Компания LlamaRisk, оказывающая услуги по управлению рисками в сфере децентрализованных финансов (DeFi), раскритиковала крупнейших эмитентов стейблкоинов Circle и Tether за «неадекватные» программы вознаграждения по обнаружению багов, выплаты за которые не превышают $10 000.

LlamaRisk оценила программы вознаграждения для криптоактивов, представленных в протоколе Aave V3. Эксперты обнаружили, что эмитенты 33 криптоактивов, доля которых составляет $19,7 млрд от общего объема Aave, справедливо вознаграждают белых хакеров за обнаружение уязвимостей. Однако разработчики десяти активов, на которые приходится $19,2 млрд от общего объема активов Aave, либо не запускают подобные программы, либо недостаточно оплачивают поиск ошибок.

По данным LlamaRisk, выпускающая стейблкоины USDC компания Circle, несмотря на управление активами на сумму $70 млрд, недостаточно оценивает усилия исследователей, выплачивая им не более $5000. А компания Tether, выпускающая токены USDT, в управлении которой находятся активы на сумму $160 млрд, предлагает награду за найденные ошибки не более $10 000.

В LlamaRisk назвали и другие проекты с мелкими вознаграждениями за обнаружение багов: BitGo Wrapped Bitcoin, Gnosis и Ripple, тогда как у EtherFi, Monerium, PayPal и Agora программы вознаграждений и вовсе отсутствуют. Эксперты отметили, что Circle, Tether и Paywell, будучи централизованными эмитентами с полным, как утверждают разработчики, резервированием, вполне способны компенсировать потенциальные риски безопасности.

Исследователи LlamaRisk порекомендовали компаниям назначать белым хакерам минимальную награду в $50 000, которая должна увеличиваться в зависимости от общей заблокированной стоимости активов (TVL). Для протоколов с TVL более $250 млн, было бы разумно выплачивать награду более $1 млн. Это должно привлечь квалифицированных специалистов по безопасности и сделать поиск уязвимостей более эффективным, заявили в LlamaRisk. Белым хакерам также рекомендуется составлять отчет о найденных ошибках в программном обеспечении, не разглашать его третьим лицам и не злоупотреблять результатами своих исследований.

В прошлом году разработчики протокола кредитования Compound Finance в партнерстве с компанией Immunefi запустили программу вознаграждений до $1 млн за поиск уязвимостей. За обнаружение мелких багов предусмотрены выплаты от $1000.