# TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Що насправді означають ці цифри

TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Що насправді означають ці цифри
Aave проводить програму боніту через Immunefi, виплачуючи до $1,000,000 за критичні вразливості у смарт-контрактах. TurboLoop організував виклик на $100,000 для тих, хто зможе продемонструвати централізацію або спосіб виведення коштів із контракту. Загалом — сфера безпеки для білих хакерів — але ці програми структуровані настільки по-різному, що їх порівняння дає змогу краще зрозуміти особливості обох протоколів.
У цьому пості розглянемо, що саме кожна програма нагороджує, що розмір призу говорить про модель ризику протоколу і чому правильне порівняння — не просто "$1M більше ніж $100K".
Що нагороджує програма Aave з $1M
Програма боніту Aave (керована через Immunefi) має градуйовану структуру виплат залежно від серйозності вразливості:
- Критична: до $1,000,000 — будь-яка вразливість, яка дозволяє зловмиснику вивести або заморозити кошти протоколу.
- Висока: до $250,000 — значний економічний вплив, але без повного виведення коштів.
- Середня: до $25,000 — баги, що погіршують поведінку протоколу без негайних фінансових втрат.
- Низька: до $2,500 — дрібні проблеми, документація або крайні випадки.
Це число у $1M застосовується до вузького класу багів. Більшість подань отримують класифікацію як середні або низькі. Структура боніту відображає масштаб Aave: TVL понад $10B означає, що навіть баг, що коштує 0.01%, може коштувати більше за $1M, тому протокол може собі це дозволити.
Що нагороджує виклик TurboLoop на $100K
Структура виклику TurboLoop відрізняється. Це не градуйований боніт — це публічний виклик із одним питанням:
"Знайдіть будь-який спосіб для команди отримати доступ до коштів користувачів без проходження через ренонсацію, АБО знайдіть будь-яку вразливість у розгорнутому смарт-контракті, яка дозволить вивести або заблокувати кошти. Надішліть підтвердження. Отримайте $100,000 USDT."
Ось і все. Один виклик. Один приз. Структура відображає те, що TurboLoop фактично має захищати:
- Контракт ренонсований — жодних функцій адміністрування, що можуть викликати будь-хто. Тому питання — "знайти точку централізації".
- LP заблокований у окремому контракті. Тому "знайти спосіб вивести LP" обмежено.
- Логіка контракту аудитована і незмінна. Тому "знайти логічну вразливість" — питання проходження аудиту або ні.
Цей виклик — публічне підтвердження довіри: ми вважаємо, що ці вразливості знайти неможливо, і ми готові навічно поставити $100K, щоб будь-хто міг довести нам протилежне.
Чому порівняння не просто у грошах
Різниця між $1M і $100K здається значною. Але це не так, якщо врахувати, що кожен із них захищає:
Aave з $1M захищає складний, великий, управлінський протокол.
- TVL: понад $10B
- Кодова база: понад 100 Solidity контрактів, часті оновлення через governance
- Атака: кожна пропозиція governance, кожне розгортання у мережі, кожна інтеграція oracle
- Захисники: внутрішня команда Aave + зовнішні аудитори + програма боніту
Це лише малий відсоток від того, що Aave може втратити через критичну вразливість або серйозну помилку.