Ми плануємо об’єднати хакерів зі всього світу для допомоги Україні. Ось як ми працюємо з bug bounty

Наша компанія Hacken спеціалізується на проведення аудитів безпеки компаній, які працюють у сфері Web 3.0 – це криптобіржі, блокчейн, криптогаманці, тощо. Зараз в нас близько 100 співробітників, 800 клієнтів та понад 100 партнерів. Ми співпрацюємо з Avalanche, Solana, OKX, FTX, Polkastarter.

Що саме ми робимо? Аудити смарт-контрактів, тести на проникнення та bug bounty програми, якими в нас займається платформа HackenProof – проєкт екосистеми Hacken. Я відповідаю за розвиток та управління платформою: розробляю та вдосконалюю дорожню карту, контролюю метрики та взаємодію з командою розробників.

Дмитро Матвіїв

З початку війни на платформі HackenProof було запущено дві ініціативи: із пошуку вразливостей в цифрових інфраструктурах росії і України.

Отримані дані ми передаємо координаторам кіберармії України.

Зараз моя ціль: HackenProof – №1 баг-баунті платформа у web 3.0. В своїй колонці я розкажу про те, нащо взагалі потрібен кріптоаудіт, та надам поради, як стати Web 3.0-розробником.

Нащо потрібен кріптоаудіт

Мета криптоаудиту – пошук вразливостей у коді, які залишилися непоміченими внутрішніми спеціалістами проєкту під час розробки. Технологія блокчейн, незважаючи на свою інноваційність, не є повністю захищеною від ризиків. Небезпека може бути пов’язана із маніпуляціями зі сторони внутрішніх співробітників компаній, а також з інтеграцією блокчейну з іншими сервісами – у випадку їх зламу можливий «ефект доміно».

Чим відрізняється криптоаудіт від захисту від DDoS-атак? Мета захисту від DDoS-атак – не допускати порушення функціонування проєкту через перенавантаження його трафіком. Оскільки багато DDoS-атак маскують більш складні методи злому проєкту, проведення криптоаудиту також захищає проєкт від можливих негативних наслідків цих атак.

Що таке Web 3.0 та в чому його переваги

Web3 (Web 3.0) – новий етап у розвитку глобальної мережі Інтернет. Головною відмінностю Web3 є децентралізація і те, що користувачі можуть контролювати  інформацію, яку вони залишають в Інтернеті. Це дозволить завершити монополію технологічних гігантів у питанні монетизації даних користувачів.

Дмитро Матвіїв

Також відмінністю Web3 від традиційного Інтернету є прийняття віртуальних активів та їх проникнення в економіку – захист інформації тут забезпечується блокчейн-технологіями.

Наприклад, вже сьогодни Уряд України та волонтерські організації приймають фінансову підтримку для вимушених переселенців та армії в криптовалютах.

Хто ініціює bug bounty програми для Web3 та як ми з ними працюємо

Bug bounty програми зазвичай Ініціює компанія, яка турбується про захист свого програмного продукту та про рейтинг безпеки. Вона звертається до нас, а далі ми діємо таким чином:

  • верифікуємо компанію та допомагаємо їй вказати цілі для хакерів, правила, за якими хакери можуть брати участь у програмі, а також розмір винагороди за знайдену вразливість;
  • підписуємо договір та створюємо для компанії акаунт на нашій платформі;
  • компанія розміщує на своєму балансі частину коштів, які використовуються для оперативної виплати хакерам за підходящі дані;
  • хакери розпочинають пошук вразливостей та доповідають про них через нашу платформу. До речі, програма може бути і приватною, тоі хакери долучаються до неї лише за запрошенням;
  • коли надходить новий репорт у програму,  наша команда перевіряє його та визначає рівень критичності;
  • якщо репорт валідний, хакер отримує винагороду на свій гаманець.

Увесь цей процес зазвичай триває рік. Хочу також зазначити, що термін «хакер» охоплює різних спеціалістів – програмістів, інженерів та тестувальників. Розмір винагороди за валідний репорт може складати від 50$ до декількох мільйонів. Перед тим, як приступити до пошуку вразливостей, хакер може побачити цю інформацію в профайлі програми.

Наразі моя команда працює над розробкою національної bug bounty програми для України на базі HackenProof. Її ідеєю є об’єднання та координація професійних етичних хакерів з усього світу, які прагнуть допомогти Україні.

Поради розробникам, які цікавляться Web 3

  • Звернути увагу на криптографію, дізнатися про це більше. Криптографія – це основа Web3
  • Розібратися з термінологією  Web3 – дізнатися все про протоколи, гаманці, токени, NFT, смарт-контракти тощо
  • Визначитись з мовою програмування та здобути практичні навички. Web3  продукти теж мають свої рівні, і в залежності від них, використовуються та чи інша мова програмування – C++, Rust, JS

Також наша компанія Hacken планує провести вебінар «Як стати Web3-розробником чи аудитором (перевіряти чужий код)?». Записатись можна тут.

Нещодавні статті

Шлях від Junior до Senior маркетолога за рік: найкращі курси, книги та поради для кар’єрного зростання

Одного дня ще на початку мого шляху в маркетингу я зловив себе на думці, яка…

04/07/2025

Як не втратити бізнес при розлученні: помилки, які я бачив десятки разів

Якщо ви думаєте, що поділ квартир та машин при розлученні – це складно, ви просто…

04/07/2025

«Своє» як конкурентна перевага: що українському бізнесу варто взяти з британського досвіду

Дослідження Gradus Research показало значну підтримку українцями власних брендів: 86% зазначили, що віддають перевагу українським…

04/07/2025

Захист інтелектуальної власності в IT – як не втратити права на власний код

Коли ми чуємо про роботу в ІТ, то уявляємо свободу, високі доходи, стартапи, технології та…

25/06/2025

Перші кроки СЕО: як не зламати нічого в перший місяць (і навіть вразити всіх)

Уявімо собі: одного ранку вам дзвонить власник компанії і каже щось на кшталт: «Ми тут…

24/06/2025

«Бути всюди – не означає керувати». Як я перестала ходити на всі мітинги, але знаю, що на них говорили

Це історія про фолоу-апи, довіру і як перестати бути «універсальним перехідником» у команді. Колись я…

24/06/2025