Definisi
Bug bounty ialah program insentif formal di mana sesuatu projek atau organisasi menawarkan ganjaran kepada penyelidik keselamatan bebas yang mengenal pasti dan melaporkan kelemahan. Dalam konteks kripto dan rantaian blok (blockchain), bug bounty lazimnya menyasarkan komponen kritikal seperti smart contract, logik protokol dan infrastruktur yang, jika dieksploitasi, boleh menyebabkan kehilangan dana atau gangguan perkhidmatan. Ganjaran biasanya diskalakan berdasarkan tahap keterukan dan impak isu yang ditemui, sekali gus menggalakkan tumpuan kepada kelemahan berisiko tinggi. Bug bounty melengkapi amalan keselamatan lain, seperti audit keselamatan, dengan sentiasa menjemput semakan luaran terhadap kod yang sentiasa berkembang.
Sebagai konsep keselamatan, bug bounty mentakrifkan hubungan berstruktur antara projek dan penyelidik topi putih yang bersetuju untuk mematuhi peraturan pendedahan bertanggungjawab. Program ini biasanya menyatakan sistem yang berada dalam skop, permukaan serangan yang boleh diuji, dan apa yang dikira sebagai eksploit yang layak. Ia juga menerangkan sempadan undang-undang dan etika, bagi memastikan aktiviti pengujian tidak melampaui ke arah tindakan berniat jahat. Dalam ekosistem rantaian blok (blockchain), bug bounty selalunya didokumenkan secara terbuka dan mungkin dibiayai dalam token natif atau stablecoin.
Konteks dan Penggunaan
Program bug bounty digunakan secara meluas oleh protokol kripto, bursa dan penyedia wallet sebagai lapisan pertahanan berterusan terhadap kegagalan keselamatan. Ia mengiktiraf bahawa walaupun selepas audit keselamatan yang menyeluruh, kelemahan yang tidak dikesan masih boleh wujud dalam sistem smart contract yang kompleks dan tidak boleh diubah. Dengan menawarkan ganjaran, projek bertujuan menyalurkan usaha penyelidik mahir ke arah pelaporan yang bertanggungjawab dan bukannya eksploitasi umum. Ini membantu mengurangkan kemungkinan eksploit yang ditemui digunakan untuk kecurian atau gangguan.
Dalam landskap keselamatan yang lebih luas, bug bounty difahami sebagai mekanisme proaktif berasaskan pasaran untuk menambah baik kekukuhan kod. Ia wujud seiring dengan ujian dalaman, pengesahan formal dan semakan pihak ketiga sebagai sebahagian daripada strategi pertahanan berlapis. Dalam kewangan terdesentral (decentralized finance) dan aplikasi rantaian blok (blockchain) bernilai tinggi yang lain, bug bounty yang direka dengan baik menandakan bahawa sesuatu projek mengambil serius kedudukan keselamatannya dan bersedia untuk berinteraksi secara konstruktif dengan komuniti keselamatan. Konsep ini telah menjadi jangkaan standard bagi protokol yang mengurus nilai on-chain yang signifikan.