# Баг-баунти TurboLoop на $100K против программы Aave на $1M: что на самом деле означают эти цифры

SEO-описание: Сравните программы баг-баунти TurboLoop на $100K и Aave на $1M, чтобы понять, что эти цифры раскрывают о мотивации безопасности в крипто.
Aave проводит программу баг-баунти через Immunefi с выплатами до $1,000,000 за критические уязвимости в смарт-контрактах. TurboLoop организовал вызов на сумму $100,000 для тех, кто сможет продемонстрировать централизацию или способ вывести средства с контракта. Оба проекта находятся в одной области — стимулы для белых хакеров — но структура программ настолько различна, что их сравнение дает ценное представление о подходах к безопасности в обоих протоколах.
В этом посте мы разберем, что именно награждается в каждой программе, что размер призового фонда говорит о модели риска протокола, и почему правильное сравнение — не "$1M больше, чем $100K."
За что награждает программа Aave на $1M
Баг-баунти Aave (проводится через Immunefi) построена по градационной системе выплат в зависимости от серьезности уязвимости:
- Критическая: до $1,000,000 — любые уязвимости, позволяющие злоумышленнику вывести или заморозить средства протокола.
- Высокая: до $250,000 — значительный экономический эффект, но не полный вывод средств.
- Средняя: до $25,000 — баги, ухудшающие работу протокола без немедленных финансовых потерь.
- Низкая: до $2,500 — мелкие проблемы, документация или крайние случаи.
Цифра в $1M относится к узкому классу уязвимостей. Большинство заявок получают классификацию Medium или Low. Структура наград отражает масштаб Aave: TVL более $10 млрд означает, что даже уязвимость с 0.01% ущерба стоит больше, чем $1M, и протокол способен это себе позволить.
За что награждает вызов TurboLoop на $100K
Вызов TurboLoop организован иначе. Это не градационная программа — это публичный вызов с одним вопросом:
"Найдите любой способ, при котором команда сможет получить доступ к средствам пользователей без использования ренouncement, ИЛИ найдите уязвимость в развернутом смарт-контракте, которая позволит вывести или заблокировать средства. Предоставьте доказательства. Получите $100,000 USDT."
Вот и все. Один вызов. Один приз. Структура отражает то, что TurboLoop действительно защищает:
- Контракт ренонсирован — ни один админ-функционал не может быть вызван никем. Поэтому вопрос — "найти точку централизации".
- LP заблокирован во вспомогательном контракте. Поэтому "найти способ вывести LP" ограничено.
- Логика контракта аудирована и является неизменяемой. Поэтому "найти логическую ошибку" — вопрос, прошел ли аудит или нет.
Этот вызов — публичное заявление о доверии: мы считаем, что эти уязвимости найти невозможно, и мы готовы навсегда поставить $100K, чтобы кто-то доказал обратное.
Почему сравнение не сводится только к суммам
Разрыв между $1M и $100K кажется неравномерным. На самом деле — нет, если учитывать, что именно защищает каждый из них:
Программа Aave на $1M защищает сложный, крупный протокол с управлением.
- TVL: более $10 млрд
- Кодовая база: свыше 100 контрактов на Solidity, частые обновления через управление
- Уязвимая поверхность: каждое предложение управления, каждое развертывание в цепочке, интеграция оракулов
- Защитники: команда Aave, внешние аудиторы, баг-баунти программа
$1M — это лишь малая часть потенциальных потерь для Aave при критической уязвимости.