La recompensa de $100K de TurboLoop frente al programa de $1M de Aave: ¿Qué significan realmente los números?
Aave ofrece $1M por cada error crítico. TurboLoop ofrece $100K por prueba de centralización. Mismo concepto monetario, compromisos muy diferentes.
La recompensa de $100K de TurboLoop frente al programa de $1M de Aave: ¿Qué significan realmente los números?
Aave ejecuta un programa de recompensas por errores a través de Immunefi, pagando hasta $1,000,000 por vulnerabilidades críticas en contratos inteligentes. TurboLoop lleva a cabo un desafío de $100,000 para cualquier persona que pueda demostrar centralización o una forma de drenar fondos del contrato. Mismo espacio general — incentivos de seguridad para investigadores whitehat — pero los dos programas están estructurados de manera lo suficientemente diferente que compararlos directamente te dice algo sobre ambos protocolos.
Este post desglosa lo que cada programa realmente recompensa, lo que el tamaño del premio te dice sobre el modelo de riesgo del protocolo y por qué la comparación correcta no es "$1M es más grande que $100K."
Lo que recompensa la recompensa de $1M de Aave
La recompensa de Aave (administrada a través de Immunefi) tiene una estructura de pago graduada basada en la gravedad del error:
- Crítico: hasta $1,000,000 — cualquier cosa que permita a un atacante drenar o congelar fondos del protocolo.
- Alto: hasta $250,000 — impacto económico significativo pero no drenaje total.
- Medio: hasta $25,000 — errores que degradan el comportamiento del protocolo sin pérdida financiera inmediata.
- Bajo: hasta $2,500 — problemas menores, documentación o casos extremos.
El número destacado de $1M se aplica a una clase estrecha de errores. La mayoría de las presentaciones se clasifican como Medio o Bajo. La estructura de la recompensa refleja la escala de Aave: ~$10B+ TVL significa que incluso un error del 0.01% cuesta más que el pago de $1M, por lo que el protocolo puede permitirse pagarlo.
Lo que recompensa el desafío de $100K de TurboLoop
El desafío de TurboLoop está estructurado de manera diferente. No es una recompensa graduada — es un desafío público de una sola pregunta:
"Encuentra cualquier forma en que el equipo pueda acceder a los fondos de los usuarios sin pasar por la renuncia, O encuentra cualquier vulnerabilidad en el contrato inteligente desplegado que permita drenar o bloquear fondos. Presenta prueba. Reclama $100,000 USDT."
Eso es todo. Un desafío. Un pago. La estructura refleja lo que TurboLoop realmente tiene que defender:
- El contrato está renunciado — ninguna función administrativa puede ser llamada por nadie. Así que "encontrar un punto de centralización" es la pregunta operativa.
- El LP está bloqueado por tiempo en un contrato separado. Así que "encontrar una forma de drenar el LP" está restringido.
- La lógica del contrato está auditada + es inmutable. Así que "encontrar un error lógico" es la pregunta de pasar o fallar la auditoría.
El desafío es una declaración pública de confianza: creemos que ninguno de estos es encontrable, y pondremos $100K sobre la mesa para siempre para invitar a cualquiera a demostrar que estamos equivocados.
Por qué la comparación no son solo cantidades en dólares
La brecha de $1M frente a $100K parece desproporcionada. No lo es, una vez que consideras lo que cada uno está realmente defendiendo:
La recompensa de $1M de Aave defiende un protocolo complejo, grande y dirigido por gobernanza.
- TVL: ~$10B+
- Base de código: más de 100 contratos en Solidity, actualizaciones frecuentes a través de gobernanza
- Superficie de ataque: cada propuesta de gobernanza, cada implementación en cadena, cada integración de oráculo
- Defensores: equipo interno de Aave Companies + auditores externos + programa de recompensas
El $1M es una pequeña fracción de lo que Aave puede perder por una sola vulnerabilidad crítica. El número está calibrado a la escala del riesgo.
La recompensa de $100K de TurboLoop defiende un protocolo renunciado, inmutable y simple.
- TVL: más pequeño que Aave por 2 órdenes de magnitud
- Base de código: un solo contrato en Solidity, sin actualizaciones posibles
- Superficie de ataque: el contrato mismo + el bloqueo del LP + los hallazgos de la auditoría
- Defensores: auditores originales + la invitación al desafío abierto
El $100K está calibrado al alcance: un contrato simple y renunciado tiene menos superficie de ataque, por lo que una recompensa más pequeña captura la mayor parte del interés en la investigación de seguridad. No hay gobernanza que atacar, no hay pipeline de actualización que corromper, no hay oráculo que manipular.
Ambos números están "ajustados" para lo que defienden. La comparación desproporcionada en dólares es engañosa.
Lo que dice la diferencia estructural
La verdadera conclusión es lo que cada programa asume sobre la postura de defensa del protocolo.
Aave asume que la complejidad es permanente. Un protocolo con TVL de más de $1B con gobernanza, oráculos, implementación en múltiples cadenas y adiciones continuas de características siempre tendrá nuevos errores. La recompensa está estructurada para manejar el descubrimiento continuo a medida que el protocolo evoluciona. Los errores críticos SE ENCONTRARÁN periódicamente; el programa está calibrado para pagarlos antes de que sean explotados.
TurboLoop asume que la complejidad ha terminado. El contrato está renunciado. No se están añadiendo más características. Ninguna gobernanza puede cambiarlo. Si el código auditado no contenía un error crítico en el despliegue, la superficie para nuevos errores es cero. La recompensa está estructurada en torno a un desafío fijo: prueba que existe una vulnerabilidad o prueba que existe un punto de centralización. De cualquier manera, ganas una vez y la respuesta cambia la naturaleza de todo el protocolo.
Ambas posturas son coherentes. Reflejan diferentes elecciones sobre cómo debería operar un protocolo de rendimiento.
Lo que no se ha reclamado (y por qué)
La recompensa de Aave ha pagado múltiples veces desde su lanzamiento — no por la clase crítica de $1M, sino por hallazgos de gravedad Alta y Media. Estos se han corregido silenciosamente a través de actualizaciones de gobernanza. El programa funciona como se esperaba; el protocolo es más seguro gracias a ello.
El desafío de TurboLoop no ha pagado ninguna vez desde su lanzamiento. No porque los investigadores no estén buscando — las comunidades de seguridad de India, Rusia y Ucrania están activamente investigando contratos DeFi sin permisos — sino porque la respuesta está restringida por la estructura del protocolo. Para ganar el desafío necesitarías:
- Encontrar un error en el contrato inteligente en código auditado e inmutable que ha sido desplegado durante años (baja probabilidad si la auditoría fue exhaustiva)
- Encontrar un punto de centralización en el código donde se ha llamado a
renounceOwnership()(imposible — la llamada a la función está en la cadena y es verificable)
Cero pagos no es prueba de que no haya errores. Es evidencia de que la combinación de la superficie de ataque restringida más la auditoría + renuncia ha resistido el escrutinio público.
Qué modelo es "mejor"
Ninguno. Son respuestas a diferentes preguntas.
El modelo de Aave es adecuado para: protocolos que necesitan desarrollo continuo de características, flexibilidad de gobernanza, expansión en múltiples cadenas, integración con un ecosistema DeFi en crecimiento. La recompensa maneja el costo de la complejidad continua.
El modelo de TurboLoop es adecuado para: protocolos que apuestan por la estabilidad sobre la flexibilidad. Un contrato renunciado, auditado e inmutable renuncia a la opción de solucionar problemas, pero gana la propiedad de la predictibilidad matemática. El desafío maneja la pregunta de si esa apuesta fue válida.
Si deseas un protocolo de rendimiento que siga añadiendo características y adaptándose a las condiciones del mercado, la estructura de Aave tiene sentido. Si deseas un protocolo de rendimiento que se comporte de la misma manera en 10 años como lo hace hoy, la estructura de TurboLoop tiene sentido.
Lo que un investigador de seguridad realmente observa
Para los investigadores whitehat que deciden dónde gastar su tiempo:
- Protocolos complejos y de alto TVL (Aave, Compound, Curve) recompensan la especialización profunda. Las recompensas son grandes, pero los errores son raros y difíciles de encontrar.
- Protocolos renunciados y simples (TurboLoop, arquitectura similar) recompensan el conocimiento amplio. La recompensa es más pequeña, pero la superficie de ataque también es más pequeña — rápida de auditar, rápida para confirmar que está limpia o encontrar un problema.
- Protocolos nuevos y no auditados son donde realmente existen la mayoría de los errores, pero típicamente no tienen programas de recompensas — los investigadores o explotan (whitehat o blackhat) o se mueven a otra cosa.
El uso más eficiente del tiempo del investigador es a menudo la categoría intermedia: protocolos bien auditados pero más jóvenes donde una mirada cuidadosa podría aún encontrar algo que la auditoría pasó por alto.
Conclusiones clave
- La recompensa de $1M de Aave y el desafío de $100K de TurboLoop están calibrados a diferentes estructuras de protocolo, no a diferentes compromisos de seguridad
- Aave: recompensa graduada para la complejidad continua en un protocolo grande dirigido por gobernanza
- TurboLoop: desafío público único para un contrato renunciado, inmutable y auditado
- Aave ha pagado múltiples veces (funcionando como se esperaba); TurboLoop no ha pagado ninguna vez (también funcionando como se esperaba dada la superficie de ataque restringida)
- Ningún modelo es universalmente "mejor" — responden a diferentes preguntas de diseño
- La brecha en dólares es engañosa; la diferencia estructural entre los dos programas es lo que revela las filosofías de riesgo de los protocolos
La recompensa más grande no es el protocolo más seguro. La recompensa ajustada al tamaño real de la superficie de ataque es.