Баг-баунти в Web3-секторе: 5 платформ для заработка
Так называемые bug bounty-программы (охота за неисправностями — с англ.) существуют и в Web3-сфере. Платформы предлагают участникам применить свои навыки для поиска уязвимостей в проектах, а взамен заработать. Сумма вознаграждения колеблется в зависимости от степени риска уязвимости, ну и, конечно же, бюджетов компании. Выплаты тоже разнообразны — как в крипте, так и в фиате.
Охота на Web3-уязвимости: какие понадобятся навыки?
Поиск уязвимостей в рамках баунти-программ также принято называть этическим или белым хакерством. Охота подразумевает обнаружение уязвимых мест кода, алгоритма или структуры веб-системы. Это нужно ради повышения уровня безопасности и предотвращения потенциальных атак, и проекты готовы платить этическим взломщикам за подобные данные. Проще развернуть баунти-программу, чем дождаться, пока хакеры темной стороны воспользуются инженерными недостатками в собственных целях. Но охота на баги — это не только про заработок. Помимо денежного вознаграждения, блокчейн-разработчики получают отличную возможность испытать себя и усовершенствовать собственные навыки.
Охотником не получится стать без опыта — нужно владеть элементарными техниками блокчейн-программирования, ориентироваться в концепции смарт-контрактов и обладать внимательностью к деталям. По данным DeFi Llama, среди наиболее востребованных языков программирования в Web3-секторе 2024 года — Solidity, Rust и Vyper. Если в вашем арсенале есть минимальный комплект — можно начинать. Присоединение к баунти-программам преимущественно бесплатное. Аспекты приложений, с которыми вы будете работать, тоже зависят исключительно от вашего багажа знаний. Отдельные уязвимости обнаружить просто, но для поиска других придется приложить немало усилий. График исключительно гибкий: можете сидеть за кодом хоть весь рабочий день или же подобрать часы, которые впишутся в ваше расписание.
Но прежде чем погружаться в сферу этичного хакерства, знайте — не каждая обнаруженная уязвимость приносит вознаграждение взамен. Порой может случиться, что время на поиск и создание отчета уже потрачено, но лавры охотника уже успел присвоить кто-то другой. Чтобы осесть в этой сфере, нужно иметь аналитические способности, развить интерес ко взлому систем, усидчивость и инициативность. Если это вам по плечу, и азарт присутствует — представляем вашему вниманию топ-5 платформ, что вознаградят белых хакеров за старания.
Платформы для охотников за уязвимостями: Web3-список
Эти площадки служат связующим звеном между проектами, разработчиками и аудиторами, выполняя инфраструктурную функцию. Кроме того, компании запускают и собственные программы для этических хакеров. Чтобы повысить свои шансы найти подходящий проект, можно искать как индивидуальные предложения, так и баг-баунти платформы. При обнаружении уязвимости нужно следовать правилам, которые предоставляет программа или же платформа и сообщить о ее природе надлежащим образом. Ознакомьтесь со списком из пяти платформ, что предлагают белым хакерам вознаграждение за их активность.
1. Immunefi
Домашняя страница Immunefi. Источник: immunefi.com
Компания Immunefi была основана в 2020 году и базируется в Сингапуре. На официальном сайте платформы указано, что она уже выплатила более $95 млн в качестве баунти, а в рамках текущих баунти-программ охотникам за уязвимостями доступно более $162 млн в качестве вознаграждений. В настоящее время на платформе размещают свои предложения такие компании, как LayerZero, Maker, Scroll, Optimism и другие. В ноябре 2023 года Immunefi запустила программу White Hat Awards, предусматривающую систему наград и поощрений для специалистов по безопасности на основании их прибыли от обнаружения дефектов.
2. HackenProof
Баунти-программы на HackenProof. Источник: hackenproof.com
Платформа является частью экосистемы Hacken — компании, которая предоставляет разнообразные услуги в области кибербезопасности. Штаб-квартиры Hacken расположены в Киеве (Украина) и Таллине (Эстония). HackenProof начала свою работу в 2017 году. В настоящее время на платформе представлены действующие баунти-программы для Aptos, River Protocol, MetaMask, Polygon, NEAR и других. В общей сложности платформа собрала более 15 000 отчетов об уязвимостях и выплатила этическим хакерам свыше $9 млн.
3. Code4rena
Статистика Code4rena. Источник: code4rena.com
По своей структуре концепция баг-баунти программ на Code4rena отличается от других. Чтобы обеспечить оперативную диагностику систем безопасности, Code4rena распределяет участников по различным должностям. Аудиторы, которых зовут Wardens, обнаруживают непосредственные уязвимости в проекта и зарабатывают на этом вознаграждение. Спонсоры формируют объемы финансирования для выплаты компенсаций аудиторам, так называемые скауты определяют границы ревизии, наблюдатели обеспечивают предоставление отчетности, а судьи оценивают предоставленные материалы. Организацией командного взаимодействия занимаются капитаны. Проект Code4rena основали в 2021 году. Сейчас на платформе зарегистрировано более 8300 аудиторов, а общее число уникальных уязвимостей, обнаруженных участниками, превышает 24 626.
4. Remedy
Решения для сферы кибербезопасности от Remedy. Источник: r.xyz
В настоящее время Remedy проходит стадию бета-тестирования и служит платформой кибербезопасности, которую основала аудиторская блокчейн-компания Hexens в 2023 году. По сути это своеобразная доска объявлений с заказами на обнаружение уязвимостей. Также здесь присутствует движок для парсинга кода — так называемый Glider, который позволяет проводить анализ уже размещенных смарт-контрактов, и хранилище данных на основе ZK-proof технологии, что призвано обеспечить юзерам доступ к материалам для проверки уникальности обнаруженных уязвимостей и защитить права этических хакеров, которые их подали. На платформе доступны баунти-программы от Scroll, Layerswap, PancakeSwap, Metis и других проектов.
5. Sherlock
Рейтинг аудиторов платформы Sherlock. Источник: sherlock.xyz
Sherlock предоставляет этическим хакерам среду для состязаний в поиске уязвимостей. Платформа построена на блокчейне Ethereum и служит для обеспечения взаимодействия между экспертами в области кибербезопасности и протоколами-заказчиками. Обнаружив ошибку, аудитор получает вознаграждение в виде стейблкоина USDC. Таблица лидеров Sherlock распределяет ревизоров по степени их эффективности. От момента своего основания в 2021 году платформа уже провела 175 таких импровизированных турниров.
Подводя итоги
Web3-платформы с контрактами на поиск уязвимостей позволяют энтузиастам инвестировать свое время и навыки в укрепление безопасности индустрии и получить при этом вознаграждение. Каждая из вышеперечисленных платформ позволяет подобрать для себя подходящий проект и присоединиться к работе над его структурой. Помимо баг-баунти платформ, ориентированных на Web3, программы поощрения можно найти и на других площадках, таких как HackerOne и Intigriti.
По сути это инструмент для поиска подработки, который можно превратить в свою основную деятельность. И подходит он как новичкам в секторе, так и его экспертам.
Анаит Аветисян
Автор
Web3-райтер и по совместительству крипто-HODLер. Отслеживает тенденции рынка, а также интересуется новейшими технологиями.
