Заробіток на криптовалютних помилках: що таке Bug Bounty?

У цій статті ми розглянемо криптовалютні проєкти, що запускають кампанію Bug Bounty, та дізнаємось, як саме заробити винагороду за виявлення помилок в програмному забезпеченні проєкту.

Будь-яка компанія, що працює у сфері Web3, розробки програмного забезпечення та криптовалютних застосунків, може запустити кампанію Bug Bounty. Якщо казати конкретно про криптовалютні застосунки, то Bug Bounty ініціюють:

● централізовані та децентралізовані криптовалютні біржі;

● криптогаманці;

● кросчейн-мости;

● протоколи дохідного фермерства та фармінгу ліквідності;

● блокчейни, платформи смартконтрактів (зокрема Testnet).

Мета Bug Bounty проста — виявити помилку силами власної спільноти, вчасно виправити її та винагородити активних користувачів за роботу.

Увагу варто звертати на різноманітні помилки, які виникають в застосунках. Вони можуть починатися з повільного завантаження вебсайту і закінчуватись вразливістю у смартконтракті, що може призвести до серйозних фінансових втрат.

З огляду на зовнішні атаки, вразливості Bug Bounty можна розділити на декілька груп:

■ Cross-Site Scripting (XSS). Можливість зловмисника вставляти на вебсторінку шкідливий код, що може перенестися на браузер або комп’ютер користувача;

■ SQL Injection. Інтеграція шкідливого програмного забезпечення хакером для компрометації або викрадення клієнтських даних;

■ Remote Code Execution (RCE). Можливість зловмисника повністю скомпрометувати сервер;

■ Cross-Site Request Forgery (CSRF). Можливість виконання несанкціонованих дій від імені користувача;

■ Authentication Bypass. Обхід системи аутентифікації та захисних програм. 

Що стосується внутрішніх проблем криптовалютних систем, то Bug Bounty налаштовують на пошук:

● маніпуляцій з транзакціями або цінами активів, порушення токеноміки або балансів;

● уразливості бази даних, віддалене виконання коду;

● крадіжки коштів користувачів або самої компанії.

Активності Bug Bounty мають свої переваги, зокрема можливість заробити без значних витрат. Крім того, криптовалютні проєкти економлять значні кошти, які могли б бути втрачені, якби проблеми в програмному забезпеченні не були вчасно виявлені та розв’язані.

Головними недоліками є великі часові витрати та потреба в спеціальних знаннях. Простого тестування платформи часто недостатньо. Учасниками Bug Bounty стають розробники, програмісти або навіть хакери, що вміють досліджувати програмний код проєкту.

Винагороди за Bug Bounty безпосередньо залежать від знайденої вразливості. За проблеми з базовим інтерфейсом або глюками винагорода становитиме від $100 до $500. А за виявлення серйозних вразливостей у коді часто виплачуються десятки тисяч доларів. Сума винагороди залежить від потенційних втрат, яких компанія могла б зазнати, якби вразливість залишилася невиявленою.

Для прикладу Bug Bounty тестової мережі WhiteBIT Network. За найменші помилки користувачам обіцяють до $100, а далі все залежить від ступеня ризику. Знайдення критичних помилок надасть змогу заробити до $5000.