加密公司往往是通过苦涩的经验得知，黑客对它们的安保系统的了解甚至比它们自己还要深。因为在加密世界，黑客行为可能会导致数百亿美元价值的代币被盗，一个公司的未来命运往往取决于其安保措施。为了加固家园，公司们提供了漏洞赏金。

这些赏金本质上是一场竞赛，鼓励黑客尝试破坏软件。然后，黑客向相应的公司提交漏洞报告，以便他们能够在被利用之前修补漏洞。作为回报，成功的黑客将获得赏金。

大多数公司提供的赏金按递增的级别进行，奖励价格与漏洞的严重程度相对应。赏金从大约50美元到100美元的初级修复开始，通常是严重漏洞的2万美元左右。在极少数情况下，黑客获得了更多的奖励。

Luta Security的创始人兼首席执行官Katie Moussouris，她推出了微软和五角大楼的首个漏洞赏金，向Cointelegraph解释了漏洞奖励计划如何有用：

“漏洞赏金作为积极主动的安保活动的补充，非常有益且高效，这些活动专注于先预防并检测组织内部的安全漏洞。一旦组织建立了良好的安保实践，漏洞赏金可以帮助识别组织遗漏的安全漏洞。仅仅靠漏洞赏金本身是不够的。”

开发软件的大部分公司都有漏洞赏金。在加密世界中，无论公司规模大小，这种程序的需求同样重要。根据HackerOne进行的一项报告显示，公司在2018年支付了87.8万美元的漏洞赏金。收到EOS 12个漏洞的12万美元奖金的荷兰研究员Guido Vranken向Cointelegraph表示，加密公司的风险很高：

“对于一种全球加密货币来说，与其他项目或网站相比，可能涉及的筹码要多得多。资产被盗是最具体的例子，但由于公众关注和汇率的协同作用，广泛公开的漏洞还可能导致净损失。”

最近的一个漏洞赏金来自全球即时通讯应用Telegram。9月24日在其Telegram Contests频道上宣布，该公司呼吁开发者利用TON区块链并提交漏洞报告。

如果黑客能够利用TON区块链中的漏洞足够多以至于可以从其他用户的钱包中窃取资金，Telegram将支付高达20万美元的奖金，这笔奖金与Augur的严重问题赏金并列，成为加密历史上最大的奖励之一。该竞赛将在备受瞩目的Telegram本地数字货币Gram于10月底推出前夕举行。

EOS位居榜首

虽然可能会觉得规模较小、较新的公司可能是提供漏洞赏金最活跃的，但EOS背后的Block.one公司在2018年的赏金奖励方面位居榜首，奖励总额为53.45万美元，根据报告，当年支付了所有赏金的60%。

根据HackerOne上的EOS个人资料，该公司将为低风险报告支付最高1000美元，为关键报告支付最高1万美元。个人资料还指出，最终金额始终由奖励委员会决定，对于优秀漏洞将给予更高的奖励。

在2018年5月EOS赏金计划推出后，Vranken解释了公司在他的发现之后的安保措施是如何变得更加严格的：

“报告的漏洞被迅速分析和修复在公共存储库中。最初这个过程是非常随意的，因为[EOS CTO] Daniel Larimer和我正通过Telegram互相发送文件，但他们现在已经开始在HackerOne上运行漏洞赏金计划，我认为这对漏洞发现者和EOS团队都有利。”

EOS已在2019年继续向黑客支付奖励，已就五个关键漏洞发放了赏金。1月10日，EOS通过HackerOne向五名白帽子黑客支付了总计40750美元，另一位研究人员获得了1万美元的赏金。

Coinbase是第二大赏金支付者

世界上最大的加密货币交易所之一，Coinbase，在赏金支付方面排名第二，2018年的总支出为29.0381万美元。自2017年中用户数量显著增加以来，该公司已经经历了多次高调的问题，包括资金延迟和遗漏，以及服务中断。

根据Coinbase的漏洞披露计划，公司在2019年2月又额外发放了3万美元的奖金以报告关键漏洞。当时，该漏洞在平台上获得了有史以来最大的赏金，尽管漏洞的细节没有被公开。Coinbase运作一个四级的赏金计划，其中低风险案件支付200美元，中级问题支付2000美元，关键漏洞最高支付5万美元。

根据Coinbase的HackerOne个人资料，攻击者“可以读取或修改系统中的敏感数据，在系统上执行任意代码，或通过某种方式窃取数字货币或法定货币”的情况构成关键影响开发。

相关：门罗币报告称，在修复后一个月解决了伪造XMR开采漏洞

该公司还将其评估低影响问题的准则列出：“攻击者可以获取少量非授权的、低敏感信息，影响一部分用户，或者稍微影响系统的准确性和性能。”

至于修复报告的问题，该公司往往会行动迟缓。在一家荷兰公司发现了一个智能合约故障，允许用户在以太坊（ETH）中“窃取他们想要的任何东西”后，据称Coinbase花了一个月的时间来解决它。该公司向发现这一漏洞的公司支付了1万美元的赏金。

波场位列第三

波场币（TRX）背后的波场基金会是赏金支出第三大的，共计为15个报告支付了7.88万美元。到目前为止，该公司已支付了总计8.54万美元的赏金，其中最高的是10,000美元，奖励给HackerOne用户nu11pe，其所提供的报告内容未公开。

该公司的赏金计划将为低风险漏洞支付100美元，为中等风险支付3,000美元，为高风险支付6,000美元，关键问题最高支付10,000美元。波场在HackerOne的个人资料中描述关键故障为“可以通过远程执行任何代码来控制 java-tron 节点”的故障，以及可能导致私钥泄露的故障。

五月份，该公司披露了一则可能导致其区块链崩溃的关键漏洞。在HackerOne上的公告称，攻击者可以通过在智能合约中实施恶意代码，通过在TRX网络上实施分布式拒绝服务（DDoS）攻击来消耗所有可用内存。

该公司补充说，一个人可以使用一台机器攻击所有或51%的关键节点，从而使网络无法使用。尽管该漏洞是在1月14日报告的，但在修复后已公开宣布。漏洞的研究者获得了1,500美元的奖金。

漏洞赏金不是一个完美的系统

虽然漏洞赏金计划为在公司的系统中奖励道德黑客创造了一个健康的环境，但该概念并非没有批评者。最近，著名加密人物Dovey Wan批评了Telegram开放其智能合约开发的决定。Wan似乎批评该事件是公司未能重投资其软件开发过程的例子，她说：

“对不起，但一个筹集了超过十亿美元，拥有超过5亿用户的这个项目甚至无法制作一个合理的区块浏览器？我必须怀疑这个TON网络在Telegram团队中的优先级以及他们将如何使用他们庞大的加密相关资金。”

Luta Security的首席执行官Katie Moussouris告诉Cointelegraph，尽管漏洞赏金对于指出现有安全架构中的重大漏洞是有效的，但它们不能取代建立一个专门的安保过程：

“公司不能将漏洞赏金用作安全审慎的廉价替代方案。简单地让陌生人提出缺陷而无法修复它们，是过度使用漏洞赏金导致组织快速陷入困境的一种方式。”

Vranken向Cointelegraph概述了他的观点，他认为，根据他的研究经验，有一个漏洞赏金计划的公司是值得信赖的：

“我宁愿相信有一个运作正常的漏洞赏金计划的项目，而不是没有这种计划的。我的这种立场是由我的研究经验和我意识到的这样一个事实所塑造的，即即使是广泛使用的软件，如果没有适当激励，也不一定深入审查其代码。”

Vranken接着补充说，无论是人才多少还是投入资金多少，构建没有缺陷的软件都极其困难：

“至少，漏洞赏金计划确立了一个正式的报告漏洞渠道，并将承诺通过财务补偿来欣赏研究者的工作向研究人员发出友好信号。”

目前的漏洞赏金系统依赖于黑客的负责任行为，要么是出于道义倾向，要么是因提供的奖励。虽然这可能会让人觉得黑客可能会索要高于计划中宣的更多金钱，或者将漏洞细节出售给竞争对手，但Moussouris表示，这种信息的需求并不像许多人认为的那么高：

“并不是无限的漏洞买家在等着购买每一个漏洞——这是一个常见的误解。但是，在加密货币中，可能比其他领域有更多的漏洞买家。话虽如此，如果漏洞猎手把利润放在首位，他们很可能选择在加密货币中利用他们找到的漏洞，而不是出售，以获取直接利润。”

尽管全球各地加密货币公司和软件公司宣传的赏金可能给人留下漏洞赏金可以提供丰厚收入的印象，但现实情况是竞争激烈，机会并不平等。Moussouris向Cointelegraph解释说，那些被邀请参加私人漏洞赏金的通常具有竞争优势：

“通常有很多工作是不获报酬的，特别是如果猎人知道如何找到的漏洞类型相对常见的缺陷。只有第一个报告特定漏洞的人会获得报酬，因此最成功的漏洞赏金猎手往往是那些被邀请参加有较少竞争者的私下赏金活动的人。”

对于Vranken来说，漏洞赏金是一个双刃剑，因为回报并不总是与投入的时间相匹配：

“与规定提前确定努力和奖励的合同工作相比，漏洞赏金可以是令人兴奋的（当你发现一大堆可以获得丰厚奖励的漏洞时），也可以是令人沮丧的（花很多时间在一件事情上而没有取得结果，或者获得的奖励低于预期）。”