 |
May 04, 2026, 02:42:29 PM |
|
Web3 безопасность сломана — и вот доказательство
Я построил систему которая ищет уязвимости в смарт-контрактах. Вот что она нашла — и почему я не могу об этом официально заявить.
За последние недели я разработал и запустил автоматизированный pipeline для анализа безопасности смарт-контрактов. Система комбинирует статический анализ, кастомные детекторы, on-chain верификацию и глубокий разбор с помощью AI. Результат превзошёл все ожидания.
150+ верифицированных уязвимостей. 40+ протоколов. Несколько критических дыр с работающими proof-of-concept эксплойтами на mainnet fork.
Деньги пользователей реально под угрозой. Прямо сейчас.
Что именно найдено
Я не буду называть конкретные протоколы и описывать конкретные баги — это было бы безответственно пока команды не получили шанс всё исправить. Но общая картина такая:
Среди находок есть уязвимости которые позволяют:
Полностью обойти timelock защиту в wallet-контрактах
Вывести коллатерал не погасив долг
Заблокировать работу всех vault'ов протокола одной транзакцией
Обойти compliance-ограничения через cross-chain мосты
Манипулировать ценообразованием через donation-атаки
Это не теоретические находки. Это верифицированный код с работающими тестами против живых деплойментов.
Стоимость под угрозой — сотни миллионов долларов в совокупности.
Почему я не могу это нормально задекларировать
И вот здесь начинается настоящая проблема.
Все крупные bug bounty платформы требуют полный KYC.
Immunefi. Cantina. Sherlock для крупных выплат. HackerOne. Все они требуют паспорт, селфи с документом, подтверждение личности, привязку к банковскому счёту. Без этого — либо тебя не принимают вообще, либо ты можешь найти баг, но никогда не получишь вознаграждение.
Это создаёт абсурдную ситуацию:
Индустрия построенная на принципах permissionless и trustless — требует полного доверия к централизованным платформам со стороны тех кто её защищает.
Исследователь из страны с "регуляторной неопределённостью". Человек который ценит приватность. Независимый разработчик без корпоративного прикрытия. Все они фактически отрезаны от легитимной экосистемы bug bounty.
Что происходит когда пытаешься достучаться напрямую
Хорошо, скажешь ты — есть же прямые каналы. GitHub Security Advisories. Email команды. Discord.
Да, есть. И вот реальность:
Одни команды отвечают быстро и профессионально — это приятно удивляет. Другие молчат неделями. Третьи автоматически перенаправляют на те самые платформы с KYC. Четвёртые вообще не имеют публичного security-контакта.
При этом баги существуют в живом коде. Прямо сейчас.
Парадокс bug bounty индустрии
Задумайтесь над этим.
Протоколы тратят миллионы на аудиты. Они создают bounty программы с caps в $1M, $3M, $15M. Они публично заявляют что безопасность — их главный приоритет.
Но когда независимый researcher находит реальную уязвимость — система выстроена так что он либо полностью раскрывает свою личность централизованной третьей стороне, либо остаётся ни с чем.
Это не баг системы. Это фича. Потому что реальная цель KYC на bug bounty платформах — не безопасность пользователей. А compliance протоколов перед регуляторами и защита платформ от юридических рисков.
Безопасность пользователей здесь на третьем месте.
Есть исключения — и они показывают как должно быть
Hats Finance — единственная крупная платформа где всё работает on-chain, без KYC, pseudonymous. Submission'ы зашифрованы. Выплаты в crypto напрямую. Никаких документов.
Проблема одна — большинство крупных протоколов туда не идут. Потому что им нужен compliance, а не безопасность.
Некоторые команды имеют прямые security-контакты и готовы работать с pseudonymous researcher'ами. Это хорошая практика. Таких нужно больше.
Что должно измениться
1. Разделить disclosure и payout.
KYC для получения крупного вознаграждения — это обсуждаемо. Но KYC для того чтобы просто сообщить о баге — это абсурд. Любой должен иметь возможность задекларировать уязвимость анонимно. Обсуждение вознаграждения — отдельный шаг.
2. On-chain attestation вместо паспорта.
Криптографическое доказательство что ты нашёл баг первым — это именно то для чего создан blockchain. Timestamp + hash отчёта на-chain без раскрытия деталей. Это уже умеет делать Hats Finance. Почему это не стандарт индустрии?
3. Градуированный KYC.
Для выплат до $10K — wallet address достаточно. Для $10K-$100K — базовая верификация. Для $100K+ — полный KYC. Сейчас один стандарт для всех размеров и это убивает участие малых researcher'ов.
4. Safe Harbor для pseudonymous disclosure.
Юридическая защита для researcher'а который раскрыл уязвимость в соответствии со стандартами responsible disclosure — независимо от его личности. Без этого каждый whitehat работает в правовой серой зоне.
Что я делаю с этими находками
Я продолжаю попытки связаться с командами напрямую — через GitHub Security Advisories, прямые email-контакты, официальные security disclosure каналы.
Часть команд уже получила уведомления. Остальные получат.
По стандарту ответственного раскрытия (responsible disclosure) — 90 дней на исправление. После этого находки будут опубликованы публично вне зависимости от ответа команд. Это стандарт Google Project Zero, принятый во всей индустрии.
Деньги пользователей важнее комфорта протоколов.
Послесловие
Я не пишу это чтобы хвастаться или давить на команды. Я пишу это потому что система сломана и об этом нужно говорить открыто.
Web3 обещал permissionless мир. В области безопасности этого мира — всё ещё нужен паспорт.
Это должно измениться.
|
