Circle и Tether недооценивают вознаграждения за поиск уязвимостей — отчет LlamaRisk

Особое внимание эксперты обратили на Circle и Tether — крупнейших эмитентов стейблкоинов. По данным LlamaRisk, Circle, управляющая активами на $70 млрд, устанавливает максимальный размер вознаграждения за найденный баг в $5000. Tether, контролирующая более $160 млрд, готова платить не выше $10 000. По мнению специалистов, эти суммы не соответствуют масштабам компаний и создают риски для пользователей их активов.

В список проектов с минимальными выплатами также вошли BitGo Wrapped Bitcoin, Gnosis и Ripple. А такие компании, как EtherFi, Monerium, PayPal и Agora, вовсе не предлагают хакерам никаких компенсаций за обнаружение уязвимостей. При этом именно крупные централизованные эмитенты с резервированием активов, включая Circle, Tether и PayPal, по оценке LlamaRisk, имеют все возможности для полноценного финансирования программ безопасности.

Эксперты предложили ввести минимальный порог вознаграждения на уровне $50 000, а для протоколов с общей заблокированной стоимостью (TVL) свыше $250 млн — поднимать выплаты до $1 млн и выше. Такая система позволит привлекать высококвалифицированных специалистов и обеспечит более надежную защиту экосистемы. Кроме того, LlamaRisk рекомендует исследователям сохранять конфиденциальность отчетов о найденных багах, не передавать их третьим лицам и не использовать данные во вред.

Для сравнения в отчете приводится пример Compound Finance, который совместно с Immunefi еще в прошлом году запустил программу с максимальными выплатами до $1 млн. За мелкие ошибки там предусмотрены награды от $1000, что, по мнению аналитиков, делает программу более сбалансированной и привлекательной для исследователей.

Таким образом, низкие выплаты от Circle и Tether могут подорвать доверие к их стейблкоинам, тогда как более щедрые программы, подобные инициативе Compound Finance, стимулируют развитие культуры ответственного поиска уязвимостей и повышают общую безопасность DeFi-сектора.