La prime de bug de 100K $ de TurboLoop contre le programme de 1M $ d'Aave : Que signifient réellement les chiffres
Aave offre 1M$ par bug critique. TurboLoop offre 100K$ pour une preuve de centralisation. Même concept en dollars, engagements très différents. Voici ce que chaque programme dit réellement sur le protocole qui le soutient.
La prime de bug bounty de $100K de TurboLoop vs le programme de $1M d'Aave : ce que les chiffres signifient réellement
Aave gère un programme de bug bounty via Immunefi, offrant jusqu'à $1,000,000 pour des vulnérabilités critiques des contrats intelligents. TurboLoop propose un défi de $100,000 pour quiconque peut démontrer une centralisation ou un moyen de vider les fonds du contrat. Même espace général — incitations à la sécurité pour les chercheurs whitehat — mais les deux programmes sont structurés différemment, ce qui permet de comparer directement les deux protocoles.
Ce post explique ce que chaque programme récompense réellement, ce que la taille du prix indique sur le modèle de risque du protocole, et pourquoi la bonne comparaison n'est pas "1M$ est plus grand que 100K$".
Ce que la prime de $1M d'Aave récompense
La prime d'Aave (administrée via Immunefi) est une structure de paiement graduée basée sur la gravité du bug :
- Critique : jusqu'à $1,000,000 — tout ce qui permet à un attaquant de vider ou de geler les fonds du protocole.
- Élevée : jusqu'à $250,000 — impact économique significatif mais pas de vidage complet.
- Moyenne : jusqu'à $25,000 — bugs qui dégradent le comportement du protocole sans perte financière immédiate.
- Faible : jusqu'à $2,500 — problèmes mineurs, documentation ou cas particuliers.
Le chiffre phare de 1M$ s'applique à une classe étroite de bugs. La plupart des soumissions sont classées Moyenne ou Faible. La structure de la prime reflète l'échelle d'Aave : ~$10B+ TVL signifie qu'un bug de 0,01% coûte plus que le paiement de 1M$, donc le protocole peut se permettre de le payer.
Ce que le défi de $100K de TurboLoop récompense
Le défi de TurboLoop est structuré différemment. Ce n'est pas une prime graduée — c'est un défi public à question unique :
"Trouvez un moyen pour l'équipe d'accéder aux fonds des utilisateurs sans passer par la renonciation, OU trouvez une vulnérabilité dans le contrat intelligent déployé qui permet de vider ou de bloquer les fonds. Soumettez une preuve. Réclamez $100,000 USDT."
C'est tout. Un défi. Un paiement. La structure reflète ce que TurboLoop doit réellement défendre :
- Le contrat est renoncé — aucune fonction d'administration ne peut être appelée par quiconque. Donc "trouver un point de centralisation" est la question clé.
- Le LP est verrouillé dans le temps dans un contrat séparé. Donc "trouver un moyen de vider le LP" est contraint.
- La logique du contrat est audité + immuable. Donc "trouver un bug de logique" est la question d'audit-passer-ou-échouer.
Le défi est une déclaration publique de confiance : nous croyons qu'aucun de ces éléments n'est trouvable, et nous mettrons $100K sur la table pour toujours inviter quiconque à prouver le contraire.
Pourquoi la comparaison ne se limite pas aux montants en dollars
L'écart de $1M vs $100K semble déséquilibré. Il ne l'est pas, une fois que vous tenez compte de ce que chacun défend réellement :
Le $1M d'Aave défend un protocole complexe, large, piloté par la gouvernance.
- TVL : ~$10B+
- Codebase : 100+ contrats Solidity, mises à jour fréquentes via la gouvernance
- Surface d'attaque : chaque proposition de gouvernance, chaque déploiement de chaîne, chaque intégration d'oracle
- Défenseurs : équipe interne d'Aave Companies + auditeurs externes + programme de prime
Le $1M est une petite fraction de ce qu'Aave peut perdre à cause d'une seule vulnérabilité critique. Le chiffre est calibré à l'échelle du risque.
Le $100K de TurboLoop défend un protocole renoncé, immuable, simple.
- TVL : plus petit qu'Aave de 2 ordres de grandeur
- Codebase : un seul contrat Solidity, aucune mise à jour possible
- Surface d'attaque : le contrat lui-même + le verrouillage du LP + les résultats de l'audit
- Défenseurs : auditeurs originaux + invitation au défi ouvert
Le $100K est calibré à l'étendue : un contrat simple, renoncé a moins de surface d'attaque, donc une plus petite prime capte la plupart de l'intérêt de la recherche en sécurité. Il n'y a pas de gouvernance à attaquer, pas de pipeline de mise à jour à corrompre, pas d'oracle à manipuler.
Les deux chiffres sont "dimensionnés correctement" pour ce qu'ils défendent. La comparaison en dollars déséquilibrée est trompeuse.
Ce que la différence structurelle dit
La véritable leçon est ce que chaque programme suppose sur la posture de défense du protocole.
Aave suppose que la complexité est permanente. Un protocole de TVL de $1B+ avec gouvernance, oracles, déploiement multi-chaînes, et ajouts de fonctionnalités continus aura toujours de nouveaux bugs. La prime est structurée pour gérer la découverte continue à mesure que le protocole évolue. Des bugs critiques SERONT trouvés périodiquement ; le programme est calibré pour les payer avant qu'ils ne soient exploités.
TurboLoop suppose que la complexité est terminée. Le contrat est renoncé. Plus de fonctionnalités ne sont à venir. Aucune gouvernance ne peut le changer. Si le code audité ne contenait pas de bug critique au déploiement, la surface pour de nouveaux bugs est nulle. La prime est structurée autour d'un défi fixe : prouver qu'une vulnérabilité existe ou prouver qu'un point de centralisation existe. Dans tous les cas, vous gagnez une fois et la réponse change la nature entière du protocole.
Les deux postures sont cohérentes. Elles reflètent des choix différents sur la façon dont un protocole de rendement devrait être opéré.
Ce qui n'a pas été réclamé (et pourquoi)
La prime d'Aave a été payée plusieurs fois depuis son lancement — pas pour la classe critique de 1M$ en titre, mais pour des découvertes de gravité Élevée et Moyenne. Celles-ci ont été discrètement corrigées via des mises à jour de gouvernance. Le programme fonctionne comme prévu ; le protocole est plus sécurisé grâce à cela.
Le défi de TurboLoop n'a été payé zéro fois depuis son lancement. Pas parce que les chercheurs ne cherchent pas — les communautés de sécurité indiennes, russes et ukrainiennes sondent activement les contrats DeFi sans permission — mais parce que la réponse est contrainte par la structure du protocole. Pour gagner le défi, vous devriez soit :
- Trouver un bug de contrat intelligent dans un code audité, immuable qui a été déployé depuis des années (faible probabilité si l'audit était approfondi)
- Trouver un point de centralisation dans un code où
renounceOwnership()a été appelé (impossible — l'appel de fonction est sur la chaîne et vérifiable)
Zéro paiement n'est pas une preuve de l'absence de bugs. C'est une preuve que la surface d'attaque contrainte plus la combinaison audit + renonciation a résisté à l'examen public.
Quel modèle est "meilleur"
Aucun. Ce sont des réponses à des questions différentes.
Le modèle d'Aave est adapté pour : les protocoles qui ont besoin de développement continu de fonctionnalités, de flexibilité de gouvernance, d'expansion multi-chaînes, d'intégration avec l'écosystème DeFi en croissance. La prime gère le coût de la complexité continue.
Le modèle de TurboLoop est adapté pour : les protocoles qui misent sur la stabilité plutôt que sur la flexibilité. Un contrat renoncé, audité, immuable abandonne l'option de résoudre les problèmes mais gagne la propriété de la prévisibilité mathématique. Le défi gère la question de savoir si ce pari était valide.
Si vous voulez un protocole de rendement qui continuera à ajouter des fonctionnalités et à s'adapter aux conditions du marché, la structure d'Aave a du sens. Si vous voulez un protocole de rendement qui se comportera de la même manière dans 10 ans qu'aujourd'hui, la structure de TurboLoop a du sens.
Ce qu'un chercheur en sécurité examine réellement
Pour les chercheurs whitehat décidant où passer du temps :
- Protocoles complexes à TVL élevé (Aave, Compound, Curve) récompensent la spécialisation approfondie. Les primes sont importantes mais les bugs sont rares et difficiles à trouver.
- Protocoles simples et renoncés (TurboLoop, architecture similaire) récompensent la connaissance large. La prime est plus petite mais la surface d'attaque est également plus petite — rapide à auditer, rapide à confirmer propre ou à trouver un problème.
- Nouveaux protocoles non audités sont là où la plupart des bugs existent réellement mais n'ont généralement pas de programmes de prime — les chercheurs exploitent soit (whitehat ou blackhat) soit passent à autre chose.
L'utilisation la plus efficace du temps des chercheurs est souvent la catégorie intermédiaire : des protocoles bien audités mais plus jeunes où un examen attentif pourrait encore trouver quelque chose que l'audit a manqué.
Points clés à retenir
- La prime de $1M d'Aave et le défi de $100K de TurboLoop sont calibrés pour des structures de protocole différentes, pas des engagements de sécurité différents
- Aave : prime graduée pour la complexité continue dans un grand protocole piloté par la gouvernance
- TurboLoop : défi public unique pour un contrat renoncé, immuable, audité
- Aave a payé plusieurs fois (fonctionnant comme prévu) ; TurboLoop n'a payé zéro (fonctionnant également comme prévu étant donné la surface d'attaque contrainte)
- Aucun modèle n'est universellement "meilleur" — ils répondent à différentes questions de conception
- L'écart en dollars est trompeur ; la différence structurelle entre les deux programmes est ce qui révèle les philosophies de risque des protocoles
La plus grande prime n'est pas la
protocole plus sûr. La prime adaptée à la surface d'attaque réelle est.