BUG BOUNTY БЕЗ БОЛИ 🛡️ Как заплатить за уязвимость и не остаться без PoC и без денег

15 ноября 202515 ноя 2025

2 мин

BUG BOUNTY БЕЗ БОЛИ 🛡️ Как заплатить за уязвимость и не остаться без PoC и без денег Нашли брешь — это ценно. Но исследователь боится «кидалова», а владелец продукта — утечки и шантажа. Решение — **эскроу‑выплаты**: деньги блокируются у нейтрального гаранта и релизятся по правилам. **Как это устроить правильно** 1) **СCOPE и правила**: где тестировать, что запрещено, какие данные не трогаем. Сразу фиксируем **матрицу серьёзности (CVSS)** и вилку вознаграждений. 2) **Депонирование**: заказчик вносит приз в USDT/фиате в **эскроу**; сеть/адрес/курс фиксируются, смена реквизитов запрещена. 3) **Майлстоуны и релизы**: — М1: triage и подтверждение воспроизводимости → частичный релиз. — М2: рабочий **PoC** с безопасной демонстрацией → следующий релиз. — М3: исправление и валидация на стейдже/проде → финальный релиз. Опции: **timelock 24–72 ч** и **holdback 5–10%** на пост‑мониторинг. 4) **Антислив и доказательства**: PoC передаётся шифровано, делаем **хеш‑коммит (SHA‑256)** артефактов, скр

Нашли брешь — это ценно. Но исследователь боится «кидалова», а владелец продукта — утечки и шантажа. Решение — **эскроу‑выплаты**: деньги блокируются у нейтрального гаранта и релизятся по правилам.

**Как это устроить правильно**

1) **СCOPE и правила**: где тестировать, что запрещено, какие данные не трогаем. Сразу фиксируем **матрицу серьёзности (CVSS)** и вилку вознаграждений.

2) **Депонирование**: заказчик вносит приз в USDT/фиате в **эскроу**; сеть/адрес/курс фиксируются, смена реквизитов запрещена.

3) **Майлстоуны и релизы**:

— М1: triage и подтверждение воспроизводимости → частичный релиз.

— М2: рабочий **PoC** с безопасной демонстрацией → следующий релиз.

— М3: исправление и валидация на стейдже/проде → финальный релиз.

Опции: **timelock 24–72 ч** и **holdback 5–10%** на пост‑мониторинг.

4) **Антислив и доказательства**: PoC передаётся шифровано, делаем **хеш‑коммит (SHA‑256)** артефактов, скринкаст «одним дублем», подпись сообщения от кошелька (**EIP‑712**) — это база для арбитража.

5) **Сроки и SLA**: triage, ETA патча и окно ответственного раскрытия фиксируются в чате с гарантом; споры — по фактам, а не по «скринам».

**Зачем обеим сторонам эскроу**

— Исследователь видит, что приз уже заблокирован и будет выплачен по чек‑листу.

— Компания получает PoC без риска публикации до фикса; все действия задокументированы, **арбитраж** — в одном канале.

— Комиссии — **от 10%**, поддержка крипты и фиата, по запросу **мультиподпись 2‑из‑3** и AML‑проверки.

**Мини‑чек‑лист участия**

— Описать вектор атаки и влияние, не трогая персональные данные.

— Дать минимальный доступ/песочницу, а не прод‑ключи.

— Согласовать метрики приёмки: шаги воспроизведения, логи, версии.

Полезные ссылки

— OWASP Vulnerability Disclosure: https://owasp.org/www-community/Vulnerability_Disclosure — как оформить ответственное раскрытие.

— FIRST CVSS калькулятор: https://www.first.org/cvss/calculator/ — оценка тяжести уязвимостей.

— HackerOne Disclosure Guidelines: https://www.hackerone.com/disclosure-guidelines — типовой подход к политикам раскрытия.

Наши ресурсы

— Сайт: https://guarantor.su

— Бот‑гарант: @GARANT_S_bot

Итог: **чёткие правила + поэтапные релизы через эскроу = честные bug bounty без утечек и скандалов**. Как бы вы делили выплаты по майлстоунам: 30/40/30 или иначе? Делитесь опытом и задавайте вопросы — разберём ваш кейс и соберём рабочий чек‑лист.