Bug Bounty

הגדרה

Bug bounty הוא תוכנית תמריצים רשמית שבאמצעותה פרויקט או ארגון מציע תגמולים לחוקרי אבטחה עצמאיים שמזהים ומדווחים על חולשות. בהקשר של קריפטו ושרשרת בלוקים (blockchain), תוכניות bug bounty מתמקדות בדרך כלל ברכיבים קריטיים כמו smart contracts, לוגיקת פרוטוקול ותשתית, שאם ינוצלו, עלולים להוביל לאובדן כספים או לשיבוש שירותים. גובה התגמול מותאם בדרך כלל לחומרה ולהשפעה של הבעיה שהתגלתה, כדי לעודד התמקדות בפגמים בסיכון גבוה. תוכניות bug bounty משלימות פרקטיקות אבטחה אחרות, כמו ביקורת אבטחה, בכך שהן מזמינות באופן מתמשך בדיקה חיצונית של בסיס קוד שמתעדכן כל הזמן.

כמושג אבטחה, bug bounty מגדיר מערכת יחסים מובנית בין פרויקט לבין חוקרי "כובע לבן" (white hat) שמסכימים לפעול לפי כללי גילוי אחראי. התוכנית מגדירה בדרך כלל אילו מערכות נכללות בתחום (in-scope), איזה משטח תקיפה מותר לבדיקה, ומה נחשב לניצול (exploit) כשיר לתגמול. היא גם משרטטת גבולות משפטיים ואתיים, כדי להבטיח שהבדיקות לא יהפכו לפעילות זדונית. באקוסיסטמים של שרשרת בלוקים (blockchain), תוכניות bug bounty מתועדות לרוב בפומבי ויכולות להיות ממומנות בטוקנים מקומיים (native tokens) או ב-stablecoins.

הקשר ושימוש

תוכניות bug bounty נפוצות מאוד בקרב פרוטוקולי קריפטו, בורסות (CEX/DEX) וספקי wallet כקו הגנה מתמשך מפני כשלי אבטחה. הן מכירות בכך שגם לאחר ביקורת אבטחה מעמיקה, עלולות להישאר חולשות שלא התגלו במערכות smart contracts מורכבות ובלתי ניתנות לשינוי. באמצעות הצעת תגמולים, פרויקטים שואפים לכוון את מאמצי החוקרים המיומנים לדיווח אחראי במקום לניצול פומבי. כך מצמצמים את הסיכוי שניצול שיתגלה ישמש לגניבה או לשיבוש.

בתוך נוף האבטחה הרחב יותר, bug bounty נתפס כמנגנון פרואקטיבי, מבוסס שוק, לשיפור חוסן הקוד. הוא פועל לצד בדיקות פנימיות, אימות פורמלי וביקורות צד שלישי כחלק מאסטרטגיית "הגנה בשכבות" (defense-in-depth). ב-DeFi (פיננסים מבוזרים) וביישומי שרשרת בלוקים (blockchain) עתירי ערך אחרים, תוכניות bug bounty מתוכננות היטב משדרות שהפרויקט מתייחס ברצינות למצב האבטחה שלו ומוכן לשתף פעולה באופן בונה עם קהילת האבטחה. המושג הפך לציפייה סטנדרטית עבור פרוטוקולים שמנהלים ערך משמעותי על גבי הרשת (on-chain).