Визначення
Bug bounty — це формальна програма стимулів, у межах якої проєкт або організація пропонує винагороди незалежним дослідникам безпеки, які виявляють і повідомляють про вразливості. У контексті криптовалют і технології блокчейн (blockchain) bug bounty зазвичай спрямовані на критично важливі компоненти, такі як smart contracts, логіка протоколу та інфраструктура, експлуатація яких може призвести до втрати коштів або порушення роботи сервісів. Розмір винагороди зазвичай масштабується залежно від серйозності та впливу виявленої проблеми, заохочуючи фокус на високоризикових вадах. Bug bounty доповнюють інші практики безпеки, наприклад security audit, постійно залучаючи зовнішній перегляд коду, який еволюціонує.
Як концепція безпеки, bug bounty визначає структуровані відносини між проєктом і «білими хакерами» (white hat researchers), які погоджуються дотримуватися правил відповідального розкриття інформації. Програма зазвичай визначає системи, що входять у сферу дії, поверхню атаки, яку дозволено тестувати, а також те, що вважається допустимим експлойтом. Вона також окреслює юридичні та етичні межі, щоб гарантувати, що тестування не переходить у зловмисну діяльність. В екосистемах блокчейн (blockchain) bug bounty часто публічно задокументовані й можуть фінансуватися в нативних токенах або стейблкоїнах (stablecoins).
Контекст і використання
Програми bug bounty широко використовуються крипто протоколами, біржами та провайдерами wallet як постійний рівень захисту від збоїв безпеки. Вони визнають, що навіть після ретельного security audit у складних, незмінних системах smart contracts можуть залишатися невиявлені вразливості. Пропонуючи винагороди, проєкти прагнуть спрямувати зусилля кваліфікованих дослідників на відповідальне повідомлення про проблеми, а не на їхнє публічне використання. Це допомагає зменшити ймовірність того, що виявлений експлойт буде використано для крадіжки або дестабілізації роботи сервісів.
У ширшому ландшафті безпеки bug bounty розуміється як проактивний, ринковий механізм підвищення надійності коду. Він доповнює внутрішнє тестування, формальну верифікацію та зовнішні аудити як частина стратегії багаторівневого захисту (defense-in-depth). У децентралізованих фінансах і інших високовартісних застосунках на блокчейн (blockchain) добре спроєктовані bug bounty сигналізують, що проєкт серйозно ставиться до своєї безпеки й готовий конструктивно взаємодіяти зі спільнотою дослідників безпеки. Ця концепція стала стандартним очікуванням для протоколів, які керують значною on-chain вартістю.