Bug Bounty chương trình thưởng cho việc tìm kiếm lỗi và lỗ hổng trong sản phẩm phần mềm.tin tặc da trắng hoặc những con đựcĐối với các dự án blockchain, đây là một trong những lớp bảo mật chính bên cạnh kiểm toán nội bộ và xác minh chính thức.
Lịch sử#
- 1995 chương trình Bug Bounty đầu tiên của công chúng Netscape Communications CorporationÝ tưởng được đưa ra. Jarrett RidlinhaferCông ty đã dành 50.000 đô la để phát triển và khởi động.
- 2012 Bug Bounty đầu tiên ở Nga từ Yandex.
- 2013 chương trình VK.
- 2020+ ở Nga và các nước CIS đã xuất hiện nhiều nền tảng mở Bug Bounty.
Hai định dạng làm việc#
Nội bộ (in-house)
Công ty đăng chương trình trên trang web của riêng mình. Baghunter tìm thấy lỗ hổng và gửi báo cáo chi tiết. Nhóm tái tạo vấn đề, sửa mã, sau khi kiểm tra lại, trả tiền thưởng. Đây là định dạng thường được lựa chọn bởi các tập đoàn lớn với bộ phận bảo mật của riêng họ.
Nền tảng
Công ty được đăng ký trên một nền tảng chuyên dụng (HackenProof, BugBounty.ru, v.v.), mô tả scope, mục tiêu, điều kiện và số tiền thưởng.
Ưu điểm là có một hồ bơi rộng lớn những người bán sách mà không cần tiếp thị riêng biệt, cơ sở hạ tầng báo cáo sẵn sàng, lọc theo trình độ người thực hiện.
Bug Bounty trong TON#
Tính đến tháng 12 năm 2024 tại TON có một số chương trình quỹ tổng số được tính bằng hàng trăm ngàn TON.
STON.fi Bug Bounty
Quỹ 200 000 TON- Mạng lưới thưởng tiêu chuẩn:
| Sự nghiêm túc | Phần thưởng |
|---|---|
| Trung bình | 1 000 TON |
| Cao | 2 000 TON |
| Đánh giá | đến 20 000 TON |
Mô tả chương trình github.com/ston-fi/bug-bounty. Xem STON.fi.
Getgems Bug Bounty
Đi theo định dạng của cuộc thi Khó khăn là sự vi phạm chức năng cơ bản (không thể thực hiện hành động, hiển thị dữ liệu sai, hoạt động không chính xác). Sau khi thu thập báo cáo, ban giám khảo chọn 5 người giỏi nhất, giải thưởng cho $500 cho báo cáo. trong TON.
Đăng ký: @toncontests_bot, ghi lại tài khoản GitHub và ví TON để thanh toán. Chi tiết github.com/getgems-io/issues. Xem Getgems.
HackenProof × TON
HackenProof nền tảng kiểm toán hợp đồng thông minh và giao thức blockchain lớn nhất, hoạt động với hầu hết các sàn giao dịch hàng đầu và L1. TON FoundationCác dự án đầu tiên trong chương trình là:
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) xem Evaa.
TON Foundation Bug Bounty
TON Foundation Có một chương trình riêng cho các lỗi trong bản thân giao thức và cơ sở hạ tầng liên quan. $150 đến $5000. Ước tính. Tài liệu hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-rewardĐăng ký chương trình TON thông qua @ton_bugs_bot.
Tất cả các chương trình hoạt động trong TON được tập hợp trên ton.org/grants và trong kho github.com/ton-blockchain/bug-bounty.
Những gì một người săn mồi nên biết#
- Tiếng Anh báo cáo lỗi, tài liệu và nền tảng chính bằng tiếng Anh;
- Lập trình Python, JavaScript, Rust, Solidity, FunC (đối với các hợp đồng TON);
- Hiểu luật an ninh mạng nơi mà nghiên cứu bắt đầu được coi là truy cập trái phép;
- Công cụ tấn công Burp Suite, Metasploit, tương tự, cho blockchain Slither, Mythril, tương đương với TON;
- Biết giao thức mạng và phát triển web hầu hết các lỗi trong dApps sống ở vị trí kết nối on-chain/off-chain;
- Lý luận và phân tích công việc tiêu chuẩn không phải là khai thác mà là tái tạo hành vi;
- Tài liệu và truyền thông báo cáo mà không có reproduction-step rõ ràng sẽ không được trả tiền.
Nơi học#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - phòng thí nghiệm ảo bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) các cuộc thi thực hành tấn công trong môi trường an toàn;
- CertiK Academy và tương tự sâu về hợp đồng thông minh;
- Các kho lưu trữ các báo cáo trước đây của HackenProof và Immunefi các trường hợp thực tế.