Bug bounty программы в крипто: когда разработчик платит за найденный баг и что это значит для инвестора

Исследователь обнаруживает уязвимость и подаёт приватный отчёт через платформу (Immunefi, HackerOne) с описанием, proof-of-concept и оценкой критичности. Команда протокола верифицирует находку — обычно 24–72 часа. При подтверждении согласовывается вознаграждение по установленной шкале. Исправление деплоится в сеть, после чего выплачивается награда. Публичное раскрытие происходит после патча. Риск: команда может отклонить репорт как «out of scope» или занизить критичность, чтобы снизить выплату — спорные случаи разрешаются через платформу-арбитра.

Ведущие DeFi-протоколы устанавливают максимальные выплаты за критические уязвимости в диапазоне $1–10 млн через Immunefi. Крупнейшие выплаты: Wormhole выплатил $10 млн за критическую уязвимость в 2022 году; Polygon — $2 млн в 2021 году. Средний диапазон для High-уязвимостей в активных протоколах — $50 000–500 000. Риск: размер максимальной выплаты задаётся протоколом произвольно и не всегда коррелирует с реальным TVL под защитой — проверяйте фактическую историю выплат, не только задекларированный максимум.

Immunefi — специализированная платформа исключительно для Web3 и крипто-проектов: поддерживает смарт-контракт репорты, имеет экспертизу в Solidity и EVM-уязвимостях, выплаты в крипто, публичный леджер выплат. HackerOne — универсальная платформа для любого ПО, включая традиционные веб-сервисы и мобильные приложения; крипто-проекты используют её преимущественно для инфраструктурных уязвимостей (сайт, API, кастодиальные сервисы). Для инвестора в DeFi Immunefi-программа более релевантна как индикатор защиты смарт-контрактов. Риск: платформа не гарантирует качество самой программы — важны условия scope и история выплат.

Scope — перечень активов, уязвимости в которых принимаются к рассмотрению: конкретные адреса смарт-контрактов, версии кода, инфраструктурные компоненты. Out-of-scope находки не вознаграждаются. Узкий scope (например, только один контракт из десяти) означает, что большая часть кодовой базы не охвачена стимулами для поиска уязвимостей. Риск: протокол может иметь формальную bug bounty программу с широким маркетингом, но ограниченным scope — реальная защита существенно меньше декларируемой. Всегда проверяйте полный список адресов в scope на странице программы.

Отсутствие bug bounty — не автоматический красный флаг, но пропущенный важный слой защиты. Новые протоколы с небольшим TVL часто не имеют формальной программы из-за стоимости администрирования. Для зрелых протоколов с TVL от $10 млн отсутствие bug bounty вызывает вопросы. Наличие программы без реальных выплат (нет публичной истории) ценнее формально, чем содержательно. Риск: оценивать безопасность по единственному критерию некорректно — bug bounty дополняет аудит, но не заменяет его.

Да. Выплата по bug bounty является доходом физического лица и облагается НДФЛ: 13% при доходе до 2,4 млн руб. в год, 15% с суммы превышения (прогрессивная шкала с 2025 г.). Если выплата произведена в криптовалюте — доход определяется по рыночному курсу на дату получения в рублях. Декларация 3-НДФЛ подаётся до 30 апреля следующего года. Риск: иностранный источник выплаты не освобождает резидента РФ от обязанности декларировать доход — ответственность за корректное декларирование лежит на получателе.

Поиск уязвимостей в системах без разрешения владельца может квалифицироваться по ст. 272 УК РФ (неправомерный доступ к компьютерной информации). Bug bounty программа является явным разрешением владельца на тестирование в рамках scope — это легальная деятельность. Выход за рамки scope или несанкционированный эксплойт уязвимости вместо ответственного раскрытия — уголовный риск.