Skip to content
All articles
June 26, 2026

TurboLoop کا $100K بگ باؤنٹی بمقابلہ Aave کا $1M پروگرام: اعداد و شمار کا اصل مطلب کیا ہے

Aave ہر اہم بگ کے لیے $1M پیش کرتا ہے۔ TurboLoop مرکزیت کے ثبوت کے لیے $100K پیش کرتا ہے۔ ایک ہی ڈالر کا تصور، بہت مختلف وعدے۔ یہاں ہر پروگرام پروٹوکول کے بارے میں کیا کہتا ہے۔

TurboLoop کا $100K بگ باؤنٹی بمقابلہ Aave کا $1M پروگرام: اعداد و شمار کا اصل مطلب کیا ہے

TurboLoop کا $100K بگ باؤنٹی بمقابلہ Aave کا $1M پروگرام: اعداد و شمار کا اصل مطلب کیا ہے

Aave ایک بگ باؤنٹی پروگرام چلاتا ہے جس کے ذریعے Immunefi کے ذریعے اہم سمارٹ کنٹریکٹ کی کمزوریوں کے لیے $1,000,000 تک ادا کیا جاتا ہے۔ TurboLoop ایک $100,000 چیلنج چلاتا ہے جو کوئی بھی شخص جو مرکزیت یا کنٹریکٹ سے فنڈز نکالنے کا طریقہ ظاہر کر سکتا ہے۔ عمومی طور پر یہ دونوں پروگرام ایک ہی جگہ پر ہیں — وائٹ ہیٹ محققین کے لیے سیکیورٹی کے مراعات — لیکن دونوں پروگراموں کی ساخت اتنی مختلف ہے کہ ان کا براہ راست موازنہ آپ کو دونوں پروٹوکولز کے بارے میں کچھ بتاتا ہے۔

یہ پوسٹ یہ واضح کرتی ہے کہ ہر پروگرام اصل میں کیا انعام دیتا ہے، انعام کی مقدار آپ کو پروٹوکول کے خطرے کے ماڈل کے بارے میں کیا بتاتی ہے، اور صحیح موازنہ کیوں یہ نہیں ہے کہ "$1M $100K سے بڑا ہے۔"

Aave کا $1M باؤنٹی کیا انعام دیتا ہے

Aave کا باؤنٹی (جو Immunefi کے ذریعے چلایا جاتا ہے) ایک گریجویٹ ادائیگی کی ساخت ہے جو بگ کی شدت پر مبنی ہے:

  • اہم: $1,000,000 تک — کچھ بھی جو ایک حملہ آور کو پروٹوکول کے فنڈز نکالنے یا منجمد کرنے کی اجازت دیتا ہے۔
  • اعلی: $250,000 تک — اہم اقتصادی اثر لیکن مکمل نکاسی نہیں۔
  • درمیانہ: $25,000 تک — بگ جو پروٹوکول کے رویے کو کمزور کرتا ہے بغیر فوری مالی نقصان کے۔
  • کم: $2,500 تک — معمولی مسائل، دستاویزات، یا کنارے کے معاملات۔

ہیڈ لائن $1M نمبر ایک تنگ کلاس کے بگ پر لاگو ہوتا ہے۔ زیادہ تر جمع کرائی گئی چیزیں درمیانی یا کم درجے میں درجہ بند کی جاتی ہیں۔ باؤنٹی کی ساخت Aave کے پیمانے کی عکاسی کرتی ہے: ~$10B+ TVL کا مطلب ہے کہ یہاں تک کہ 0.01% بگ بھی $1M کی ادائیگی سے زیادہ قیمت رکھتا ہے، لہذا پروٹوکول اسے ادا کرنے کی استطاعت رکھتا ہے۔

TurboLoop کا $100K چیلنج کیا انعام دیتا ہے

TurboLoop کا چیلنج مختلف طور پر ترتیب دیا گیا ہے۔ یہ ایک گریجویٹ باؤنٹی نہیں ہے — یہ ایک سوال کا عوامی چیلنج ہے:

"کسی بھی طریقے سے ٹیم کو صارف کے فنڈز تک رسائی حاصل کرنے کا طریقہ تلاش کریں بغیر کہ رینونسمنٹ کے ذریعے جائیں، یا کسی بھی کمزوری کو تلاش کریں جو تعینات سمارٹ کنٹریکٹ میں فنڈز کو نکالنے یا بند کرنے کی اجازت دیتی ہے۔ ثبوت جمع کروائیں۔ $100,000 USDT کا دعویٰ کریں۔"

بس اتنا ہی۔ ایک چیلنج۔ ایک ادائیگی۔ یہ ساخت اس بات کی عکاسی کرتی ہے کہ TurboLoop واقعی کیا دفاع کر رہا ہے:

  • کنٹریکٹ رینونس ہے — کوئی بھی انتظامی افعال کسی بھی شخص کے ذریعہ نہیں بلائے جا سکتے۔ تو "مرکزیت کا نقطہ تلاش کریں" عملی سوال ہے۔
  • LP ایک علیحدہ کنٹریکٹ میں وقت کے لیے بند ہے۔ تو "LP کو نکالنے کا طریقہ تلاش کریں" محدود ہے۔
  • کنٹریکٹ کی منطق آڈٹ کی گئی ہے + ناقابل تبدیلی ہے۔ تو "منطق کا بگ تلاش کریں" آڈٹ پاس یا ناکام ہونے کا سوال ہے۔

چیلنج ایک عوامی اعتماد کا بیان ہے: ہم یقین رکھتے ہیں کہ ان میں سے کوئی بھی چیز تلاش کرنے کے قابل نہیں ہے، اور ہم ہمیشہ $100K کی پیشکش کریں گے تاکہ کسی کو ہمیں غلط ثابت کرنے کی دعوت دیں۔

کیوں موازنہ صرف ڈالر کی مقدار نہیں ہے

$1M بمقابلہ $100K کا فرق غیر متوازن لگتا ہے۔ یہ نہیں ہے، جب آپ یہ سمجھتے ہیں کہ ہر ایک اصل میں کیا دفاع کر رہا ہے:

Aave کا $1M ایک پیچیدہ، بڑا، حکومتی پروٹوکول کا دفاع کرتا ہے۔

  • TVL: ~$10B+
  • کوڈ بیس: 100+ Solidity کنٹریکٹس، حکومتی کے ذریعے بار بار اپ گریڈ
  • حملے کی سطح: ہر حکومتی تجویز، ہر زنجیر کی تعیناتی، ہر اوریکل انضمام
  • دفاع کرنے والے: Aave Companies کی داخلی ٹیم + بیرونی آڈیٹر + باؤنٹی پروگرام

$1M ایک اہم کمزوری کے لیے Aave کے نقصان کا ایک چھوٹا حصہ ہے۔ یہ نمبر خطرے کے پیمانے کے مطابق ترتیب دیا گیا ہے۔

TurboLoop کا $100K ایک رینونس، ناقابل تبدیلی، سادہ پروٹوکول کا دفاع کرتا ہے۔

  • TVL: Aave سے 2 آرڈرز کے پیمانے سے چھوٹا
  • کوڈ بیس: ایک ہی Solidity کنٹریکٹ، کوئی اپ گریڈ ممکن نہیں
  • حملے کی سطح: خود کنٹریکٹ + LP لاک + آڈٹ کے نتائج
  • دفاع کرنے والے: اصل آڈیٹر + کھلا چیلنج کی دعوت

$100K دائرہ کار کے مطابق ترتیب دیا گیا ہے: ایک سادہ، رینونس کنٹریکٹ میں کم حملے کی سطح ہوتی ہے، لہذا ایک چھوٹی باؤنٹی زیادہ تر سیکیورٹی ریسرچ کی دلچسپی کو پکڑ لیتی ہے۔ یہاں کوئی حکمرانی نہیں ہے جس پر حملہ کیا جائے، کوئی اپ گریڈ پائپ لائن نہیں ہے جسے خراب کیا جائے، کوئی اوریکل نہیں ہے جسے ہیرا پھیری کی جائے۔

دونوں نمبر ان کے دفاع کے لیے "صحیح سائز" ہیں۔ غیر متوازن ڈالر کا موازنہ گمراہ کن ہے۔

ساختی فرق کیا کہتا ہے

حقیقی سبق یہ ہے کہ ہر پروگرام پروٹوکول کے دفاعی رویے کے بارے میں کیا فرض کرتا ہے۔

Aave فرض کرتا ہے کہ پیچیدگی مستقل ہے۔ ایک $1B+ TVL پروٹوکول جس میں حکمرانی، اوریکلز، ملٹی چین تعیناتی، اور مسلسل خصوصیات کا اضافہ ہوتا رہے گا ہمیشہ نئے بگ ہوں گے۔ باؤنٹی کو پروٹوکول کی ترقی کے ساتھ جاری دریافت کو سنبھالنے کے لیے ترتیب دیا گیا ہے۔ اہم بگ وقتاً فوقتاً ملیں گے؛ پروگرام کو ان سے پہلے ادا کرنے کے لیے ترتیب دیا گیا ہے جب وہ استحصال کیے جائیں۔

TurboLoop فرض کرتا ہے کہ پیچیدگی ختم ہو چکی ہے۔ کنٹریکٹ رینونس ہے۔ مزید خصوصیات نہیں آ رہی ہیں۔ کوئی حکمرانی اسے تبدیل نہیں کر سکتی۔ اگر آڈٹ شدہ کوڈ میں تعیناتی کے وقت کوئی اہم بگ نہیں تھا، تو نئے بگ کے لیے سطح کا رقبہ صفر ہے۔ باؤنٹی ایک مقررہ چیلنج کے گرد ترتیب دی گئی ہے: ایک کمزوری موجود ہے یا ایک مرکزیت کا نقطہ موجود ہے یہ ثابت کریں۔ دونوں صورتوں میں، آپ ایک بار جیتتے ہیں اور جواب پورے پروٹوکول کی نوعیت کو تبدیل کر دیتا ہے۔

دونوں رویے منطقی ہیں۔ یہ مختلف انتخاب کی عکاسی کرتے ہیں کہ ایک ییلڈ پروٹوکول کو کیسے چلانا چاہیے۔

کیا نہیں دعویٰ کیا گیا (اور کیوں)

Aave کی باؤنٹی نے لانچ کے بعد کئی بار ادائیگی کی ہے — ہیڈ لائن $1M اہم کلاس کے لیے نہیں، بلکہ اعلی اور درمیانی شدت کی تلاشوں کے لیے۔ ان کو حکومتی اپ گریڈ کے ذریعے خاموشی سے ٹھیک کیا گیا ہے۔ پروگرام جیسا کہ ارادہ کیا گیا تھا کام کرتا ہے؛ پروٹوکول اس کی وجہ سے زیادہ محفوظ ہے۔

TurboLoop کا چیلنج لانچ کے بعد صفر بار ادا کیا گیا ہے۔ اس کی وجہ یہ نہیں ہے کہ محققین نہیں دیکھ رہے ہیں — بھارتی، روسی، اور یوکرینی سیکیورٹی کمیونٹیز فعال طور پر اجازت نامہ کے بغیر DeFi کنٹریکٹس کی جانچ کر رہی ہیں — بلکہ اس کی وجہ یہ ہے کہ جواب پروٹوکول کی ساخت سے محدود ہے۔ چیلنج جیتنے کے لیے آپ کو یا تو:

  1. آڈٹ شدہ، ناقابل تبدیلی کوڈ میں ایک سمارٹ کنٹریکٹ کا بگ تلاش کرنا ہوگا جو کئی سالوں سے تعینات ہے (اگر آڈٹ مکمل تھا تو کم امکانات)
  2. کوڈ میں ایک مرکزیت کا نقطہ تلاش کرنا جہاں renounceOwnership() کو بلایا گیا ہے (ناممکن — فنکشن کال آن چین اور قابل تصدیق ہے)

زیرو ادائیگیاں کوئی بگ نہ ہونے کا ثبوت نہیں ہیں۔ یہ اس بات کا ثبوت ہے کہ محدود حملے کی سطح کے ساتھ ساتھ آڈٹ + رینونسمنٹ کا مجموعہ عوامی جانچ پڑتال کے سامنے برقرار رہا ہے۔

کون سا ماڈل "بہتر" ہے

نہ تو۔ یہ مختلف سوالات کے جوابات ہیں۔

Aave کا ماڈل درست ہے: پروٹوکولز کے لیے جنہیں مسلسل خصوصیات کی ترقی، حکومتی لچک، ملٹی چین توسیع، بڑھتے ہوئے DeFi ماحولیاتی نظام کے ساتھ انضمام کی ضرورت ہے۔ باؤنٹی جاری پیچیدگی کی قیمت کو سنبھالتی ہے۔

TurboLoop کا ماڈل درست ہے: پروٹوکولز کے لیے جو لچک کے مقابلے میں استحکام پر شرط لگاتے ہیں۔ ایک رینونس، آڈٹ شدہ، ناقابل تبدیلی کنٹریکٹ مسائل کو حل کرنے کے آپشن کو چھوڑ دیتا ہے لیکن ریاضی کی پیش گوئی کی خصوصیت حاصل کرتا ہے۔ چیلنج یہ سوال سنبھالتا ہے کہ آیا یہ شرط درست تھی۔

اگر آپ ایک ییلڈ پروٹوکول چاہتے ہیں جو خصوصیات کو شامل کرتا رہے گا اور مارکیٹ کے حالات کے مطابق ڈھلتا رہے گا، تو Aave کی ساخت سمجھ میں آتی ہے۔ اگر آپ ایک ییلڈ پروٹوکول چاہتے ہیں جو 10 سال بعد بھی آج کی طرح ہی برتاؤ کرے گا، تو TurboLoop کی ساخت سمجھ میں آتی ہے۔

سیکیورٹی ریسرچر دراصل کس چیز پر نظر ڈالتا ہے

وائٹ ہیٹ محققین کے لیے یہ فیصلہ کرنا کہ وقت کہاں گزارنا ہے:

  • اعلی-TVL، پیچیدہ پروٹوکولز (Aave، Compound، Curve) گہرے تخصص کو انعام دیتے ہیں۔ باؤنٹیاں بڑی ہیں لیکن بگ نایاب اور تلاش کرنا مشکل ہیں۔
  • رینونس، سادہ پروٹوکولز (TurboLoop، اسی طرح کی تعمیر) وسیع علم کو انعام دیتے ہیں۔ باؤنٹی چھوٹی ہے لیکن حملے کی سطح بھی چھوٹی ہے — آڈٹ کرنے میں جلدی، جلدی یہ تصدیق کرنے یا کسی مسئلے کو تلاش کرنے کے لیے۔
  • نئے، غیر آڈٹ شدہ پروٹوکولز وہ جگہ ہیں جہاں زیادہ تر بگ دراصل موجود ہیں لیکن عام طور پر باؤنٹی پروگرام نہیں رکھتے — محققین یا تو استحصال کرتے ہیں (وائٹ ہیٹ یا بلیک ہیٹ) یا آگے بڑھ جاتے ہیں۔

محقق کے وقت کا سب سے مؤثر استعمال اکثر درمیانی زمرے میں ہوتا ہے: اچھی طرح سے آڈٹ شدہ لیکن نوجوان پروٹوکول جہاں ایک محتاط نظر اب بھی کچھ تلاش کر سکتی ہے جو آڈٹ سے چھوٹ گئی۔

اہم نکات

  • Aave کا $1M باؤنٹی اور TurboLoop کا $100K چیلنج مختلف پروٹوکول کی ساخت کے مطابق ترتیب دیے گئے ہیں، نہ کہ مختلف سیکیورٹی کے وعدوں کے مطابق
  • Aave: ایک بڑے حکومتی پروٹوکول میں جاری پیچیدگی کے لیے گریجویٹ باؤنٹی
  • TurboLoop: ایک رینونس، ناقابل تبدیلی، آڈٹ شدہ کنٹریکٹ کے لیے ایک عوامی چیلنج
  • Aave نے کئی بار ادائیگی کی ہے (جیسا کہ ارادہ کیا گیا تھا)؛ TurboLoop نے صفر بار ادائیگی کی ہے (یہ بھی جیسا کہ ارادہ کیا گیا تھا، محدود حملے کی سطح کے پیش نظر)
  • نہ تو ماڈل عالمی طور پر "بہتر" ہے — یہ مختلف ڈیزائن کے سوالات کے جوابات دیتے ہیں
  • ڈالر کا فرق گمراہ کن ہے؛ دونوں پروگراموں کے درمیان ساختی فرق ہی پروٹوکول کے خطرے کی فلسفے کو ظاہر کرتا ہے

بڑا باؤنٹی محفوظ پروٹوکول نہیں ہے۔ اصل حملے کی سطح کے لیے صحیح سائز کی باؤنٹی ہے۔

Found this useful?
Pass it along.
TurboLoop کا $100K بگ باؤنٹی بمقابلہ Aave کا $1M پروگرام · Turbo Loop