the latest blockchain security practices
Mentorship: Willingness to share knowledge with other committee members and the Realtoken community
Holding a minimum of REG (?)

Sylvain Leroux Pensez-vous qu'il faut demander des références ou des preuves de compétence quelconques? Il faut aussi que ce soit vérifiable. Par ex. une preuve de participation active sur le Telegram DAO peut sans doute se vérifier facilement. La validité du suivi d'un cours "sécurité blockchain" sur YouTube, moins.

Gardez en tête:

• que si une compétence est requise, il faut que l'on soit en capacité de la valider.
• que plus nous exigeons de compétences, moins nous aurons de candidats.
• que dans la première itération, le commité de sécurité aura un rôle de "presse bouton" pour confirmer et exécuter la transaction d’arrêt d'urgence.
• que, toujours dans cette première itération, les membres de commité vont aussi servir de testeurs pour valider les procédures et interagir avec l'équipe de développement s'il y a de modifications à apporter.

Pour moi, seules les 3 compétences donnée en début de ce message sont requises.

Néanmoins, pour avoir une vision claire de votre avis collectif, je vous propose un sondage. Notez que les résultats de ce sondage sont purement indicatifs.

Question à la communauté:

Parmi cette liste, quelles sont les compétences requises pour être membre de l'équipe de sécurité.

Keep in mind:

• if a skill is required, we need to be able to validate it.
• the more skills we require, the fewer candidates we'll have.
• in the first iteration, the safety committee will act as a “button-presser” to confirm and execute the emergency stop transaction.
• in this first iteration, the committee members will also act as testers to validate procedures and interact with the development team if any modifications need to be made.

For me, only the three skills given at the beginning of this message are required.

However, I'd like to propose a poll to get a clear picture of your collective opinion. Please note that the results of this poll are purely indicative.

Question to the community:

Which of the following skills are required to be a security team member?