Skip to content
All articles

# Баг-баунти TurboLoop на $100K против программы Aave на $1M: что на самом деле означают эти цифры

# Баг-баунти TurboLoop на $100K против программы Aave на $1M: что на самом деле означают эти цифры

SEO-описание: Сравните программы баг-баунти TurboLoop на $100K и Aave на $1M, чтобы понять, что эти цифры раскрывают о мотивации безопасности в крипто.


Aave проводит программу баг-баунти через Immunefi с выплатами до $1,000,000 за критические уязвимости в смарт-контрактах. TurboLoop организовал вызов на сумму $100,000 для тех, кто сможет продемонстрировать централизацию или способ вывести средства с контракта. Оба проекта находятся в одной области — стимулы для белых хакеров — но структура программ настолько различна, что их сравнение дает ценное представление о подходах к безопасности в обоих протоколах.

В этом посте мы разберем, что именно награждается в каждой программе, что размер призового фонда говорит о модели риска протокола, и почему правильное сравнение — не "$1M больше, чем $100K."

За что награждает программа Aave на $1M

Баг-баунти Aave (проводится через Immunefi) построена по градационной системе выплат в зависимости от серьезности уязвимости:

  • Критическая: до $1,000,000 — любые уязвимости, позволяющие злоумышленнику вывести или заморозить средства протокола.
  • Высокая: до $250,000 — значительный экономический эффект, но не полный вывод средств.
  • Средняя: до $25,000 — баги, ухудшающие работу протокола без немедленных финансовых потерь.
  • Низкая: до $2,500 — мелкие проблемы, документация или крайние случаи.

Цифра в $1M относится к узкому классу уязвимостей. Большинство заявок получают классификацию Medium или Low. Структура наград отражает масштаб Aave: TVL более $10 млрд означает, что даже уязвимость с 0.01% ущерба стоит больше, чем $1M, и протокол способен это себе позволить.

За что награждает вызов TurboLoop на $100K

Вызов TurboLoop организован иначе. Это не градационная программа — это публичный вызов с одним вопросом:

"Найдите любой способ, при котором команда сможет получить доступ к средствам пользователей без использования ренouncement, ИЛИ найдите уязвимость в развернутом смарт-контракте, которая позволит вывести или заблокировать средства. Предоставьте доказательства. Получите $100,000 USDT."

Вот и все. Один вызов. Один приз. Структура отражает то, что TurboLoop действительно защищает:

  • Контракт ренонсирован — ни один админ-функционал не может быть вызван никем. Поэтому вопрос — "найти точку централизации".
  • LP заблокирован во вспомогательном контракте. Поэтому "найти способ вывести LP" ограничено.
  • Логика контракта аудирована и является неизменяемой. Поэтому "найти логическую ошибку" — вопрос, прошел ли аудит или нет.

Этот вызов — публичное заявление о доверии: мы считаем, что эти уязвимости найти невозможно, и мы готовы навсегда поставить $100K, чтобы кто-то доказал обратное.

Почему сравнение не сводится только к суммам

Разрыв между $1M и $100K кажется неравномерным. На самом деле — нет, если учитывать, что именно защищает каждый из них:

Программа Aave на $1M защищает сложный, крупный протокол с управлением.

  • TVL: более $10 млрд
  • Кодовая база: свыше 100 контрактов на Solidity, частые обновления через управление
  • Уязвимая поверхность: каждое предложение управления, каждое развертывание в цепочке, интеграция оракулов
  • Защитники: команда Aave, внешние аудиторы, баг-баунти программа

$1M — это лишь малая часть потенциальных потерь для Aave при критической уязвимости.

Continue Reading

Found this useful?
Pass it along.
# Баг-баунти TurboLoop на $100K против программы Aave на $1M: что на самом деле означают эти цифры · Turbo Loop