Определение
Bug bounty програма е формална програма за стимулиране, чрез която даден проект или организация предлага възнаграждения на независими специалисти по сигурността, които откриват и докладват уязвимости. В контекста на крипто и блокчейн (blockchain) пространството bug bounty програмите обикновено са насочени към критични компоненти като smart contracts, логика на протоколи и инфраструктура, които при експлоатиране могат да доведат до загуба на средства или прекъсване на услуги. Възнагражденията обикновено се определят според сериозността и въздействието на открития проблем, като по този начин насърчават фокуса върху високорискови слабости. Bug bounty програмите допълват други практики за сигурност, като security audit, като осигуряват непрекъсната външна проверка на развиваща се кодова база.
Като концепция за сигурност bug bounty програмата определя структурирани отношения между проект и „white hat“ изследователи, които се съгласяват да спазват правила за отговорно разкриване. Програмата обикновено уточнява кои системи са в обхват, каква attack surface може да бъде тествана и какво се счита за допустима експлоатация. Тя също така определя правните и етичните граници, за да гарантира, че тестването не преминава в злонамерена дейност. В блокчейн (blockchain) екосистемите bug bounty програмите често са публично документирани и могат да бъдат финансирани в собствени токени или stablecoins.
Контекст и употреба
Bug bounty програмите се използват широко от крипто протоколи, борси и доставчици на wallet услуги като постоянен слой защита срещу пробиви в сигурността. Те признават, че дори след задълбочен security audit в сложни, неизменими smart contract системи могат да останат неоткрити уязвимости. Чрез предлагане на възнаграждения проектите се стремят да насочат усилията на опитни изследователи към отговорно докладване, а не към публична експлоатация. Това намалява вероятността открит exploit да бъде използван за кражба или нарушаване на услуги.
В по-широкия контекст на сигурността bug bounty програмата се разбира като проактивен, пазарно ориентиран механизъм за подобряване на устойчивостта на кода. Тя съществува наред с вътрешно тестване, формална верификация и външни одити като част от стратегия за многослойна защита (defense-in-depth). В децентрализираните финанси и други високостойностни блокчейн (blockchain) приложения добре проектираните bug bounty програми показват, че даден проект приема сериозно своята сигурност и е готов да работи конструктивно с общността по сигурността. Концепцията се е превърнала в стандартно очакване за протоколи, които управляват значителна on-chain стойност.