Skilgreining
Villuveiðiverðlaun (bug bounty) er formlegt hvatakerfi þar sem verkefni eða stofnun býður sjálfstæðum öryggisrannsakendum verðlaun fyrir að finna og tilkynna veikleika. Í samhengi við crypto og dreifðan gagnagrunn (blockchain) beinast slík villuveiðiverðlaun oft að mikilvægum þáttum eins og smart contracts, rökfræði samskiptareglna (protocol logic) og innviðum sem, ef þeim er misbeitt, gætu leitt til taps á fjármunum eða truflunar á þjónustu. Verðlaun eru yfirleitt stigskipt eftir alvarleika og áhrifum þess vandamáls sem uppgötvast, sem hvetur til þess að einblínt sé á alvarlega, áhættusama galla. Villuveiðiverðlaun styðja við aðrar öryggisvenjur, eins og öryggisúttekt, með því að bjóða stöðugt upp á utanaðkomandi yfirferð á kóða sem er í stöðugri þróun.
Sem öryggishugtak skilgreina villuveiðiverðlaun (bug bounty) formlegt samband milli verkefnis og „white hat“ rannsakenda sem samþykkja að fylgja reglum um ábyrga birtingu veikleika. Dagskráin tilgreinir venjulega hvaða kerfi eru innan umfangs, hvaða árásarflöt má prófa og hvað telst gildur veikleiki. Hún útskýrir einnig lagaleg og siðferðileg mörk, til að tryggja að prófanir fari ekki yfir í illgjarnar aðgerðir. Í vistkerfum dreifðs gagnagrunns (blockchain) eru villuveiðiverðlaun oft skjalfest opinberlega og geta verið fjármögnuð í innlendum tokenum eða stablecoins.
Samhengi og notkun
Villuveiðiverðlaunakerfi (bug bounty programs) eru víða notuð af crypto-samskiptareglum, kauphöllum (exchanges) og wallet-veitum sem stöðugt varnarlag gegn öryggisbrestum. Þau byggja á þeirri viðurkenningu að jafnvel eftir ítarlega öryggisúttekt geti enn leynst óuppgötvaðir veikleikar í flóknum, óafturkræfum smart contract-kerfum. Með því að bjóða verðlaun reyna verkefni að beina vinnu hæfra rannsakenda í átt að ábyrgu tilkynningarferli í stað opinberrar misnotkunar. Þetta dregur úr líkum á að uppgötvaður veikleiki sé notaður til þjófnaðar eða truflunar.
Í víðara öryggissamhengi er villuveiðiverðlaun (bug bounty) skilgreint sem fyrirbyggjandi, markaðsdrifið fyrirkomulag til að bæta stöðugleika og áreiðanleika kóða. Það stendur við hlið innri prófana, formlegrar staðfestingar og úttektar þriðju aðila sem hluti af marglaga varnarstefnu (defense-in-depth). Í dreifðum fjármálum (decentralized finance) og öðrum verðmætum forritum á dreifðum gagnagrunni (blockchain) gefa vel hönnuð villuveiðiverðlaun skýr skilaboð um að verkefnið taki öryggi sitt alvarlega og sé tilbúið að vinna uppbyggilega með öryggissamfélaginu. Hugtakið er orðið staðlaður væntingarþáttur fyrir samskiptareglur sem stýra verulegum verðmætum á keðjunni (on-chain).