Un bug bounty est un programme, généralement opéré via une plateforme comme Immunefi, HackenProof ou Code4rena, qui paie en cash les chercheurs en sécurité qui divulguent en privé des vulnérabilités.
Pour la DeFi, le bug bounty est la troisième jambe d'une posture sérieuse, après les audits et le monitoring continu. Il couvre les cas que les audits ratent : reviewers que votre cabinet n'aurait jamais engagés, horizons temporels plus longs qu'un audit de 4 semaines, et incitations économiques alignées sur la divulgation plutôt que sur l'exploitation.
Un programme sérieux comprend :
- Un scope statement listant ce qui est dedans et dehors.
- Une matrice de sévérité (par exemple le système de classification d'Immunefi) reliant l'impact au payout.
- Des montants de payout proportionnels à la valeur en jeu, un cap à 50 k$ sur un protocole qui détient 500 M$ de TVL n'est pas un dissuasif crédible.
- Un SLA de réponse défini pour le triage, le payout et la divulgation.
Les plus gros bounties payés en DeFi ont été à sept et huit chiffres, et ont presque toujours sauvé plus qu'ils n'ont coûté.