Bug Bounty um programa de recompensas para encontrar bugs e vulnerabilidades no produto de software.Os hackers brancos. ou os bagantoresPara os projetos blockchain, esta é uma das principais camadas de segurança junto com a auditoria interna e a verificação formal.
História#
- 1995 o primeiro programa público do Bug Bounty Netscape Communications CorporationFoi ele que me deu a ideia . Jarrett RidlinhaferA empresa investiu 50 mil dólares para o desenvolvimento e lançamento.
- 2012 o primeiro Bug Bounty na Rússia de ** Yandex **.
- 2013 programa VK.
- 2020+ na Rússia e na CEI surgiram muitas plataformas abertas Bug Bounty.
Dois formatos de trabalho#
Interno (in-house)
A empresa publica o programa em seu próprio site. Baghunter encontra a vulnerabilidade e envia um relatório detalhado. A equipe reproduz o problema, corrige o código, depois de verificar novamente, paga uma recompensa. Este formato é mais frequentemente escolhido por grandes corporações com seu próprio departamento de segurança.
Plataforma
A empresa é registrada em uma plataforma especializada (HackenProof, BugBounty.ru, etc.), descreve o scope, os objetivos, as condições e o tamanho das recompensas.
As vantagens: um vasto grupo de bughunters sem marketing separado, uma infraestrutura de relatórios pronta, um filtro por nível de executantes.
Bug Bounty no ecossistema TON#
Em dezembro de 2024 TON existem vários programas o fundo total é calculado em centenas de milhares de TON.
STON.fi Bug Bounty
Fundação 200 000 TON- Rede padrão de remunerações .:
| A seriedade. | Remuneração |
|---|---|
| Médio | 1 000 TON |
| Alta | 2 000 TON |
| Crítica | até 20 000 TON |
Descrição do programa github.com/ston-fi/bug-bounty- Veja . STON.fi.
Getgems Bug Bounty
Vem no formato do concursoOs buggers procuram bugs significativos em modo manual. Significativos é uma violação da função básica (impossibilidade de realizar uma ação, exibição incorreta de dados, trabalho incorreto). Os 5 melhores, o pool de prémios até $500 para o relatório. em TON.
Registo: @toncontests_bot, indica a conta do GitHub e a carteira TON para pagamento. Mais informações github.com/getgems-io/issues- Veja . Getgems.
HackenProof × TON
HackenProof a maior plataforma de auditoria de contratos inteligentes e protocolos blockchain, trabalha com a maioria das principais bolsas e L1. TON FoundationOs primeiros projetos do programa foram:
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) ver Evaa.
TON Foundation Bug Bounty
TON Foundation mantém um programa separado para os bugs no próprio protocolo e na infraestrutura associada. 150 dólares a 5 mil dólares. - Não , não .. Documentação hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward. Registo no programa TON através do @ton_bugs_bot.
Todos os programas ativos no TON estão reunidos em ton.org/grants e no repositório github.com/ton-blockchain/bug-bounty.
O que um bughunter deve saber#
- Inglês os principais bug reports, documentação e plataformas são em inglês;
- Programação Python, JavaScript, Rust, Solidity, FunC (para contratos TON);
- Compreensão da legislação de segurança cibernética onde a pesquisa começa a qualificar-se como acesso não autorizado;
- Ferramentas do atacante Burp Suite, Metasploit, semelhantes, para blockchain Slither, Mythril, semelhante ao TON;
- Conhecimento de protocolos de rede e desenvolvimento web a maioria dos bugs nos dApps vive na interseção on-chain/off-chain;
- Lógica e análise o trabalho típico não consiste em explorar, mas em reverse-engineering o comportamento;
- Documentação e comunicação O relatório não será pago sem uma reprodução clara.
Onde estudar#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - Laboratórios virtuais bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) competições prática de ataques em ambiente seguro;
- CertiK Academy e análogos aprofundados por smart-contratos;
- Repositorios de relatórios passados em HackenProof e Immunefi casos reais.