Skip to content
All articles

# TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Що насправді означають ці цифри

# TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Що насправді означають ці цифри

TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Що насправді означають ці цифри

Aave проводить програму боніту через Immunefi, виплачуючи до $1,000,000 за критичні вразливості у смарт-контрактах. TurboLoop організував виклик на $100,000 для тих, хто зможе продемонструвати централізацію або спосіб виведення коштів із контракту. Загалом — сфера безпеки для білих хакерів — але ці програми структуровані настільки по-різному, що їх порівняння дає змогу краще зрозуміти особливості обох протоколів.

У цьому пості розглянемо, що саме кожна програма нагороджує, що розмір призу говорить про модель ризику протоколу і чому правильне порівняння — не просто "$1M більше ніж $100K".

Що нагороджує програма Aave з $1M

Програма боніту Aave (керована через Immunefi) має градуйовану структуру виплат залежно від серйозності вразливості:

  • Критична: до $1,000,000 — будь-яка вразливість, яка дозволяє зловмиснику вивести або заморозити кошти протоколу.
  • Висока: до $250,000 — значний економічний вплив, але без повного виведення коштів.
  • Середня: до $25,000 — баги, що погіршують поведінку протоколу без негайних фінансових втрат.
  • Низька: до $2,500 — дрібні проблеми, документація або крайні випадки.

Це число у $1M застосовується до вузького класу багів. Більшість подань отримують класифікацію як середні або низькі. Структура боніту відображає масштаб Aave: TVL понад $10B означає, що навіть баг, що коштує 0.01%, може коштувати більше за $1M, тому протокол може собі це дозволити.

Що нагороджує виклик TurboLoop на $100K

Структура виклику TurboLoop відрізняється. Це не градуйований боніт — це публічний виклик із одним питанням:

"Знайдіть будь-який спосіб для команди отримати доступ до коштів користувачів без проходження через ренонсацію, АБО знайдіть будь-яку вразливість у розгорнутому смарт-контракті, яка дозволить вивести або заблокувати кошти. Надішліть підтвердження. Отримайте $100,000 USDT."

Ось і все. Один виклик. Один приз. Структура відображає те, що TurboLoop фактично має захищати:

  • Контракт ренонсований — жодних функцій адміністрування, що можуть викликати будь-хто. Тому питання — "знайти точку централізації".
  • LP заблокований у окремому контракті. Тому "знайти спосіб вивести LP" обмежено.
  • Логіка контракту аудитована і незмінна. Тому "знайти логічну вразливість" — питання проходження аудиту або ні.

Цей виклик — публічне підтвердження довіри: ми вважаємо, що ці вразливості знайти неможливо, і ми готові навічно поставити $100K, щоб будь-хто міг довести нам протилежне.

Чому порівняння не просто у грошах

Різниця між $1M і $100K здається значною. Але це не так, якщо врахувати, що кожен із них захищає:

Aave з $1M захищає складний, великий, управлінський протокол.

  • TVL: понад $10B
  • Кодова база: понад 100 Solidity контрактів, часті оновлення через governance
  • Атака: кожна пропозиція governance, кожне розгортання у мережі, кожна інтеграція oracle
  • Захисники: внутрішня команда Aave + зовнішні аудитори + програма боніту

Це лише малий відсоток від того, що Aave може втратити через критичну вразливість або серйозну помилку.

Continue Reading

Found this useful?
Pass it along.
# TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Що насправді означають ці цифри · Turbo Loop