Bug Bounty 软件产品中的漏洞和漏洞.白色黑客 或 布哈特人对于区块链项目来说,这是内部审计和正式验证的核心安全层之一.
历史#
- 1995 第一个公开的Bug Bounty项目 Netscape Communications Corporation他提出了这个想法. **这里是我的家.**公司为开发和启动项目投入了5万美元.
- 2012 俄罗斯第一个Bug Bounty 安德克斯.
- 2013 项目 VK.
- 2020+ 在俄罗斯和独联体国家出现了许多Bug Bounty平台.
两种工作格式#
内部 (in-house)
公司会在自己的网站上发布软件,Bughunter会发现漏洞并发送详细的报告.团队会重现问题,修复代码,再检查后支付奖励.
平台式
公司在专业平台上注册 (HackenProof, BugBounty.ru等),描述了奖励的目标,条件和规模. 竞技者在平台上进行验证,并按照公布的规则工作.
优点是:没有单独的营销, 报告基础设施, 执行者级别过.
在TON生态系统中的Bounty Bug#
根据2024年12月的情况 TON 有几项方案 总资金数量为数以亿计的TON.
STON.fi Bug Bounty
基金会 200 000 TON. 标准奖励网:
| 严性 | 奖励 |
|---|---|
| 中等 | 1 000 TON |
| 高的 | 2 000 TON |
| 关键性 | 在 20 000 TON |
程序描述 github.com/ston-fi/bug-bounty这里是 STON.fi.
Getgems Bug Bounty
在格式上 竞选活动重要 是基本功能障碍 (无法执行操作,数据显示错误,工作不正确). 评审团收集报告后,选择 最好的5个,奖金池到 报告为500美元. 在TON.
注册时间: @toncontests_bot详情 您的 GitHub 帐户和 TON 钱包. github.com/getgems-io/issues这里是 Getgems.
HackenProof × TON
HackenProof 最大的智能合约和区块链协议审计平台,与大多数顶级交易所和L1合作. TON Foundation项目中的第一项项目是:
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) 这里 Evaa.
TON Foundation Bug Bounty
TON Foundation 在协议本身和相关的基础设施中进行一个单独的bug程序. 价格在150美元到5000美元之间. 在报告中. 文档 hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward. 通过TON 计划注册 @ton_bugs_bot.
在TON中所有活跃的程序都被收集到 ton.org/grants 在存储库中 github.com/ton-blockchain/bug-bounty.
一个巴格汉特人应该知道的#
- 英语 主要的BUG报告,文档和平台均以英语为主;
- 编程 Python,JavaScript,Rust,Solidity,FunC (用于TON合约);
- 了解网络安全立法 研究开始被视为未经授权的访问;
- 攻击者工具 Burp Suite, Metasploit,类似的,用于区块链 Slither, Mythril,类似于TON;
- 了解网络协议和网络开发 大多数 dApps 的 bug 都存在于 on-chain/off-chain 的交叉点.
- 逻辑和分析 典型的工作不是利用,而是反向工程行为;
- 文档和通信 报告没有明确的 reproduction-step,就无法支付.
在哪里学习#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - 虚拟实验室 bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) 赛事安全环境中的攻击实践;
- CertiK Academy 通过智能合同进行深入的分析;
- 在HackenProof和Immunefi上,