Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Zero-day эксплойт в DeFi: как white hat зарабатывает на bug bounty, а black hat — на краже

Zero-day — это неизвестная ранее уязвимость в смарт-контракте или протоколе, для которой ещё не существует патча. Нашедший её выбирает путь: сообщить команде за вознаграждение (white hat) или использовать для кражи средств (black hat). Важный нюанс: граница между этими путями в DeFi юридически и этически сложнее, чем кажется.

Автор: ~8 мин

Что такое zero-day уязвимость в контексте DeFi?

Zero-day — это уязвимость в коде смарт-контракта или протокола, о которой не знают разработчики и для которой нет защиты. Название отражает количество дней у команды на реакцию — ноль. В DeFi zero-day особенно опасны: контракты неизменяемы, средства доступны мгновенно, а транзакции необратимы. Исследователь, нашедший такую уязвимость, имеет полный контроль над ситуацией до момента раскрытия. Риск для инвестора: средства в протоколе могут быть похищены в считанные блоки.

Источник: ЦБ РФ

Кто такой white hat хакер и как работает bug bounty в DeFi?

White hat — исследователь безопасности, который сообщает об уязвимости команде протокола, не используя её злонамеренно. Bug bounty — программа вознаграждений за найденные баги: крупные DeFi-протоколы предлагают от нескольких тысяч до миллионов долларов за критические находки. Платформа Immunefi является основным агрегатором таких программ в Web3. Риск: выплата вознаграждения — добровольное решение команды протокола, гарантий нет, а доказать факт находки без раскрытия уязвимости затруднительно.

Чем black hat отличается от grey hat в DeFi?

Black hat использует уязвимость для кражи средств — это уголовно наказуемое деяние в большинстве юрисдикций. Grey hat — промежуточный случай: исследователь эксплуатирует уязвимость частично (например, выводит средства «для защиты», а затем возвращает), действуя без разрешения команды. Ряд громких DeFi-инцидентов описывался именно как grey hat rescue. Риск: grey hat действия юридически неоднозначны и могут быть квалифицированы как кража даже при последующем возврате средств.

Каковы реальные суммы bug bounty в DeFi?

Крупнейшие DeFi-протоколы устанавливают максимальные выплаты за критические уязвимости в диапазоне от $100 тыс. до $10 млн и более. Immunefi зафиксировала выплату $10 млн за критический баг в протоколе Wormhole в 2022 году. Средний размер выплаты по критическим находкам — в диапазоне нескольких сотен тысяч долларов. Риск: большинство программ покрывают только смарт-контракты, исключая фронтенд, инфраструктуру и социальную инженерию.

Как протоколы реагируют на раскрытие zero-day?

Стандартная процедура: исследователь сообщает в приватном порядке → команда верифицирует находку → готовит патч или экстренную паузу контракта → публично раскрывает инцидент после устранения (responsible disclosure). Срок между уведомлением и раскрытием обычно составляет от 24 часов до нескольких недель в зависимости от сложности. Риск: если команда медлит с патчем, а уязвимость становится известна третьим лицам, окно для атаки остаётся открытым.

Источник: ЦБ РФ

Несёт ли white hat налоговую ответственность за bug bounty в РФ?

Да. Вознаграждение по bug bounty программе является доходом физического лица и облагается НДФЛ по ставке 13% (при доходе свыше 2,4 млн руб./год — 15%). Если выплата осуществляется в криптовалюте, налоговая база определяется в рублях по курсу ЦБ РФ на дату получения дохода. Риск: отсутствие чёткой правоприменительной практики по bug bounty в РФ создаёт неопределённость в части налогового учёта и квалификации дохода.

Источник: ЦБ РФ

Можно ли в РФ легально заниматься поиском уязвимостей в DeFi?

Деятельность white hat исследователей в РФ законодательно не урегулирована специально. Поиск уязвимостей в рамках официальной bug bounty программы с письменным разрешением протокола снижает правовые риски. Несанкционированный доступ к системам — состав преступления по ст. 272 УК РФ независимо от намерений.

Эксклюзив от ИнвестХомяка

Крупнейшие выплаты bug bounty в DeFi (задокументированные случаи)

ПротоколСумма вознагражденияГод / платформа
Wormhole (через Immunefi)$10 000 0002022, Immunefi
Aurora (NEAR)$6 000 0002022, Immunefi
Polygon$2 000 0002021, Immunefi
Optimism$2 000 0422022, Immunefi

White hat против black hat: сравнение путей при обнаружении уязвимости

КритерийWhite hat (ответственное раскрытие)Black hat (эксплуатация)
Правовой статусЛегально, договорные отношения с протоколомУголовно наказуемо в большинстве юрисдикций
Потенциальный доходBug bounty: тысячи — миллионы долларовСумма эксплойта (часто заморожена/отслежена)
Риск уголовного преследованияМинимальный при соблюдении процедурыВысокий (on-chain трассировка, KYC на биржах)
Репутационный эффектПоложительный, карьера в безопасности Web3Разрушителен, публичное преследование
Возможность легализации доходаДа, стандартный налоговый учётПрактически невозможна без отмывания

Как white hat исследователь действует при обнаружении уязвимости

  1. Зафиксируйте находку без эксплуатации

    Задокументируйте уязвимость технически (proof-of-concept в тестовой среде), не проводя транзакций в основной сети — любое взаимодействие с уязвимым контрактом может быть расценено как несанкционированный доступ.

  2. Найдите официальную bug bounty программу протокола

    Проверьте страницу безопасности на сайте протокола или профиль на Immunefi. Убедитесь, что найденная уязвимость попадает в scope программы и категорию критических.

  3. Отправьте приватный отчёт команде протокола

    Используйте официальный канал раскрытия (security@, форма на Immunefi). Опишите уязвимость детально, включите PoC, укажите потенциальный ущерб. Установите разумный дедлайн для ответа (обычно 48–72 часа).

  4. Дождитесь верификации и согласования вознаграждения

    Команда протокола верифицирует находку и подтверждает размер выплаты до публичного раскрытия. Фиксируйте всю переписку — это ваша защита в случае споров о выплате.

  5. Получите вознаграждение и задекларируйте доход

    После выплаты bug bounty в крипте или фиате рассчитайте налоговую базу в рублях по курсу ЦБ на дату получения и включите доход в декларацию 3-НДФЛ за соответствующий год.

Частые вопросы

Можно ли в РФ легально заниматься поиском уязвимостей в DeFi?

Деятельность white hat исследователей в РФ законодательно не урегулирована специально. Поиск уязвимостей в рамках официальной bug bounty программы с письменным разрешением протокола снижает правовые риски. Несанкционированный доступ к системам — состав преступления по ст. 272 УК РФ независимо от намерений.

Что происходит с украденными средствами в DeFi после взлома?

On-chain транзакции публичны и навсегда фиксируются в блокчейне. Крупные биржи применяют AML-процедуры и замораживают подозрительные адреса. Часть взломщиков возвращала средства после переговоров с протоколом (получив «белую» часть в виде bounty). Полная анонимизация крупных сумм через миксеры находится под надзором OFAC и аналогичных регуляторов.

Как инвестору выбрать протоколы с сильной программой безопасности?

Ориентиры: наличие активной bug bounty программы на Immunefi с выплатами от $500 тыс. за критические баги, история выплаченных вознаграждений (публичные записи), актуальные аудиты от известных фирм, механизм экстренной паузы контрактов.

Чем responsible disclosure отличается от full disclosure?

Responsible disclosure — уязвимость раскрывается публично только после выпуска патча командой. Full disclosure — немедленная публикация без ожидания патча, что создаёт окно для атаки. В DeFi стандартом считается responsible disclosure с согласованным эмбарго.

Влияет ли обнаружение уязвимости на цену токена протокола?

Как правило, да. Публичное раскрытие критической уязвимости или факта взлома вызывает резкое падение цены governance-токена и TVL протокола. Даже успешно закрытая уязвимость через bug bounty при публичном раскрытии может временно снизить доверие рынка.

Похожие материалы

Источники