Настройка bug bounty для смарт-контрактов
Bug bounty — это постоянная программа вознаграждения за найденные уязвимости, запускаемая после аудита. Аудит — снапшот безопасности на момент деплоя. Bug bounty — непрерывный процесс на всё время жизни протокола. Крупные DeFi-протоколы платят от $50K до $10M за критические находки: Ethereum Foundation — до $250K, Uniswap — до $15.5M, MakerDAO — до $10M.
Настройка программы — не сложно технически, но требует чёткой постановки scope, правил и вознаграждений.
Основные платформы
Immunefi — крупнейшая DeFi-специализированная платформа. $100M+ выплачено с момента запуска. Специализируется именно на смарт-контрактах и blockchain. Интегрированы с большинством DeFi-протоколов. Комиссия: 10% от выплаченных bounty.
HackerOne — общая bug bounty платформа с большим сообществом. Менее специализирована на DeFi, но имеет верифицированных web3 исследователей. Подходит если протокол также имеет web2-компоненты (API, frontend).
Code4rena и Sherlock — audit contests, не классический bug bounty. Но Sherlock также предоставляет insurance coverage против exploits, что может быть ценнее bounty программы для некоторых протоколов.
Для DeFi-протокола: Immunefi — стандартный выбор.
Структура программы
Scope
Чётко определите что входит в scope, а что нет. Пример:
In scope (смарт-контракты):
- Все контракты по адресам [список] на Ethereum mainnet
- Контракты на Arbitrum [адреса]
Out of scope:
- Frontend bugs (XSS, phishing) — если нет отдельной web программы
- Centralized инфраструктура (сервера, базы данных)
- Already known issues (ссылка на публичный аудит-отчёт)
- Bugs требующие физического доступа к устройству пользователя
- Уязвимости в зависимостях (OpenZeppelin, Chainlink) — не ваша ответственность
Severity классификация и выплаты
| Severity | Критерий | Выплата |
|---|---|---|
| Critical | Прямая кража/потеря funds пользователей | $50K - $200K |
| High | Значительный ущерб при определённых условиях | $10K - $50K |
| Medium | Ограниченный ущерб, сложные условия | $1K - $10K |
| Low | Минорный impact | $100 - $1K |
Выплаты должны быть пропорциональны TVL. Протокол с $10M TVL и максимальным bounty $5K — не привлечёт серьёзных исследователей. Стандарт: critical bounty = 10% от максимально возможного ущерба, не ниже $50K для production-протокола.
Rules of Engagement
- No public disclosure до исправления и подтверждения командой (responsible disclosure)
- No DoS/disruption реального протокола при проверке гипотез (тестировать на fork или testnet)
- First reporter wins — если два репорта об одной уязвимости, первый по timestamp получает награду
- KYC требование для выплат выше определённого порога (обычно $10K) — для соответствия AML требованиям
- Запрещено использование найденной уязвимости в собственных интересах до репорта
Технические требования к репортам
Хороший репорт должен содержать:
- Описание уязвимости и её impact
- Воспроизводимый proof of concept (Foundry тест или скрипт)
- Предлагаемое исправление
Immunefi предоставляет шаблон. Неполные репорты без PoC — низший приоритет.
После запуска программы
Реагируйте на репорты в течение 48 часов. Долгое молчание — плохая репутация в сообществе исследователей. Payouts через Immunefi обрабатывается платформой (stablecoins или нативный токен по выбору исследователя).
Запуск программы на Immunefi: создать аккаунт → заполнить scope → установить budget → Immunefi проверяет программу → publish. Занимает 1-2 недели с момента подачи до публикации.