Circle та Tether недооцінюють винагороди за пошук вразливостей - звіт LlamaRisk

Особливу увагу експерти звернули на Circle та Tether – найбільших емітентів стейблкоїнів. За даними LlamaRisk, Circle, яка управляє активами на $70 млрд, встановлює максимальний розмір винагороди за знайдений баг у $5000. Tether, яка контролює понад $160 млрд, готова платити не вище за $10 000. На думку фахівців, ці суми не відповідають масштабам компаній і створюють ризики для користувачів їх активів.

До списку проектів із мінімальними виплатами також увійшли BitGo Wrapped Bitcoin, Gnosis та Ripple. А такі компанії, як EtherFi, Monerium, PayPal та Agora, зовсім не пропонують хакерам жодних компенсацій за виявлення вразливостей. При цьому саме великі централізовані емітенти з резервуванням активів, включаючи Circle, Tether та PayPal, за оцінкою LlamaRisk мають всі можливості для повноцінного фінансування програм безпеки.

Експерти запропонували запровадити мінімальний поріг винагороди на рівні $50 000, а для протоколів із загальною заблокованою вартістю (TVL) понад $250 млн піднімати виплати до $1 млн і вище. Така система дозволить залучати висококваліфікованих фахівців та забезпечить надійніший захист екосистеми. Крім того, LlamaRisk рекомендує дослідникам зберігати конфіденційність звітів про знайдені баги, не передавати їх третім особам і не використовувати дані на шкоду.

Для порівняння у звіті наводиться приклад Compound Finance, який спільно з Immunefi ще минулого року запустив програму з максимальними виплатами до $1 млн. За дрібні помилки там передбачені нагороди від $1000, що, на думку аналітиків, робить програму більш збалансованою та привабливою для дослідників.

Таким чином, низькі виплати від Circle і Tether можуть підірвати довіру до їхніх стейблкоїнів, тоді як щедріші програми, подібні до ініціативи Compound Finance, стимулюють розвиток культури відповідального пошуку вразливостей та підвищують загальну безпеку DeFi-сектору.