Bug Bounty — программа вознаграждений за поиск багов и уязвимостей в программном продукте. Участники, так называемые «белые хакеры» или багхантеры, получают денежные выплаты, размер которых зависит от серьёзности найденной проблемы. Для блокчейн-проектов это один из основных слоёв обеспечения безопасности — рядом со внутренним аудитом и формальной верификацией.
История#
- 1995 — первая публичная программа Bug Bounty в Netscape Communications Corporation. Идею предложил Джарретт Ридлинхафер; компания выделила $50 000 на разработку и запуск.
- 2012 — первая Bug Bounty в России от «Яндекса».
- 2013 — программа VK.
- 2020+ — в России и СНГ появилось множество открытых платформ Bug Bounty.
Два формата работы#
Внутренний (in-house)
Компания публикует программу на собственном сайте. Багхантер находит уязвимость и присылает подробный отчёт. Команда воспроизводит проблему, исправляет код, после повторной проверки выплачивает вознаграждение. Этот формат чаще выбирают крупные корпорации с собственным security-отделом.
Платформенный
Компания регистрируется на специализированной платформе (HackenProof, BugBounty.ru, и др.), описывает скоуп, цели, условия и размер вознаграждений. Багхантеры верифицируются на платформе и работают по объявленным правилам. Платформа берёт комиссию и выступает посредником в спорах.
Преимущества: широкий пул багхантеров без отдельного маркетинга, готовая инфраструктура отчётов, фильтр по уровню исполнителей.
Bug Bounty в экосистеме TON#
По состоянию на декабрь 2024 в TON действует несколько программ — суммарный фонд исчисляется сотнями тысяч TON.
STON.fi Bug Bounty
Фонд — 200 000 TON. Стандартная сетка вознаграждений:
| Серьёзность | Вознаграждение |
|---|---|
| Средняя | 1 000 TON |
| Высокая | 2 000 TON |
| Критическая | до 20 000 TON |
Описание программы — github.com/ston-fi/bug-bounty. См. STON.fi.
Getgems Bug Bounty
Идёт в формате конкурса: багхантеры ищут существенные баги в ручном режиме. «Существенные» — это нарушение основного функционала (невозможность совершить действие, неверное отображение данных, некорректная работа). После сбора отчётов жюри выбирает 5 лучших, призовой пул — до $500 на отчёт в TON.
Регистрация: @toncontests_bot, указываются GitHub-аккаунт и TON-кошелёк для выплаты. Подробности — github.com/getgems-io/issues. См. Getgems.
HackenProof × TON
HackenProof — крупнейшая платформа аудита смарт-контрактов и блокчейн-протоколов, работает с большинством топ-бирж и L1. Год назад HackenProof анонсировал партнёрство с TON Foundation. Первыми проектами в программе стали:
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) — см. Evaa.
TON Foundation Bug Bounty
TON Foundation ведёт отдельную программу для багов в самом протоколе и связанной инфраструктуре. Сетка вознаграждений — от $150 до $5 000 за отчёт. Документация — hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward. Регистрация на программе TON — через @ton_bugs_bot.
Все активные программы в TON собраны на ton.org/grants и в репозитории github.com/ton-blockchain/bug-bounty.
Что должен уметь багхантер#
- Английский — основные баг-репорты, документация и платформы англоязычные;
- Программирование — Python, JavaScript, Rust, Solidity, FunC (для TON-контрактов);
- Понимание кибербез-законодательства — где «исследование» начинает квалифицироваться как несанкционированный доступ;
- Инструменты атакующего — Burp Suite, Metasploit, аналоги, для блокчейна — Slither, Mythril, аналоги под TON;
- Знание сетевых протоколов и веб-разработки — большинство багов в dApps живёт на стыке on-chain/off-chain;
- Логика и анализ — типовая работа состоит не из эксплойта, а из reverse-engineering поведения;
- Документирование и коммуникация — отчёт без чёткого reproduction-step не оплатят.
Где учиться#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - виртуальные лаборатории — bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) соревнования — практика атак в безопасной среде;
- CertiK Academy и аналоги — углублённо по смарт-контрактам;
- репозитории прошлых отчётов на HackenProof и Immunefi — реальные кейсы.