Definition
En bug bounty är ett formellt incitamentsprogram där ett projekt eller en organisation erbjuder belöningar till oberoende säkerhetsforskare som identifierar och rapporterar sårbarheter. I krypto- och blockchain-sammanhang riktar sig bug bounties ofta mot kritiska komponenter som smarta kontrakt (smart contracts), protokollogik och infrastruktur som, om de utnyttjas, kan leda till förlust av kapital eller avbrott i tjänster. Belöningar skalas vanligtvis efter hur allvarlig och omfattande den upptäckta sårbarheten är, vilket uppmuntrar fokus på fel med hög risk. Bug bounties kompletterar andra säkerhetsåtgärder, som säkerhetsgranskningar, genom att kontinuerligt bjuda in extern granskning av en kodbas som hela tiden utvecklas.
Som säkerhetskoncept definierar en bug bounty en strukturerad relation mellan ett projekt och så kallade white hat-forskare som går med på att följa regler för ansvarsfull rapportering. Programmet specificerar vanligtvis vilka system som ingår, vilken attackyta som får testas och vad som räknas som ett giltigt exploit. Det beskriver också juridiska och etiska ramar för att säkerställa att testningen inte övergår i skadlig aktivitet. I blockchain-ekosystem är bug bounties ofta offentligt dokumenterade och kan finansieras i inhemska tokens eller stablecoins.
Sammanhang och användning
Bug bounty-program används i stor utsträckning av kryptoprotokoll, börser (CEX/DEX) och leverantörer av wallet-tjänster som ett löpande försvarslager mot säkerhetsbrister. De utgår från att även efter en grundlig säkerhetsgranskning kan oupptäckta sårbarheter finnas kvar i komplexa, oföränderliga system baserade på smarta kontrakt (smart contracts). Genom att erbjuda belöningar vill projekten styra skickliga forskares insatser mot ansvarsfull rapportering i stället för offentlig exploatering. Detta minskar sannolikheten att ett upptäckt exploit används för stöld eller sabotage.
I ett bredare säkerhetsperspektiv ses en bug bounty som en proaktiv, marknadsbaserad mekanism för att förbättra kodens robusthet. Den kompletterar intern testning, formell verifiering och granskning av tredje part som en del av en försvar-på-djupet-strategi. Inom decentraliserad finans (DeFi) och andra värdetäta blockchain-applikationer signalerar väl utformade bug bounties att ett projekt tar sin säkerhet på allvar och är berett att samarbeta konstruktivt med säkerhetscommunityt. Konceptet har blivit en standardförväntan för protokoll som hanterar betydande värden on-chain.