# Bug Bounty de $100K da TurboLoop vs Programa de $1M da Aave: O que os Números Realmente Significam

DESCRIÇÃO SEO: Compare os programas de bug bounty de $100K da TurboLoop e $1M da Aave para entender o que esses números revelam sobre incentivos de segurança no mundo cripto.
CONTEÚDO:
Bug Bounty de $100K da TurboLoop vs Programa de $1M da Aave: O que os Números Realmente Significam
Aave realiza um programa de bug bounty através do Immunefi, pagando até $1.000.000 por vulnerabilidades críticas em smart contracts. A TurboLoop oferece um desafio de $100.000 para quem conseguir demonstrar centralização ou uma forma de drenar fundos do contrato. É o mesmo espaço — incentivos de segurança para pesquisadores whitehat — mas os dois programas são estruturados de forma diferente o suficiente para que uma comparação direta revele algo sobre ambos os protocolos.
Este post explica o que cada programa realmente recompensa, o que o tamanho do prêmio indica sobre o modelo de risco do protocolo e por que a comparação correta não é "$1M é maior que $100K."
O que o bounty de $1M da Aave recompensa
O bounty da Aave (administrado via Immunefi) possui uma estrutura de pagamento graduada baseada na gravidade da vulnerabilidade:
- Crítica: até $1.000.000 — qualquer vulnerabilidade que permita a um atacante drenar ou congelar fundos do protocolo.
- Alta: até $250.000 — impacto econômico significativo, mas sem drenagem completa.
- Média: até $25.000 — bugs que degradam o funcionamento do protocolo sem perda financeira imediata.
- Baixa: até $2.500 — problemas menores, documentação ou casos de borda.
O valor de $1M se aplica a uma classe restrita de bugs. A maioria das submissões é classificada como Média ou Baixa. A estrutura do bounty reflete a escala da Aave: TVL (~$10B+) significa que até um bug de 0,01% pode custar mais de $1M, então o protocolo pode pagar por isso.
O que o desafio de $100K da TurboLoop recompensa
O desafio da TurboLoop é estruturado de forma diferente. Não há uma recompensa graduada — é um desafio público de uma única questão:
"Encontre uma maneira para a equipe acessar fundos dos usuários sem passar pela renúncia, OU encontre qualquer vulnerabilidade no smart contract implantado que permita drenar ou bloquear fundos. Submeta uma prova. Reivindique $100.000 USDT."
É isso. Um único desafio. Uma única recompensa. A estrutura reflete o que a TurboLoop realmente precisa defender:
- O contrato está renunciado — nenhuma função de administração pode ser chamada por ninguém. Então, "encontrar um ponto de centralização" é a questão principal.
- O LP está bloqueado por tempo em um contrato separado. Então, "encontrar uma forma de drenar o LP" é uma limitação.
- A lógica do contrato é auditada + imutável. Então, "encontrar um bug de lógica" é uma questão de passar ou falhar na auditoria.
O desafio é uma declaração pública de confiança: acreditamos que nenhum desses pontos é facilmente encontrável, e estamos dispostos a colocar $100K na mesa para convidar qualquer um a nos provar o contrário.
Por que a comparação não é apenas sobre valores em dólares
A diferença de $1M versus $100K parece desproporcional. Na verdade, não é, uma vez que você considera o que cada um está defendendo:
O bounty de $1M da Aave protege um protocolo complexo, grande e governado por decisões descentralizadas.
- TVL: ~$10B+
- Código: mais de 100 contratos Solidity, atualizações frequentes via governança
- Superfície de ataque: cada proposta de governança, cada implantação na cadeia, cada integração com oráculos
- Defensores: equipe interna da Aave + auditores externos + programa de bounty
O valor de $1M representa uma pequena fração do que a Aave poderia perder por uma vulnerabilidade crítica.