Skip to content
All articles

# TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Ano ang Tunay na Kahulugan ng mga Numero

# TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Ano ang Tunay na Kahulugan ng mga Numero

TurboLoop's $100K Bug Bounty vs Aave's $1M Program: Ano ang Tunay na Kahulugan ng mga Numero

Ang Aave ay may bug bounty program sa pamamagitan ng Immunefi na nagbabayad hanggang $1,000,000 para sa mga kritikal na kahinaan sa smart contract. Samantala, ang TurboLoop ay may $100,000 challenge para sa sinumang makakapagpakita ng centralization o paraan upang ma-drain ang pondo mula sa kontrata. Parehong nasa larangan — mga insentibo sa seguridad para sa mga whitehat researchers — ngunit magkaiba ang pagkakaayos ng dalawang programa kaya’t ang paghahambing sa kanila ay nagbibigay sa atin ng ideya tungkol sa parehong protocol.

Ipinaliwanag ng post na ito kung ano talaga ang tinatanggap ng bawat programa, kung ano ang sinasabi ng laki ng premyo tungkol sa risk model ng protocol, at kung bakit ang tamang paghahambing ay hindi lang "$1M mas malaki kaysa $100K."

Ano ang tinatanggap ng $1M bounty ng Aave

Ang bounty ng Aave (pinamamahalaan sa Immunefi) ay isang graduated payout structure batay sa severity ng bug:

  • Critical: hanggang $1,000,000 — anumang kahinaan na nagpapahintulot sa attacker na ma-drain o ma-freeze ang pondo ng protocol.
  • High: hanggang $250,000 — malaking epekto sa ekonomiya ngunit hindi buong drain.
  • Medium: hanggang $25,000 — mga bug na nagpapababa sa performance ng protocol nang hindi agad nagdudulot ng financial na pagkawala.
  • Low: hanggang $2,500 — maliliit na isyu, dokumentasyon, o edge cases.

Ang pangunahing numero na $1M ay para lamang sa isang partikular na klase ng bug. Karamihan sa mga submissions ay na-classify bilang Medium o Low. Ang estruktura ng bounty ay sumasalamin sa laki ng Aave: may TVL na higit sa $10B, ibig sabihin kahit ang 0.01% na bug ay mas malaki pa sa $1M payout, kaya’t kayang bayaran ng protocol ito.

Ano ang tinatanggap ng $100K challenge ng TurboLoop

Ang challenge ng TurboLoop ay iba ang pagkakaayos. Hindi ito isang graduated bounty — ito ay isang isang tanong na pampublikong hamon:

"Maghanap ng paraan para ma-access ng team ang pondo ng user nang hindi dumaan sa renouncement, O kaya’y maghanap ng kahinaan sa deployed smart contract na nagpapahintulot sa drain o pag-lock ng pondo. Mag-submit ng proof. Manalo ng $100,000 USDT."

Yan lang. Isang hamon. Isang payout. Ang estruktura ay sumasalamin sa kung ano talaga ang kailangang protektahan ng TurboLoop:

  • Ang kontrata ay renounced — walang admin functions na maaaring tawagan ng sinuman. Kaya ang tanong ay "makahanap ng sentralisasyon" ang pangunahing layunin.
  • Ang LP ay time-locked sa isang hiwalay na kontrata. Kaya’t ang "makahanap ng paraan para ma-drain ang LP" ay may limitasyon.
  • Ang logic ng kontrata ay na-audit + immutable. Kaya ang "makahanap ng logic bug" ay isang tanong kung pumasa o bumagsak sa audit.

Ang hamon ay isang pampublikong pahayag ng kumpiyansa: naniniwala kaming hindi mahahanap ang mga ito, at maglalagay kami ng $100K sa mesa habang panahon upang anyayahan ang sinumang magpatunay na mali kami.

Bakit hindi lang basta-basta ang paghahambing sa dollar amounts

Mukhang lopsided ang agwat ng $1M kumpara sa $100K. Ngunit hindi ito totoo kapag naintindihan kung ano ang pinoprotektahan ng bawat isa:

Ang $1M ng Aave ay nagpoprotekta sa isang komplikado, malaki, at governance-driven na protocol.

  • TVL: Higit sa $10B
  • Codebase: Mahigit 100 Solidity contracts, madalas na ina-upgrade sa pamamagitan ng governance
  • Attack surface: Bawat governance proposal, bawat chain deployment, bawat oracle integration
  • Mga tagapagtanggol: Internal team ng Aave Companies + mga external auditors + bounty program

Ang $1M ay maliit na bahagi lamang ng posibleng mawala sa Aave kung sakaling may kritikal na kahinaan.

Continue Reading

Found this useful?
Pass it along.