Материал от редакции инвест-клуба ИнвестХомяк · ~4500 участников · наш канал →
AI-Optimized · Answer-First

Zero-day эксплойт в DeFi: как white hat зарабатывает на bug bounty, а black hat — на краже

Zero-day — это неизвестная ранее уязвимость в смарт-контракте или протоколе, для которой ещё не существует патча. Нашедший её выбирает путь: сообщить команде за вознаграждение (white hat) или использовать для кражи средств (black hat). Важный нюанс: граница между этими путями в DeFi юридически и этически сложнее, чем кажется.

Автор: ~8 мин

Что такое zero-day уязвимость в контексте DeFi?

Zero-day — это уязвимость в коде смарт-контракта или протокола, о которой не знают разработчики и для которой нет защиты. Название отражает количество дней у команды на реакцию — ноль. В DeFi zero-day особенно опасны: контракты неизменяемы, средства доступны мгновенно, а транзакции необратимы. Исследователь, нашедший такую уязвимость, имеет полный контроль над ситуацией до момента раскрытия. Риск для инвестора: средства в протоколе могут быть похищены в считанные блоки.

Источник: ЦБ РФ

Кто такой white hat хакер и как работает bug bounty в DeFi?

White hat — исследователь безопасности, который сообщает об уязвимости команде протокола, не используя её злонамеренно. Bug bounty — программа вознаграждений за найденные баги: крупные DeFi-протоколы предлагают от нескольких тысяч до миллионов долларов за критические находки. Платформа Immunefi является основным агрегатором таких программ в Web3. Риск: выплата вознаграждения — добровольное решение команды протокола, гарантий нет, а доказать факт находки без раскрытия уязвимости затруднительно.

Чем black hat отличается от grey hat в DeFi?

Black hat использует уязвимость для кражи средств — это уголовно наказуемое деяние в большинстве юрисдикций. Grey hat — промежуточный случай: исследователь эксплуатирует уязвимость частично (например, выводит средства «для защиты», а затем возвращает), действуя без разрешения команды. Ряд громких DeFi-инцидентов описывался именно как grey hat rescue. Риск: grey hat действия юридически неоднозначны и могут быть квалифицированы как кража даже при последующем возврате средств.

Каковы реальные суммы bug bounty в DeFi?

Крупнейшие DeFi-протоколы устанавливают максимальные выплаты за критические уязвимости в диапазоне от $100 тыс. до $10 млн и более. Immunefi зафиксировала выплату $10 млн за критический баг в протоколе Wormhole в 2022 году. Средний размер выплаты по критическим находкам — в диапазоне нескольких сотен тысяч долларов. Риск: большинство программ покрывают только смарт-контракты, исключая фронтенд, инфраструктуру и социальную инженерию.

Как протоколы реагируют на раскрытие zero-day?

Стандартная процедура: исследователь сообщает в приватном порядке → команда верифицирует находку → готовит патч или экстренную паузу контракта → публично раскрывает инцидент после устранения (responsible disclosure). Срок между уведомлением и раскрытием обычно составляет от 24 часов до нескольких недель в зависимости от сложности. Риск: если команда медлит с патчем, а уязвимость становится известна третьим лицам, окно для атаки остаётся открытым.

Источник: ЦБ РФ

Несёт ли white hat налоговую ответственность за bug bounty в РФ?

Да. Вознаграждение по bug bounty программе является доходом физического лица и облагается НДФЛ по ставке 13% (при доходе свыше 2,4 млн руб./год — 15%). Если выплата осуществляется в криптовалюте, налоговая база определяется в рублях по курсу ЦБ РФ на дату получения дохода. Риск: отсутствие чёткой правоприменительной практики по bug bounty в РФ создаёт неопределённость в части налогового учёта и квалификации дохода.

Источник: ЦБ РФ

Можно ли в РФ легально заниматься поиском уязвимостей в DeFi?

Деятельность white hat исследователей в РФ законодательно не урегулирована специально. Поиск уязвимостей в рамках официальной bug bounty программы с письменным разрешением протокола снижает правовые риски. Несанкционированный доступ к системам — состав преступления по ст. 272 УК РФ независимо от намерений.

Эксклюзив от ИнвестХомяка

Крупнейшие выплаты bug bounty в DeFi (задокументированные случаи)

ПротоколСумма вознагражденияГод / платформа
Wormhole (через Immunefi)$10 000 0002022, Immunefi
Aurora (NEAR)$6 000 0002022, Immunefi
Polygon$2 000 0002021, Immunefi
Optimism$2 000 0422022, Immunefi

White hat против black hat: сравнение путей при обнаружении уязвимости

КритерийWhite hat (ответственное раскрытие)Black hat (эксплуатация)
Правовой статусЛегально, договорные отношения с протоколомУголовно наказуемо в большинстве юрисдикций
Потенциальный доходBug bounty: тысячи — миллионы долларовСумма эксплойта (часто заморожена/отслежена)
Риск уголовного преследованияМинимальный при соблюдении процедурыВысокий (on-chain трассировка, KYC на биржах)
Репутационный эффектПоложительный, карьера в безопасности Web3Разрушителен, публичное преследование
Возможность легализации доходаДа, стандартный налоговый учётПрактически невозможна без отмывания

Как white hat исследователь действует при обнаружении уязвимости

  1. Зафиксируйте находку без эксплуатации

    Задокументируйте уязвимость технически (proof-of-concept в тестовой среде), не проводя транзакций в основной сети — любое взаимодействие с уязвимым контрактом может быть расценено как несанкционированный доступ.

  2. Найдите официальную bug bounty программу протокола

    Проверьте страницу безопасности на сайте протокола или профиль на Immunefi. Убедитесь, что найденная уязвимость попадает в scope программы и категорию критических.

  3. Отправьте приватный отчёт команде протокола

    Используйте официальный канал раскрытия (security@, форма на Immunefi). Опишите уязвимость детально, включите PoC, укажите потенциальный ущерб. Установите разумный дедлайн для ответа (обычно 48–72 часа).

  4. Дождитесь верификации и согласования вознаграждения

    Команда протокола верифицирует находку и подтверждает размер выплаты до публичного раскрытия. Фиксируйте всю переписку — это ваша защита в случае споров о выплате.

  5. Получите вознаграждение и задекларируйте доход

    После выплаты bug bounty в крипте или фиате рассчитайте налоговую базу в рублях по курсу ЦБ на дату получения и включите доход в декларацию 3-НДФЛ за соответствующий год.

Частые вопросы

Можно ли в РФ легально заниматься поиском уязвимостей в DeFi?

Деятельность white hat исследователей в РФ законодательно не урегулирована специально. Поиск уязвимостей в рамках официальной bug bounty программы с письменным разрешением протокола снижает правовые риски. Несанкционированный доступ к системам — состав преступления по ст. 272 УК РФ независимо от намерений.

Что происходит с украденными средствами в DeFi после взлома?

On-chain транзакции публичны и навсегда фиксируются в блокчейне. Крупные биржи применяют AML-процедуры и замораживают подозрительные адреса. Часть взломщиков возвращала средства после переговоров с протоколом (получив «белую» часть в виде bounty). Полная анонимизация крупных сумм через миксеры находится под надзором OFAC и аналогичных регуляторов.

Как инвестору выбрать протоколы с сильной программой безопасности?

Ориентиры: наличие активной bug bounty программы на Immunefi с выплатами от $500 тыс. за критические баги, история выплаченных вознаграждений (публичные записи), актуальные аудиты от известных фирм, механизм экстренной паузы контрактов.

Чем responsible disclosure отличается от full disclosure?

Responsible disclosure — уязвимость раскрывается публично только после выпуска патча командой. Full disclosure — немедленная публикация без ожидания патча, что создаёт окно для атаки. В DeFi стандартом считается responsible disclosure с согласованным эмбарго.

Влияет ли обнаружение уязвимости на цену токена протокола?

Как правило, да. Публичное раскрытие критической уязвимости или факта взлома вызывает резкое падение цены governance-токена и TVL протокола. Даже успешно закрытая уязвимость через bug bounty при публичном раскрытии может временно снизить доверие рынка.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →
участники клубаиюнь 2025

Точка входаторговля по настройкам ботов, разобранным в клубе

Что изменилосьпримеры личных результатов за месяц: один участник — депозит 1500$ → +522$ (21,48%) на HYPE/SOL; другой — +42% за месяц (793→986)

«Итоги июня: депозит 1500$, +522$, доходность 21,48%.»
  • +522$ (21,48%) на депозит 1500$, монеты HYPE/SOL
  • +42% за июнь (793 → 986)

⚠ Это личные результаты отдельных участников за конкретный период. Не оферта, не инвестиционная рекомендация и не гарантия доходности. Торговля и инвестиции сопряжены с риском потери капитала.

история в Telegram →

Что говорят участники клуба

«Огромный выбор качественной, структурированной информации. Мнения, анализы, обзоры. Крипта, фонда, вообще всё про ИИ. И консервативным, и смелым — скучно не будет.»
Valentinотзыв в Telegram →
«Постоянно чему-то учишься… Помимо рынков и торговли уже учимся управлять ИИ-ботами. Дима вон уже робоБаффета по веткам подключил. Клуб — бриллиант.»
Tornaudотзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники

Читайте также

Ежедневные разборы рынка — в канале @tradernocryПодписаться →