Opredelitev
Bug bounty je formalen spodbujevalni program, prek katerega projekt ali organizacija ponuja nagrade neodvisnim varnostnim raziskovalcem, ki identificirajo in prijavijo ranljivosti. V kontekstu kripta in verige blokov (blockchain) so bug bounty programi pogosto usmerjeni na kritične komponente, kot so smart contracti, logika protokola in infrastruktura, ki bi lahko v primeru izkoriščanja povzročile izgubo sredstev ali motnje v delovanju storitev. Nagrade so običajno prilagojene glede na resnost in vpliv odkrite težave, kar spodbuja osredotočenost na visoko tvegane pomanjkljivosti. Bug bounty programi dopolnjujejo druge varnostne prakse, kot je varnostni pregled (security audit), saj stalno spodbujajo zunanji pregled razvijajoče se kode.
Kot varnostni koncept bug bounty opredeljuje strukturiran odnos med projektom in t. i. white hat raziskovalci, ki se strinjajo, da bodo sledili pravilom odgovornega razkritja. Program običajno določa sisteme, ki so v obsegu (in-scope), napadalno površino, ki jo je dovoljeno testirati, ter kaj se šteje kot upravičen exploit. Opredeli tudi pravne in etične meje, da testiranje ne preide v zlonamerne aktivnosti. V ekosistemih verig blokov (blockchain) so bug bounty programi pogosto javno dokumentirani, financirani pa so lahko v izvornih žetonih ali stablecoinih.
Kontekst in uporaba
Bug bounty programi so široko uporabljeni pri kripto protokolih, menjalnicah (exchanges) in ponudnikih walletov kot stalna obrambna plast proti varnostnim spodrsljajem. Temeljijo na spoznanju, da lahko tudi po temeljitem varnostnem pregledu v kompleksnih, nespremenljivih smart contract sistemih ostanejo neodkrite ranljivosti. Z nagradami želijo projekti usmeriti prizadevanja veščih raziskovalcev v odgovorno prijavo, ne pa v javno izkoriščanje. To zmanjšuje verjetnost, da bo odkriti exploit uporabljen za krajo ali povzročanje motenj.
V širšem varnostnem okolju se bug bounty razume kot proaktiven, tržno usmerjen mehanizem za izboljšanje robustnosti kode. Deluje vzporedno z internim testiranjem, formalno verifikacijo in pregledi tretjih oseb kot del strategije večplastne obrambe (defense-in-depth). V decentraliziranih financah in drugih visoko vrednih aplikacijah na verigi blokov (blockchain) dobro zasnovani bug bounty programi kažejo, da projekt varnost jemlje resno in je pripravljen konstruktivno sodelovati z varnostno skupnostjo. Koncept je postal standardno pričakovanje za protokole, ki upravljajo pomembno vrednost na verigi (on-chain).