Bug-bounty
Программа вознаграждений за приватное раскрытие уязвимостей. В TON-экосистеме программы есть у TON Foundation, STON.fi, DeDust, Tonkeeper, EVAA и др., payout-band до $500K за critical.
Синонимы: bugbounty, bug bounty, баг-баунти
Bug-bounty — программа вознаграждений за приватное раскрытие уязвимостей. Исследователь находит уязвимость, шлёт детали через защищённый канал (Immunefi, HackerOne, личный security@-email команды), получает CVE и денежную выплату. Альтернативы (продать в darknet, поэксплуатировать самому) — незаконны в большинстве юрисдикций.
Программы в TON-экосистеме (2026)
| Программа | Платформа | Payout за critical |
|---|---|---|
| TON Foundation | Immunefi | до $500K |
| STON.fi v2 | Immunefi | до $200K |
| DeDust | Immunefi | до $150K |
| Tonkeeper | HackerOne | до $50K |
| EVAA Protocol | Immunefi | до $100K |
| Notcoin / Catizen | прямой security@ | переговорные |
Актуальные условия и scope — в гайде по bug-bounty в TON.
Severity-классификация (типовая)
- Critical — стек смарт-контрактных уязвимостей (drain, минт-без-обеспечения, замораживание средств).
- High — front-end / интеграционные уязвимости с потерей средств.
- Medium / Low — DoS, утечка приватности, less-impactful integer overflows.
Responsible disclosure — дисциплина
- Всегда сначала private disclosure через указанный канал.
- Ждать ответа команды и согласовать сроки публикации.
- Только после patch — публичный writeup.
- Публичный exploit-PoC без согласования = $0 и потенциальное уголовное дело по «несанкционированному доступу».
Bug-bounty — это вторая линия защиты после аудита. Аудит ловит известные классы багов; bounty ловит то, что аудитор пропустил, и платится только за реально найденное (никаких регулярных гонораров).