Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Баг-баунти программы: кому и как сообщить об уязвимости в криптокошельке

Баг-баунти — официальная программа вознаграждений, по которой компания платит исследователям безопасности за обнаруженные уязвимости до того, как ими воспользуются злоумышленники. Ledger, MetaMask и OpenSea ведут такие программы с выплатами от нескольких тысяч до сотен тысяч долларов. Caveat: публичное раскрытие уязвимости до её закрытия нарушает условия большинства программ и может повлечь юридические последствия.

Автор: ~8 мин

Что такое ответственное раскрытие и почему нельзя сразу публиковать уязвимость?

Responsible disclosure — практика, при которой исследователь сначала сообщает об уязвимости вендору в частном порядке и даёт время на исправление (обычно 90 дней), и только после закрытия публикует детали. Публичное раскрытие до патча ставит под угрозу средства реальных пользователей. Для крипто-протоколов это особенно критично: смарт-контракт нельзя «тихо» обновить на продакшене без on-chain транзакции. Нюанс: нарушение условий программы лишает вознаграждения и может привлечь внимание юристов компании.

Источник: Ledger: мошеннические схемы против владельцев крипто

Какие суммы платит Ledger за найденные уязвимости?

Ledger ведёт программу через платформу HackerOne. Вознаграждения варьируются в зависимости от критичности: за низкий уровень — символические суммы, за критические уязвимости прошивки или Ledger Live — до $10 000 и выше. Точные цифры зависят от оценки CVSS-балла и решения команды безопасности. По данным поддержки Ledger, компания также публикует предупреждения о мошеннических схемах, чтобы пользователи не путали фишинг с реальными программами. Нюанс: выплаты производятся в фиатной валюте или крипто по договорённости.

Как устроена баг-баунти программа MetaMask?

MetaMask (Consensys) принимает отчёты об уязвимостях через платформу HackerOne. Программа охватывает расширение браузера, мобильное приложение и смарт-контракты экосистемы. Приоритет — уязвимости, позволяющие похитить средства пользователя или получить доступ к приватным ключам. Вознаграждения за критические баги достигают десятков тысяч долларов. Нюанс: уязвимости в сторонних DeFi-протоколах, интегрированных с MetaMask, как правило, не входят в scope программы — их нужно репортить напрямую протоколу.

Есть ли баг-баунти у OpenSea и как туда обратиться?

OpenSea принимает отчёты об уязвимостях через платформу HackerOne и по адресу security@opensea.io. В scope входят уязвимости на сайте, в API и смарт-контрактах маркетплейса. Критические уязвимости, позволяющие похитить NFT или средства пользователей, получают максимальные вознаграждения. Перед отправкой репорта изучите Hall of Fame OpenSea на HackerOne — там видно, какие типы уязвимостей уже закрыты. Нюанс: ошибки в NFT-контрактах сторонних коллекций не входят в ответственность OpenSea.

Как отличить легитимную баг-баунти программу от мошеннической?

Все крупные программы размещаются на верифицированных платформах: HackerOne, Immunefi (специализируется на Web3), Bugcrowd. Ссылка на программу публикуется на официальном сайте компании. Мошеннические схемы просят прислать «PoC-эксплойт» напрямую, обещают выплату в обход платформы или требуют сначала «верифицировать» кошелёк. По данным Habr/RUVDS, социальная инженерия — основной вектор атак на исследователей безопасности. Риск: передача PoC мошеннику фактически обучает его атаке.

Источник: Ledger: мошеннические схемы против владельцев крипто

Нужно ли платить налог с вознаграждения баг-баунти в РФ?

Вознаграждение по баг-баунти программе — доход физического лица, облагаемый НДФЛ по ставке 13–15% в зависимости от суммы. Если выплата в крипте, налог рассчитывается от рыночной стоимости на дату получения. Иностранная компания-плательщик (HackerOne, Immunefi) налог за вас не удержит — декларировать придётся самостоятельно через форму 3-НДФЛ. Нюанс: практика налогового учёта крипто-выплат в РФ продолжает формироваться, уточняйте у налогового консультанта.

Источник: Habr / RUVDS: безопасность и уязвимости в Web3

Можно ли анонимно сообщить об уязвимости?

Технически да — HackerOne допускает анонимные репорты. Но тогда вознаграждение получить невозможно: платформа требует верифицированный аккаунт для выплат. Анонимный репорт имеет смысл, если вы не хотите раскрывать личность, но готовы отказаться от вознаграждения.

Эксклюзив от ИнвестХомяка

Баг-баунти программы ключевых крипто-платформ: ориентиры вознаграждений

ПлатформаПлощадка программыМакс. вознаграждение (ориентир)
LedgerHackerOneДо $10 000+ за критические уязвимости прошивки
MetaMask (Consensys)HackerOneДесятки тысяч $ за критические баги кошелька
OpenSeaHackerOne / security@opensea.ioЗависит от критичности, данные публичны на HackerOne
DeFi-протоколы (общее)ImmunefiДо $1 000 000+ у крупных протоколов (Aave, Uniswap)

Куда репортить уязвимость: HackerOne vs Immunefi

КритерийHackerOneImmunefi
СпециализацияШирокий спектр (Web2 + Web3)Исключительно Web3 / DeFi
Верификация выплатПлатформа выступает посредникомСмарт-контракт эскроу для Web3
Типичные участникиLedger, MetaMask, OpenSea, CEXAave, Uniswap, Compound, L2-протоколы
Прозрачность программПубличные hall of fameПубличные leaderboards и суммы выплат
Порог входаРегистрация + верификация аккаунтаРегистрация + крипто-кошелёк для выплат

Как правильно сообщить об уязвимости: пошаговый маршрут

  1. Найдите официальную программу компании

    Перейдите на официальный сайт (ledger.com, metamask.io, opensea.io) и найдите раздел Security или Bug Bounty. Ссылка всегда ведёт на HackerOne или Immunefi — никаких сторонних форм и личных email разработчиков.

  2. Изучите scope и правила программы

    Прочитайте, какие компоненты входят в программу, а какие исключены. Репорт вне scope не получит вознаграждения и может быть закрыт без рассмотрения.

  3. Подготовьте детальный отчёт

    Опишите уязвимость: тип (XSS, reentrancy, logic bug и т.д.), шаги воспроизведения, окружение, потенциальный ущерб. Прикрепите PoC (proof of concept) — без него критичность сложно оценить, и вознаграждение будет ниже.

  4. Отправьте репорт через платформу и дождитесь триажа

    После отправки команда безопасности подтверждает получение в течение 1–5 рабочих дней. Не публикуйте информацию об уязвимости до получения подтверждения о закрытии — это нарушение responsible disclosure.

  5. Согласуйте публичное раскрытие после патча

    После исправления уязвимости вы можете договориться с компанией о публикации CVE или write-up. Это строит репутацию исследователя и не нарушает условий программы.

Частые вопросы

Можно ли анонимно сообщить об уязвимости?

Технически да — HackerOne допускает анонимные репорты. Но тогда вознаграждение получить невозможно: платформа требует верифицированный аккаунт для выплат. Анонимный репорт имеет смысл, если вы не хотите раскрывать личность, но готовы отказаться от вознаграждения.

Что делать, если нашёл уязвимость, а у компании нет баг-баунти программы?

Свяжитесь напрямую через security@ или через форму на сайте. Если компания не реагирует в разумный срок (90 дней — общепринятый стандарт), можно обратиться к CERT-координаторам или опубликовать информацию с предупреждением. Фиксируйте все попытки связи с датами и временем.

Законно ли тестировать уязвимости в крипто-протоколах в РФ без разрешения?

Несанкционированное тестирование (пентест без письменного разрешения) может квалифицироваться по статьям УК РФ о неправомерном доступе к компьютерной информации. Участие в официальной баг-баунти программе — согласие компании на тестирование в рамках scope. Выход за scope даже в рамках программы юридически рискован.

Как Immunefi отличается от HackerOne для Web3-уязвимостей?

Immunefi специализируется исключительно на DeFi и Web3: смарт-контракты, протоколы, блокчейн-инфраструктура. Выплаты проходят через смарт-контрактный эскроу, что снижает риск неплатежа. Крупнейшие выплаты в индустрии — через Immunefi (например, $10 млн Wormhole в 2022 году).

Нужны ли специальные навыки для участия в баг-баунти?

Базовый уровень — знание Solidity или понимание архитектуры кошельков и браузерных расширений. Для участия в программах Ledger/MetaMask полезно знание C/C++ (прошивка), JavaScript и принципов работы HD-кошельков. Начать можно с изучения уже закрытых CVE в публичных hall of fame — это лучший учебник по реальным уязвимостям.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники