Bug Bounty program imbalan untuk menemukan bug dan kerentanan dalam produk perangkat lunak.hacker putih. atau orang-orang boghantarUntuk proyek-proyek blockchain, ini adalah salah satu lapisan dasar keamanan di samping audit internal dan verifikasi formal.
Sejarah#
- 1995 program Bug Bounty pertama di dunia Netscape Communications CorporationDia yang mengusulkan ide itu. Jarrett RidlinhaferPerusahaan telah mengalokasikan $ 50.000 untuk pengembangan dan peluncuran.
- 2012 Bug Bounty pertama di Rusia dari Yandex.
- 2013 program VK.
- 2020+ di Rusia dan negara-negara CIS muncul banyak platform terbuka Bug Bounty.
Dua Format Kerja#
In-house
Perusahaan mempublikasikan perangkat lunak di situs webnya sendiri. Baghunter menemukan kerentanan dan mengirim laporan rinci. Tim mereproduksi masalah, memperbaiki kode, dan membayar imbalan setelah pemeriksaan ulang. Format ini lebih sering dipilih oleh perusahaan besar dengan departemen keamanan mereka sendiri.
Platform
Perusahaan terdaftar di platform khusus (HackenProof, BugBounty.ru, dan lain-lain), menggambarkan scope, tujuan, kondisi dan ukuran imbalan.
Keuntungannya: kolam besar baghunter tanpa pemasaran terpisah, infrastruktur laporan siap pakai, filter tingkat pelaku.
Bug Bounty di ekosistem TON#
Pada bulan Desember 2024 di TON Ada beberapa program dana totalnya berjumlah ratusan ribu TON.
STON.fi Bug Bounty
Dana 200 000 TON- Rangkaian Standar Penghargaan:
| Serius | Penghargaan |
|---|---|
| Rata-rata | 1 000 TON |
| Tinggi | 2 000 TON |
| Kritis | sampai 20 000 TON |
Deskripsi program github.com/ston-fi/bug-bounty. Lihat STON.fi.
Getgems Bug Bounty
Berasal dari format PenghargaanBagus adalah pelanggaran fungsi dasar (tidak dapat melakukan tindakan, tampilan data yang salah, pekerjaan yang tidak benar). 5 yang terbaik, kolam hadiah sampai $500 untuk laporan. di TON.
Pendaftaran: @toncontests_botUntuk akun GitHub dan dompet TON untuk pembayaran. Rincian github.com/getgems-io/issues. Lihat Getgems.
HackenProof × TON
HackenProof platform audit kontrak pintar dan protokol blockchain terbesar, bekerja dengan sebagian besar bursa utama dan L1. TON Foundation. Proyek pertama dalam program adalah:
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) lihat Evaa.
TON Foundation Bug Bounty
TON Foundation menjalankan program bug terpisah di protokol itu sendiri dan infrastruktur terkait. $ 150 sampai $ 5.000. Aku akan laporkan.. Dokumen hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward. Pendaftaran di program TON melalui @ton_bugs_bot.
Semua program aktif di TON dikumpulkan di ton.org/grants dan di repositori github.com/ton-blockchain/bug-bounty.
Apa yang harus bisa dilakukan seorang buhunter?#
- Bahasa Inggris bug report, dokumentasi dan platform utama berbahasa Inggris;
- Pemrograman Python, JavaScript, Rust, Solidity, FunC (untuk kontrak TON);
- Memahami Undang-Undang Keamanan Siber di mana penelitian mulai dianggap sebagai akses yang tidak sah;
- Alat penyerang Burp Suite, Metasploit, sejenisnya, untuk blockchain Slither, Mythril, serupa dengan TON;
- Mengetahui protokol jaringan dan pengembangan web sebagian besar bug di dApps hidup di jalur on-chain/off-chain;
- Logika dan Analisis pekerjaan tipikal tidak terdiri dari eksploitasi, tetapi dari reverse-engineering perilaku;
- Dokumentasi dan Komunikasi laporan tanpa reproduction-step yang jelas tidak akan dibayar.
Di mana untuk belajar#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - laboratorium virtual bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) kompetisi latihan serangan di lingkungan yang aman;
- CertiK Academy dan analog secara mendalam melalui kontrak pintar;
- repositori laporan masa lalu di HackenProof dan Immunefi kasus nyata.