# Bug Bounty $100K TurboLoop vs Program $1M Aave: Apa Makna Sebenar Di Sebalik Nombor-Nombor Ini

DESKRIPSI SEO: Bandingkan program bug bounty TurboLoop yang bernilai $100K dan program Aave yang bernilai $1M untuk memahami apa yang nombor-nombor ini dedahkan tentang insentif keselamatan dalam dunia crypto.
KANDUNGAN:
Bug Bounty $100K TurboLoop vs Program $1M Aave: Apa Makna Sebenar Di Sebalik Nombor-Nombor Ini
Aave menjalankan program bug bounty melalui Immunefi yang membayar sehingga $1,000,000 untuk kerentanan kontrak pintar yang kritikal. TurboLoop pula menjalankan cabaran bernilai $100,000 untuk sesiapa yang dapat menunjukkan pusat atau cara untuk mengalirkan dana dari kontrak tersebut. Ruang yang sama — insentif keselamatan untuk penyelidik whitehat — tetapi kedua-dua program ini disusun secara berbeza sehingga membolehkan perbandingan langsung memberi kita sesuatu tentang kedua-dua protokol tersebut.
Pos ini akan membongkar apa sebenarnya yang dihargai oleh setiap program, apa makna saiz hadiah tersebut terhadap model risiko protokol, dan mengapa perbandingan yang tepat bukanlah "$1M lebih besar daripada $100K."
Apa yang dihargai oleh $1M bounty Aave
Bounty Aave (diuruskan melalui Immunefi) mempunyai struktur pembayaran berperingkat berdasarkan tahap kerentanan:
- Kritikal: sehingga $1,000,000 — apa sahaja yang membolehkan penyerang mengalirkan atau membekukan dana protokol.
- Tinggi: sehingga $250,000 — impak ekonomi yang signifikan tetapi tidak sepenuhnya mengalirkan dana.
- Sederhana: sehingga $25,000 — kerentanan yang menjejaskan tingkah laku protokol tanpa kerugian kewangan segera.
- Kecil: sehingga $2,500 — isu kecil, dokumentasi, atau kes pinggir.
Nombor utama $1M ini terpakai kepada kelas kerentanan yang sempit. Kebanyakan penyampaian dilabelkan sebagai Sederhana atau Kecil. Struktur bounty ini mencerminkan skala Aave: TVL lebih dari ~$10B — malah kerentanan kecil 0.01% pun boleh menelan kos lebih dari $1 juta, jadi protokol mampu membayarnya.
Apa yang dihargai oleh cabaran TurboLoop bernilai $100K
Struktur cabaran TurboLoop berbeza. Ia bukan bounty berperingkat — ia adalah cabaran awam satu soalan:
"Cari sebarang cara untuk pasukan mengakses dana pengguna tanpa melalui penyerahan, ATAU cari sebarang kerentanan dalam kontrak pintar yang dipasang yang membolehkan dana dialirkan atau dikunci. Serahkan bukti. Klaim $100,000 USDT."
Itu sahaja. Satu cabaran. Satu pembayaran. Struktur ini mencerminkan apa yang TurboLoop perlu pertahankan:
- Kontrak telah diserahkan — tiada fungsi pentadbiran yang boleh dipanggil oleh sesiapa. Jadi, soalan utama adalah "cari titik pusat kawalan."
- LP dikunci masa dalam kontrak berasingan. Jadi, "cari cara untuk mengalirkan LP" adalah terhad.
- Logik kontrak diaudit + tidak boleh diubah. Jadi, "cari bug logik" adalah soalan sama ada lulus audit atau tidak.
Cabaran ini adalah kenyataan awam keyakinan: kami percaya tiada yang boleh ditemui, dan kami akan letakkan $100K di atas meja selamanya untuk mengundang sesiapa membuktikan kami salah.
Mengapa perbandingan ini bukan sekadar jumlah wang
Jurang $1M berbanding $100K nampak tidak seimbang. Tetapi sebenarnya tidak, apabila anda mengambil kira apa yang masing-masing pertahankan:
$1M Aave mempertahankan protokol yang kompleks, besar, dan dikendalikan secara tadbir urus.
- TVL: ~$10B+
- Kod asas: lebih 100 kontrak Solidity, sering dinaik taraf melalui tadbir urus
- Permukaan serangan: setiap cadangan tadbir urus, setiap pelaksanaan di rangkaian, setiap integrasi oracle
- Pembela: pasukan dalaman Aave + juruaudit luar + program bounty
Jumlah $1M ini hanyalah sebahagian kecil daripada apa yang Aave boleh kehilangan akibat satu kerentanan kritikal — dan ini menunjukkan betapa seriusnya insentif keselamatan mereka.