Bug Bounty programme de récompenses pour trouver des bugs et des vulnérabilités dans un produit logiciel.Les pirates blancs . ou Les boghantesPour les projets blockchain, c'est l'une des couches de sécurité les plus importantes, à côté de l'audit interne et de la vérification formelle.
Le récit#
- 1995 le premier programme public de Bug Bounty en Netscape Communications CorporationIl a proposé l'idée . **Jarrett Riddlinhafer est une star.**La société a dépensé 50 000 $ pour le développement et le lancement.
- 2012 le premier Bug Bounty en Russie de Je ne peux pas..
- 2013 le programme VK.
- 2020+ en Russie et dans les pays de la CEI, de nombreuses plateformes ouvertes Bug Bounty sont apparues.
Deux formats de travail#
Intérieur (in-house)
L'entreprise publie le logiciel sur son propre site Web. Baghunter trouve la vulnérabilité et envoie un rapport détaillé. L'équipe reproduit le problème, corrige le code, paie une récompense après une nouvelle vérification.
La plateforme
La société s'enregistre sur une plateforme spécialisée (HackenProof, BugBounty.ru, etc.), décrit le scope, les objectifs, les conditions et le montant des récompenses.
Les avantages: un large bassin de book hunters sans marketing distinct, une infrastructure de rapports prête à l'emploi, un filtre au niveau des artistes.
Bug Bounty dans l' écosystème TON#
Au mois de décembre 2024 TON Il existe plusieurs programmes le fonds total est calculé en centaines de milliers de TON.
STON.fi Bug Bounty
Le fonds 200 000 TON- Réseau standard de rémunérations:
| Le sérieux. | Récompense |
|---|---|
| Moyenne | 1 000 TON |
| Elle est haute. | 2 000 TON |
| Critique | jusqu'à 20 000 TON |
Description du programme github.com/ston-fi/bug-bounty- Voir STON.fi.
Getgems Bug Bounty
Il est en format Le concours: les buggers recherchent les bugs importants en mode manuel. Sensibles c'est une violation du fonctionnement de base (impossibilité d'effectuer une action, affichage incorrect des données, travail incorrect). Les 5 meilleurs, le pool de prix jusqu 'à 500 $ pour le rapport. Dans le TON ..
Pour vous inscrire: @toncontests_bot, indique le compte GitHub et le portefeuille TON pour le paiement. Plus de détails github.com/getgems-io/issues- Voir Getgems.
HackenProof × TON
HackenProof la plus grande plateforme d'audit de contrats intelligents et de protocoles blockchain, travaillant avec la plupart des principales bourses et L1. TON FoundationLes premiers projets du programme sont:
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocolJe vous en prie . Evaa.
TON Foundation Bug Bounty
TON Foundation Le réseau de récompenses de 150 $ à 5 000 $. Je vous en prie .. La documentation hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward. Enregistrement dans le programme TON via @ton_bugs_bot.
Tous les programmes actifs dans TON sont regroupés sur ton.org/grants et dans le référentiel github.com/ton-blockchain/bug-bounty.
Ce qu'il faut savoir à un bohagant#
- En anglais les principaux bug reports, la documentation et les plateformes sont en anglais;
- La programmation Python, JavaScript, Rust, Solidity, FunC (pour les contrats TON), ainsi que les autres logiciels utilisés par les utilisateurs.
- Comprendre la législation sur la cybersécurité où la recherche commence à être qualifiée d'accès non autorisé;
- Outils de l' attaquant Burp Suite, Metasploit, similaires, pour le blockchain Slither, Mythril, similaire à TON;
- Connaissance des protocoles réseau et du développement web la plupart des bugs dans les dApps vivent à la jonction on-chain/off-chain;
- Logique et analyse le travail typique ne consiste pas à exploiter, mais à inverser l'ingénierie du comportement;
- Documentation et communication Le rapport n'est pas payable sans une étape de reproduction claire.
Où étudier#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - Des laboratoires virtuels bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) compétitions pratique des attaques dans un environnement sûr;
- CertiK Academy et analogues en profondeur sur les smart-contrats;
- Les référentiels de rapports antérieurs sur HackenProof et Immunefi sont des cas réels.