惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

人人都是产品经理
人人都是产品经理
MyScale Blog
MyScale Blog
Y
Y Combinator Blog
罗磊的独立博客
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
P
Proofpoint News Feed
Google DeepMind News
Google DeepMind News
V
Vulnerabilities – Threatpost
T
The Blog of Author Tim Ferriss
云风的 BLOG
云风的 BLOG
Recorded Future
Recorded Future
N
News and Events Feed by Topic
B
Blog RSS Feed
阮一峰的网络日志
阮一峰的网络日志
博客园_首页
C
CXSECURITY Database RSS Feed - CXSecurity.com
博客园 - 【当耐特】
N
Netflix TechBlog - Medium
博客园 - 叶小钗
B
Blog
Vercel News
Vercel News
T
Tenable Blog
T
The Exploit Database - CXSecurity.com
Spread Privacy
Spread Privacy
T
Threat Research - Cisco Blogs
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Last Week in AI
Last Week in AI
F
Fortinet All Blogs
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Microsoft Security Blog
Microsoft Security Blog
S
Securelist
Microsoft Azure Blog
Microsoft Azure Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
P
Palo Alto Networks Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
D
DataBreaches.Net
Cyberwarzone
Cyberwarzone
Engineering at Meta
Engineering at Meta
Martin Fowler
Martin Fowler
G
GRAHAM CLULEY
Project Zero
Project Zero
Cisco Talos Blog
Cisco Talos Blog
A
Arctic Wolf
C
CERT Recently Published Vulnerability Notes
L
LangChain Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
C
Check Point Blog
A
About on SuperTechFans
W
WeLiveSecurity
The GitHub Blog
The GitHub Blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)
WhiteHatLive · 2026-05-03 · via Все публикации подряд на Хабре

Уровень сложностиСредний

Время на прочтение9 мин

Охват и читатели0

Мнение

Что такое bug bounty вообще?

Истоки уходят в 1995 год — Netscape первой предложила денежные награды внешним исследователям за найденные уязвимости в Netscape Navigator 2.0. Индустрия пришла к простой мысли: дешевле платить тем, кто находит баги, чем потом расхлёбывать инциденты. Так появилась модель, а вместе с ней — платформы-посредники: HackerOne (2012), Bugcrowd, Synack. Они дали стандартизацию процессов, юридическую защиту исследователей (safe harbor), эскроу-механизмы, медиацию и репутационные системы.

Модель сработала. На ней построены программы Google, Microsoft, Apple, на ней же в 2016 году Министерство обороны США запустило «Hack the Pentagon» — одну из первых федеральную bug bounty в истории. Миллиарды долларов выплат за десятилетие. Тысячи закрытых уязвимостей. Это работающий институт — для Web2.

Web3 наследует модель

Когда Web3 столкнулся с собственным валом эксплойтов — мостов, протоколов, DeFi-контрактов — индустрия потянулась к проверенному решению. В декабре 2020 года была основана Immunefi — платформа, специализирующаяся именно на Web3 bug bounty. Сегодня компания заявляет о более чем $110 миллионов выплат за всё время, 330+ проектах на платформе и суммарном пуле активных вознаграждений около $162 миллионов. Среди публично размещённых программ — Chainlink (до $3M), Sky (бывший MakerDAO, до $10M), Wormhole, Aave, SushiSwap. На главной странице платформы до сих пор гордо висит история о выплате $10 миллионов белому хакеру satya0x за критическую уязвимость в Wormhole — крупнейшей в истории отрасли.

На бумаге — всё то же, что и в Web2: программа, scope, классификация severity, SLA на ответ и резолюцию, mediation team, vault для демонстрации платёжеспособности проекта, ответственное раскрытие. Внешне — та же схема, которая десятилетиями работала на Google, Microsoft и Пентагон.

Но вот что я узнал, попробовав воспользоваться этой моделью изнутри.

50 дней

10 марта 2026 года я отправил на Immunefi отчёт о критической уязвимости в одном из проектов, размещённых на платформе. Severity — Critical, по классификации самого Immunefi (пятый, высший уровень). PoC приложен, шаги воспроизведения описаны, импакт прямо соответствует одному из пунктов scope программы — постоянная заморозка средств пользователей. Название проекта здесь несущественно — пост не про него(да и я пока не получил разрешение на Public Disclosure)

В тот же день, через 18 минут после подачи, отчёт был эскалирован команде проекта. С этого момента, согласно правилам платформы, у проекта есть 48 часов на acknowledgment — подтверждение получения — и до 336 часов (14 дней) на резолюцию репорта. Это не моя интерпретация, это дословные сроки из системного сообщения, которое Immunefi автоматически отправляет в каждый эскалированный тред.

Дальше — таймлайн. Без комментариев, просто факты.

  • 12 марта. 48-часовой дедлайн на acknowledgment истекает. От проекта — ничего. Платформа отправляет автоматическое напоминание.

  • 13 марта. Я лично пишу в треде, прошу хотя бы подтвердить получение. Ответа нет.

  • 14 марта. Запрашиваю медиацию. Mediation team Immunefi подключается, обещает связаться с проектом по прямым каналам.

  • 18 марта. Mediation team сообщает: они написали проекту через прямые каналы, ответа нет.

  • 24 марта. Истекает 336-часовой SLA на резолюцию. Платформа отправляет ещё одно автоматическое напоминание. Реакции от проекта — по-прежнему ноль.

  • 5 и 11 апреля. Я снова пишу в тред с просьбой хоть как-то отреагировать. Тишина от mediation team продолжается.

  • 15 апреля. Mediation team подтверждает: проект так и не вышел на связь. Ни через платформу, ни через прямые каналы.

  • 27 апреля. Mediation team отвечает на мои вопросы по статусу дела. Ответы — отдельная история, к ним мы ещё вернёмся.

По состоянию на сегодня, 29 апреля 2026 года50 дней с момента подачи отчёта. Проект не написал в треде ни одного сообщения. Ни одного. При этом всё это время команда проекта остаётся активна on-chain — деплоит обновления, проводит транзакции. То есть «не отвечают» — это не «не могут», это «не хотят».

Уязвимость на мейннете не запатчена

Что я узнал об Immunefi за эти 50 дней

Примечание. Везде ниже название проекта, на котором ведётся репорт, а также любые другие потенциально идентифицирующие данные заменены на *******. Это касается как моего собственного текста, так и прямых цитат из переписки с Immunefi — оригинальное имя в цитатах присутствует, но я сознательно его маскирую, чтобы соблюсти правила ответственного раскрытия. Уязвимость на мейннете не запатчена, и привлекать к проекту внимание в таком состоянии — не моя цель. Цель поста — разговор о платформе, а не о конкретном клиенте.

После 27 апреля у меня на руках оказались письменные ответы mediation team на три ключевых вопроса: можно ли получить хотя бы частичную выплату из vault, какие санкции грозят проекту за нарушение SLA, и есть ли вообще какой-то жёсткий дедлайн, после которого Immunefi обязан что-то сделать.

Эти ответы — не утечка, не интерпретация, не моя реконструкция. Это прямые письменные формулировки сотрудника Immunefi mediation team в официальном треде моего репорта. Скриншоты прилагаю.

Открытие первое: vault — это витрина, а не эскроу

На странице любой программы Immunefi висит цифра «Funds available» — сумма средств, которые проект якобы зарезервировал на выплаты белым хакерам. У моего проекта эта цифра — $3000. Не миллионы — три тысячи. Логично было спросить: можно ли получить хотя бы их, как частичную компенсацию, пока проект игнорирует репорт уже 50 дней?

Ответ mediation team:

No, this is not possible. We do not control the vaults. Vaults are just so that projects can showcase that they have the funds to pay for bug reports.

We do not control the funds of ******* or any of our clients as that would otherwise mean we custody their funds which would make us a financial service provider.

Перевод: «Нет, это невозможно. Мы не контролируем vault’ы. Vault’ы существуют только для того, чтобы проекты могли продемонстрировать наличие средств для выплаты баг-репортов. Мы не контролируем средства ****** или любого из наших клиентов, поскольку это означало бы, что мы храним их средства, а это сделало бы нас финансовым сервис-провайдером».*

Прочитайте это ещё раз. Vault — это просто витрина. Цифра «Funds available» на странице программы не означает ни эскроу, ни резерва, ни обязательства. Проект сохраняет полный односторонний контроль над этими средствами и может вывести их в любой момент. Когда исследователь смотрит на «$50,000 funds available» и думает «ну хотя бы эти деньги доступны для выплаты» — он ошибается.

Открытие второе: единственный рычаг платформы работает против исследователя

Я задал прямой вопрос: какие санкции грозят проекту, который проигнорировал и 48-часовой acknowledgment, и 336-часовой resolution SLA? Будет ли программа приостановлена, делистнута, публично помечена как нарушитель?

Ответ mediation team:

Should they continue to abuse the rules, we may consider taking them off of Immunefi so that no further bug reports can be sent to them. However, I need to clarify that this actually lowers the likelihood of you getting a payout because it reduces the leverage we have, unless they want to get back on Immunefi. In this case, we would require them to settle all of their outstanding bug reports.

Перевод: «Если они продолжат нарушать правила, мы можем рассмотреть возможность убрать их с Immunefi, чтобы новые баг-репорты к ним не поступали. Однако я должен пояснить, что это, по сути, снижает вероятность получения вами выплаты, потому что уменьшает рычаг давления, который у нас есть — если только они сами не захотят вернуться на Immunefi. В таком случае мы потребуем от них урегулировать все открытые репорты».

Это самое странное предложение во всей переписке. Единственный механизм наказания проекта — делистинг — официально признаётся самой платформой как механизм, который вредит исследователю, а не проекту. Логика проста: пока проект на Immunefi, у платформы есть рычаг давления (репутация, статус). Если убрать проект — рычаг исчезает, и проекту больше нет никакого смысла платить. Получается, что «наказание» нарушителя — это ровно тот сценарий, при котором исследователь гарантированно не получит ничего.

Открытие третье: жёсткого дедлайна не существует

Третий вопрос был самый простой: если 336-часовой SLA истёк, и проект продолжает молчать — есть ли какая-то дата, после которой Immunefi обязан принять окончательное решение по делу? Закрыть, выплатить, что угодно — но финализировать?

Ответ mediation team:

I cannot provide this date unfortunately. This becomes cross-departmental and is well-outside my control as a mediation team member, as well as the team as a whole. I can flag problematic clients, like *******, but there is not much more I can do. That said, again, I have to be transparent that it actually isn’t in your financial interest probability wise that we take such severe action against them.

Перевод: «К сожалению, я не могу назвать эту дату. Это межведомственный вопрос, который полностью вне моего контроля как члена mediation team, и вне контроля команды в целом. Я могу пометить проблемных клиентов, как *****, но больше я мало что могу сделать. И опять же, должен быть честным: с точки зрения вероятности получения выплаты, такие жёсткие меры против проекта не в ваших финансовых интересах».

То есть: жёсткого дедлайна нет, человек, к которому исследователь обращается за защитой своих прав, открыто признаёт, что у него нет полномочий вообще ни на что — и в той же реплике повторно напоминает, что любые серьёзные меры против нарушителя сделают только хуже самому исследователю. Не упрямство проекта, не нарушение SLA, а сам исследователь оказывается тем, кому невыгодно настаивать.

Что это значит для исследователя

Подведу.

Если вы Web3-исследователь и думаете отправлять репорт через Immunefi, имейте в виду следующее. Цифра «Funds available» на странице программы — это не гарантия выплаты, не эскроу и не резерв. Это просто баланс кошелька проекта, к которому у платформы нет доступа. SLA на acknowledgment (48 часов) и резолюцию (336 часов) — это рекомендации без последствий: их нарушение не запускает никаких автоматических процедур. Mediation team — это не арбитраж, а максимум вежливый посредник, который может «пометить клиента как проблемного» и больше ничего. Делистинг проекта — теоретически существующий механизм наказания — официально признаётся самой платформой как сценарий, который вредит исследователю, а не нарушителю.

Что это значит для исследователя

Подведу.

Если вы Web3-исследователь и думаете отправлять репорт через Immunefi, имейте в виду следующее. Цифра «Funds available» на странице программы — это не гарантия выплаты, не эскроу и не резерв. Это просто баланс кошелька проекта, к которому у платформы нет доступа. SLA на acknowledgment (48 часов) и резолюцию (336 часов) — это рекомендации без последствий: их нарушение не запускает никаких автоматических процедур. Mediation team — это не арбитраж, а максимум вежливый посредник, который может «пометить клиента как проблемного» и больше ничего. Делистинг проекта — теоретически существующий механизм наказания — официально признаётся самой платформой как сценарий, который вредит исследователю, а не нарушителю.

Платформа знает об этой проблеме

Самое интересное — что Immunefi прекрасно знает о структурной проблеме отказов проектов от выплат. И публично её признала. В июле 2025 года протокол Spectra отказался платить призовой фонд $40,000 победителям audit competition после раскрытия уязвимостей. Immunefi месяц безуспешно пыталась договориться, после чего выплатила эти $40,000 из собственных операционных средств, чтобы защитить интересы исследователей. Цитата из официального твита Immunefi от 4 июля 2025 года:

As part of our commitment to SRs, Immunefi has proceeded to pay out the rewards using its own funds following Spectra’s refusal to honor the terms of the Audit Competition they approved for publishing.

Перевод: «В рамках нашей приверженности интересам исследователей безопасности, Immunefi провела выплату наград из собственных средств после отказа Spectra соблюдать условия Audit Competition, которую они сами же одобрили к публикации».

После этого инцидента Immunefi ввела политику обязательного pre-payment escrow — но только для audit competitions. Для обычных bug bounty программ — то есть того самого формата, в котором подавался мой репорт — всё осталось ровно как было: vault как витрина, никакого эскроу, никаких реальных гарантий. Платформа знает, как решить проблему. Платформа уже решила её — для одного из своих продуктов. Но в основном продукте, через который проходит подавляющее большинство репортов, проблема осталась нетронутой.

Асимметрия обязательств

И последнее, на чём хочется остановиться. По правилам Immunefi, исследователь обязан соблюдать жёсткие технические требования: тестирование на мейннете или публичных тестнетах строго запрещено, PoC должен запускаться только на форке в локальном окружении, нарушение этого правила — мгновенный перманентный бан. Никаких исключений, никаких объяснений, никакого «но я же хотел как лучше». Это разумно, и я как исследователь не возражаю.

Но вот что любопытно. Исследователь нарушает технические правила — мгновенный бан. Проект нарушает 48-часовой SLA, 336-часовой SLA, игнорирует репорт 50 дней — никаких последствий, кроме автоматических напоминаний и вежливых писем mediation team. Платформа, у которой одна сторона договора защищена жёсткой репрессивной машиной, а другая — пустыми обещаниями, не является нейтральным посредником. Это платформа, которая по архитектуре своих правил знает, кто здесь клиент, а кто — расходный материал.

Я не утверждаю, что Immunefi — мошенники. Я утверждаю, что архитектура платформы не предполагает реальной защиты исследователя. И на это указывают одновременно три вещи: технические ограничения vault-системы, признанный платформой и решённый только для audit-формата прецедент со Spectra, и фундаментальная асимметрия санкций между двумя сторонами.

В Web2 модель работает потому, что построена на реальных механизмах: эскроу, контрактных обязательствах, репутационных санкциях, которые бьют по бизнесу заказчика. В Web3 — на репутационном джентльменском соглашении, обеспеченном только желанием проекта его соблюдать.

Это просто другая модель, в которой исследователь — не сторона договора с платформой, а волонтёр, действующий на свой страх и риск. Immunefi — это явно не та платформа, какой её себе представляет большинство белых хакеров, заходящих туда впервые.

В следующих постах я планирую сделать аналогичный разбор других Web3-платформ для bug bounty — Cantina, HackenProof, code4rena, Sherlock — чтобы понять, является ли описанная архитектура общей проблемой сегмента или особенностью именно Immunefi. Подписывайтесь, если интересно.