Настройка bug bounty для смарт-контрактів
Bug bounty — це постійна програма вознаграження за найдені вразливості, запущена після аудиту. Аудит — snapshot безпеки на момент деплоя. Bug bounty — постійний процес на все час життя протоколу. Крупні DeFi-протоколи платять від $50K до $10M за critical findings: Ethereum Foundation — до $250K, Uniswap — до $15.5M, MakerDAO — до $10M.
Настройка програми — не складно технічно, але потребує чіткої постановки scope, правил та вознаграджень.
Основні платформи
Immunefi — крупнейша DeFi-спеціалізована платформа. $100M+ виплачено з моменту запуску. Спеціалізується на смарт-контрактах та blockchain. Інтегрована з більшістю DeFi-протоколів. Комісія: 10% від виплачених bounty.
HackerOne — загальна bug bounty платформа з великим сообществом. Менш спеціалізована на DeFi, але має верифікованих web3 дослідників. Підходить якщо протокол також має web2-компоненти (API, frontend).
Code4rena та Sherlock — audit contests, не класичний bug bounty. Але Sherlock надає insurance coverage проти exploits, що може бути цінніше bounty для деяких протоколів.
Для DeFi-протоколу: Immunefi — стандартний вибір.
Структура програми
Scope
Чітко визначити в-scope та out-of-scope. Приклад:
In scope (смарт-контракти):
- Усі контракти за адресами [список] на Ethereum mainnet
- Контракти на Arbitrum [адреси]
Out of scope:
- Frontend bugs (XSS, phishing)
- Централізована інфраструктура (сервери, БД)
- Вже відомі проблеми (ссилка на публічний audit-звіт)
- Bugs вимагаючи фізичного доступу до пристрою
- Вразливості в залежностях (OpenZeppelin, Chainlink)
Класифікація severity та виплати
| Severity | Критерій | Виплата |
|---|---|---|
| Critical | Пряма крадіж/втрата коштів користувачів | $50K - $200K |
| High | Значна шкода за певних умов | $10K - $50K |
| Medium | Обмежена шкода, складні умови | $1K - $10K |
| Low | Мінорний impact | $100 - $1K |
Виплати пропорційні TVL. Протокол з $10M TVL та максимальним bounty $5K не привлече серйозних дослідників. Стандарт: critical bounty = 10% від максимально можливого збитку, мінімум $50K для production-протоколу.
Rules of Engagement
- Немає публічного розкриття до виправлення та підтвердження (responsible disclosure)
- Немає DoS/disruption реального протоколу при тестуванні (використовувати fork або testnet)
- First reporter wins — якщо два報це одну вразливість, перший по timestamp отримує нагороду
- KYC вимога для виплат понад пороговою сумою (звичайно $10K) — AML compliance
- Заборонено використовувати найдену вразливість у особистих цілях до репорту
Вимоги до репортів
Хороший репорт має містити:
- Опис вразливості та її impact
- Воспроизводимий proof of concept (Foundry тест або скрипт)
- Запропоноване виправлення
Immunefi надає шаблон. Неповні репорти без PoC — низький пріоритет.
Після запуску
Реагуйте на репорти протягом 48 годин. Довге мовчання — поганої репутація у сообществі дослідників. Payouts через Immunefi обробляються платформою (stablecoins або нативний токен на вибір дослідника).
Запуск на Immunefi: створити аккаунт → заповнити scope → встановити budget → Immunefi перевіряє → publish. Займає 1-2 тижні від подачі до публікації.







