Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)
WhiteHatLivesMatter 1 минуту назад Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает) Уровень сложности Средний Время на прочтение 9 мин Охват и читатели 0...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. WhiteHatLivesMatter 1 минуту назад Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает) Уровень сложности Средний Время на прочтение 9 мин Охват и читатели 0 Информационная безопасность * Криптовалюты Финансы в IT Мнение Из песочницы Что такое bug bounty вообще? Истоки уходят в 1995 год — Netscape первой предложила денежные награды внешним исследователям за найденные уязвимости в Netscape Navigator 2. Индустрия пришла к простой мысли: дешевле платить тем, кто находит баги, чем потом расхлёбывать инциденты.
Так появилась модель, а вместе с ней — платформы-посредники: HackerOne (2012) , Bugcrowd, Synack. Они дали стандартизацию процессов, юридическую защиту исследователей (safe harbor), эскроу-механизмы, медиацию и репутационные системы. На ней построены программы Google, Microsoft, Apple, на ней же в 2016 году Министерство обороны США запустило «Hack the Pentagon» — одну из первых федеральную bug bounty в истории.
Технические детали
Миллиарды долларов выплат за десятилетие. Тысячи закрытых уязвимостей. Это работающий институт — для Web2.
Web3 наследует модель Когда Web3 столкнулся с собственным валом эксплойтов — мостов, протоколов, DeFi-контрактов — индустрия потянулась к проверенному решению. В декабре 2020 года была основана Immunefi — платформа, специализирующаяся именно на Web3 bug bounty. Сегодня компания заявляет о более чем $110 миллионов выплат за всё время, 330+ проектах на платформе и суммарном пуле активных вознаграждений около $162 миллионов .
Среди публично размещённых программ — Chainlink (до $3M), Sky (бывший MakerDAO, до $10M), Wormhole, Aave, SushiSwap. На главной странице платформы до сих пор гордо висит история о выплате $10 миллионов белому хакеру satya0x за критическую уязвимость в Wormhole — крупнейшей в истории отрасли. На бумаге — всё то же, что и в Web2: программа, scope, классификация severity, SLA на ответ и резолюцию, mediation team, vault для демонстрации платёжеспособности проекта, ответственное раскрытие.
Отраслевые последствия
Внешне — та же схема, которая десятилетиями работала на Google, Microsoft и Пентагон. Но вот что я узнал, попробовав воспользоваться этой моделью изнутри. 50 дней 10 марта 2026 года я отправил на Immunefi отчёт о критической уязвимости в одном из проектов, размещённых на платформе.
Severity — Critical, по классификации самого Immunefi (пятый, высший уровень). PoC приложен, шаги воспроизведения описаны, импакт прямо соответствует одному из пунктов scope программы — постоянная заморозка средств пользователей. Название проекта здесь несущественно — пост не про него(да и я пока не получил разрешение на Public Disclosure) В тот же день, через 18 минут после подачи, отчёт был эскалирован команде проекта.
С этого момента, согласно правилам платформы, у проекта есть 48 часов на acknowledgment — подтверждение получения — и до 336 часов (14 дней) на резолюцию репорта.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
