バグバウンティ

Aaveの公式は、エコシステムの各部分のリスク特性により適合させ、審査プロセスを簡素化するために、バグ報奨金プログラムの更新を発表しました。最新の調整により、Aave V4およびCore Aave V3の重要なバグ（Critical Bug）に対する報奨金の上限が元の5倍に引き上げられました。Aave Labsは同時に、報奨金フレームワークの再編成を提案し、異なるサブシステムをImmunefi、Sherlock、Cantinaなどのプラットフォームで管理することにしました。その中で、Core Aave V3、V2、GHOなどのコア部分は引き続きImmunefiが担当し、Aave V4およびAave App StackはSherlockに移行し、Aave V3 on AptosはCantinaが担当します。

Kelpのセキュリティ事件後、Tetherの資産相互運用性プロトコルUSDT0はプロトコルのセキュリティアーキテクチャの詳細を発表しました。現在のシステムは独自のDVN（分散型検証ネットワーク）を採用しており、メッセージの拒否権を持っています。また、3つの独立した検証者が異なるコードベースに基づいて3/3の合意に達する必要があり、その後にクロスチェーンメッセージの決済が完了します。現在の検証ノードにはUSDT0の独自DVN、LayerZero、Canaryが含まれており、将来的には4/4および5/5の検証メカニズムに拡張する計画です。USDT0は、すべてのマルチシグ取引は署名前に内部チーム、外部セキュリティチーム、および監査機関による複数の審査を受ける必要があると述べており、関連する契約はGuardianやOpenZeppelinなどの機関による監査を受け、Immunefiで600万ドルのバグバウンティプログラムが開始されています。

予測市場プラットフォーム Polymarket は、Cantina プラットフォームで最高 500 万ドルの脆弱性報奨金プログラムを開始しました。このプログラムは、18 の Polygon 上のスマートコントラクト（V1/V2 CTFExchange および NegRisk バージョン、手数料モジュール、条件付きトークンフレームワーク、pUSD 担保パッキング / アンパッキングシステム、UMA オラクルアダプタなど）、ウェブアプリケーションおよび関連インフラ（リモートコード実行、機密データ漏洩、ウォレットインタラクションに関わるサブドメインの乗っ取り、悪意のある取引注入などの重要なウェブ脆弱性が最高報酬レベルに該当します）をカバーしています。スマートコントラクト関連の脆弱性の最高報酬は 500 万ドル、ウェブアプリケーション関連の脆弱性の最高報酬は 25 万ドルです。現在、このプログラムは正式に提出を受け付けています。

据以太坊基金会安全研究员 Fredrik 披露，以太坊基金会漏洞赏金计划已将最高奖励金额从 25 万美元提升至 100 万美元。エトリアム財団のセキュリティ研究者フレドリックによると、エトリアム財団のバグバウンティプログラムは、最高報酬額を25万ドルから100万ドルに引き上げた。

OKXの共同セキュリティプラットフォームCantinaは、OKXのオンチェーン契約の脆弱性報奨プログラムを正式に開始しました。総賞金プールは100万ドルに達します。このプログラムは、メインネットにデプロイされ、実際の生産環境にあるオンチェーンスマートコントラクトに焦点を当てており、現在は実際にユーザー資産の流通を担うDEXルーティングと関連コントラクトのセキュリティ監査報奨を行っています。OKXは現在、複数のエコシステムで生産レベルのオンチェーンDEXルーティングインフラを運営しており、ユーザーのオンチェーン取引の重要な実行経路に位置しています。継続的で構造化された公開の脆弱性監査報奨メカニズムを導入することで、OKXはオンチェーン取引システムの安全性と透明性をさらに向上させ、業界に生産レベルのオンチェーンシステムの安全維持の標準を確立することを目指しています。

Security Alliance の創設者 Samczsun は、コード監査、形式的検証、高額な脆弱性報酬の3つのステップだけではハッカー攻撃を防ぐには不十分であり、スマートコントラクトの年次再審査がプロトコルの安全を確保するための重要な第4のステップであると述べています。Samczsun は指摘しています：より高い脆弱性報酬はハッカー攻撃を防ぐことはできません。なぜなら、これはホワイトハットがブラックハットよりも先に脆弱性を発見することに賭けることに過ぎず、同じ金額を数年内の再監査に使うことができます。リスクレベルは TVL に対して線形に増加しますが、安全予算はそれに伴って増加しません。監査報告書は特定の時点での安全評価に過ぎず、期限が切れるものであり、プロトコル環境は継続的に変化しているため、評価を更新する唯一の方法は再監査を行うことです。Samczsun は、2026 年には暗号業界がプロトコルの安全を確保するための第4のステップとして年次再監査を採用すべきだと考えています。既に顕著な TVL を持つプロトコルは、その展開を再監査する必要があり、監査会社は全体の展開を評価することに特化した再監査サービスを提供すべきです。暗号業界は監査報告書を「期限が切れる可能性がある」時点での評価と見なすべきであり、永久的な安全保障とは見なすべきではありません。

据 The Block 报道，Uniswap の "UNIfication" ガバナンス提案は初期のスナップショット投票で 63,000,000 UNI トークン以上の支持を得ており、ほとんど反対がありません。この提案は、Uniswap Labs と Uniswap Foundation を調整されたガバナンスフレームワークの下で統一し、プロトコルレベルの手数料メカニズムを有効にすることを目的としています。現在、価値 15,500,000 ドルの Cantina 脆弱性報奨プログラムが開始され、新しい手数料切り替えスマートコントラクトをカバーし、来週予定されている完全なオンチェーン投票の準備を進めています。

Uniswap は Cantina で最大 1550 万ドルの新しいバグ報奨プログラムを開始し、研究者が Uniswap プロトコル、Uniswap Web インターフェース、バックエンドサービス、モバイルおよび拡張ウォレット、インフラストラクチャ内のセキュリティ脆弱性を見つけて報告することを奨励します。このプログラムでは、脆弱性の深刻度に応じて報酬が提供され、重大、高リスク、中程度、低リスクの4つのレベルに分類され、それぞれの最高報酬は 1550 万ドル、100 万ドル、10 万ドル、5 万ドルとなっています。

据 CoinList の発表によると、暗号脆弱性報奨プラットフォーム Immunefi（IMU）のトークン販売が2025年11月12日17:00 UTCにCoinListで正式に開始される。トークンの単価は0.01337ドルに設定され、FDVは1.337億ドルとなる。今回の配分は373,971,578枚のIMU（総量の3.74%）で、TGEは100%ロック解除される。申込下限は100ドルで、USDT/USDCに対応している。現在、登録が開始されている。Immunefiは、Web3およびスマートコントラクトのセキュリティに特化した脆弱性報奨プラットフォームであり、ブロックチェーンおよびスマートコントラクトプロジェクトに対して脆弱性報酬の管理、コンサルティング、脆弱性の分類およびプログラム管理サービスを提供している。これまでに、このプロジェクトはFramework Ventures、Electric Capital（リード投資）、P2 Ventures、Bitscale Capitalなど、複数の暗号および従来のテクノロジー資本から支援を受けており、総調達額は2900万ドルである。

ChainCatcher のメッセージによると、公式の発表で Coinbase が Cantina プラットフォームと提携し、500 万ドルのバグバウンティプログラムを開始することを発表しました。このプログラムは、同社のオンチェーン製品と Base スマートコントラクトのセキュリティに焦点を当てています。これは、これまでで最大規模の Web3 セキュリティプログラムの一つであり、世界中の Web3 組織のセキュリティ基準に新たなベンチマークを設定することを目的としています。このプログラムは Cantina プラットフォームを通じて運営され、提出されたすべてのバグは Web3 セキュリティ専門家によって評価され、報酬はバグの再現性と技術的影響に基づいてランク付けされます。セキュリティ研究者は、構造化されたプロセスを通じて重要なインフラの検証に参加できるようになりました。

ChainCatcher のメッセージによると、公式の発表として 1inch は、コミュニティによる責任ある脆弱性の開示を促進するために、5 つの脆弱性報奨プログラムを開始したことを発表しました。主に 1inch スマートコントラクト（50 万ドルの報酬）、1inch ウォレット（10 万ドルの報酬）、1inch 開発者ポータル（10 万ドルの報酬）、dApp（5 万ドルの報酬）、およびインフラストラクチャ（2 万ドルの報酬）を対象としています。

ChainCatcher のメッセージによると、The Block が報じたところでは、分散型ステーブルコインプロトコル Usual がブロックチェーンセキュリティ会社 Sherlock と協力して脆弱性報奨金プログラムを開始し、コードベース内の重要な脆弱性を見つけるために 1600 万ドルの報酬を提供しています。この報酬は、以前の Uniswap（1550 万ドル）、LayerZero Labs（1500 万ドル）、および Wormhole（1000 万ドル）が設定した報酬を上回っています。Usual のコードベースは、最近の Sherlock の監査コンペティションを含め、20 回の監査を受けており、中程度以上の脆弱性は発見されていません。重要な脆弱性と認定されたもののみが最高報酬の対象となります。Usual は現在、88 億ドルを超える総ロック価値（TVL）を管理しています。Sherlock の CEO ジャック・サンフォードは、この協力が DeFi の誠実な発展を促進し、エコシステム全体の信頼を強化することを目的としていると述べています。

ChainCatcher のメッセージ、MIM Spell は gmCauldrons に関する脆弱性の存在を認識していることを明らかにしました。コア貢献者とセキュリティエンジニアがこの問題を深く調査しており、できるだけ早く詳細情報を提供する予定です。Zeroshadow チームが警告を発した後、すべての cauldrons の貸出が停止されました。現在、今回の攻撃による全損失を評価しています。また、この脆弱性は gmCauldrons のみ影響を及ぼし、ユーザーの担保資産には影響がありません。MIM Spell はハッカーとの交渉を希望しており、脆弱性報奨金の総額の 20% を提供する意向です。

ChainCatcher のメッセージ、Virtuals Protocol は X プラットフォームで発表し、1 月 16 日までに 3 万ドル以上のバグ報奨金を支払ったことを報告し、責任を持ってバグを報告したセキュリティ研究者コミュニティに感謝しています。

ChainCatcher のメッセージ、Sonic Labs（旧 Fantom）が ImmuneFi と提携し、200 万ドルのバグバウンティを発表しました。このプロジェクトは、世界中の開発者コミュニティと協力してプロジェクトの完全な安全性を確保します。

ChainCatcher のメッセージ、DeFi プロトコル Compound Finance は、Immunefi プラットフォームで 100 万ドルのバグバウンティプログラムを開始し、プラットフォームの安全性を向上させ、ユーザーの安全を確保することを発表しました。最新バージョンの Compound III は、暗号資産を担保として基礎資産（現在は USDC）を借り入れるプロセスを簡素化し、Ethereum、Polygon、Arbitrum などの複数のチェーンに展開されています。すべての報酬はドル建てですが、COMP トークンで支払われます。

ChainCatcher のメッセージによると、Uniswap は最新のプロトコル Uniswap v4 のコア契約の脆弱性を発見したホワイトハットハッカーに最高 1550 万ドルの報酬を提供します。これは史上最高の脆弱性報酬プログラムであり、プロトコルの安全性を確保することを目的としています。Uniswap Labs は、v4 が 9 回の独立した監査と総額 235 万ドルのセキュリティコンペティションを経て、現在重大な脆弱性が発見されていないと述べています。しかし、チームは追加の報酬を通じてプロトコルの安全性をさらに強化し、日々数十億ドルの取引量を処理する際の攻撃を避けたいと考えています。報酬額は脆弱性のリスクスコアに応じて階級化されており、「クリティカル」な脆弱性には最高 1550 万ドル、「高リスク」な脆弱性には 100 万ドル、「中リスク」な脆弱性には 10 万ドルが設定されています。報告は発見後 24 時間以内に提出され、問題が解決されるまで機密扱いとされます。

ChainCatcher のメッセージ、Layer3 はソーシャルプラットフォームで、Layer3 財団が HackenProof と提携し、50 万ドルのバグバウンティプログラムを開始したと発表しました。

ChainCatcher のメッセージによると、The Block の報道で、Jump Crypto によって構築されたブロックチェーンがその最初のバグ報奨プログラムを開始する予定です。Firedancer v0.1（"Frankendancer"）の6週間のバグ報奨プログラムは7月10日に始まります。このプログラムは、匿名の開発者 Cantelope Peel によって発表され、Immunefi によってサポートされているとのことです。規模は100万ドルです。