バグバウンティ

据以太坊基金会安全研究员 Fredrik 披露，以太坊基金会漏洞赏金计划已将最高奖励金额从 25 万美元提升至 100 万美元。エトリアム財団のセキュリティ研究者フレドリックによると、エトリアム財団のバグバウンティプログラムは、最高報酬額を25万ドルから100万ドルに引き上げた。

OKXの共同セキュリティプラットフォームCantinaは、OKXのオンチェーン契約の脆弱性報奨プログラムを正式に開始しました。総賞金プールは100万ドルに達します。このプログラムは、メインネットにデプロイされ、実際の生産環境にあるオンチェーンスマートコントラクトに焦点を当てており、現在は実際にユーザー資産の流通を担うDEXルーティングと関連コントラクトのセキュリティ監査報奨を行っています。OKXは現在、複数のエコシステムで生産レベルのオンチェーンDEXルーティングインフラを運営しており、ユーザーのオンチェーン取引の重要な実行経路に位置しています。継続的で構造化された公開の脆弱性監査報奨メカニズムを導入することで、OKXはオンチェーン取引システムの安全性と透明性をさらに向上させ、業界に生産レベルのオンチェーンシステムの安全維持の標準を確立することを目指しています。

Security Alliance の創設者 Samczsun は、コード監査、形式的検証、高額な脆弱性報酬の3つのステップだけではハッカー攻撃を防ぐには不十分であり、スマートコントラクトの年次再審査がプロトコルの安全を確保するための重要な第4のステップであると述べています。Samczsun は指摘しています：より高い脆弱性報酬はハッカー攻撃を防ぐことはできません。なぜなら、これはホワイトハットがブラックハットよりも先に脆弱性を発見することに賭けることに過ぎず、同じ金額を数年内の再監査に使うことができます。リスクレベルは TVL に対して線形に増加しますが、安全予算はそれに伴って増加しません。監査報告書は特定の時点での安全評価に過ぎず、期限が切れるものであり、プロトコル環境は継続的に変化しているため、評価を更新する唯一の方法は再監査を行うことです。Samczsun は、2026 年には暗号業界がプロトコルの安全を確保するための第4のステップとして年次再監査を採用すべきだと考えています。既に顕著な TVL を持つプロトコルは、その展開を再監査する必要があり、監査会社は全体の展開を評価することに特化した再監査サービスを提供すべきです。暗号業界は監査報告書を「期限が切れる可能性がある」時点での評価と見なすべきであり、永久的な安全保障とは見なすべきではありません。

据 The Block 报道，Uniswap の "UNIfication" ガバナンス提案は初期のスナップショット投票で 63,000,000 UNI トークン以上の支持を得ており、ほとんど反対がありません。この提案は、Uniswap Labs と Uniswap Foundation を調整されたガバナンスフレームワークの下で統一し、プロトコルレベルの手数料メカニズムを有効にすることを目的としています。現在、価値 15,500,000 ドルの Cantina 脆弱性報奨プログラムが開始され、新しい手数料切り替えスマートコントラクトをカバーし、来週予定されている完全なオンチェーン投票の準備を進めています。

Uniswap は Cantina で最大 1550 万ドルの新しいバグ報奨プログラムを開始し、研究者が Uniswap プロトコル、Uniswap Web インターフェース、バックエンドサービス、モバイルおよび拡張ウォレット、インフラストラクチャ内のセキュリティ脆弱性を見つけて報告することを奨励します。このプログラムでは、脆弱性の深刻度に応じて報酬が提供され、重大、高リスク、中程度、低リスクの4つのレベルに分類され、それぞれの最高報酬は 1550 万ドル、100 万ドル、10 万ドル、5 万ドルとなっています。

据 CoinList の発表によると、暗号脆弱性報奨プラットフォーム Immunefi（IMU）のトークン販売が2025年11月12日17:00 UTCにCoinListで正式に開始される。トークンの単価は0.01337ドルに設定され、FDVは1.337億ドルとなる。今回の配分は373,971,578枚のIMU（総量の3.74%）で、TGEは100%ロック解除される。申込下限は100ドルで、USDT/USDCに対応している。現在、登録が開始されている。Immunefiは、Web3およびスマートコントラクトのセキュリティに特化した脆弱性報奨プラットフォームであり、ブロックチェーンおよびスマートコントラクトプロジェクトに対して脆弱性報酬の管理、コンサルティング、脆弱性の分類およびプログラム管理サービスを提供している。これまでに、このプロジェクトはFramework Ventures、Electric Capital（リード投資）、P2 Ventures、Bitscale Capitalなど、複数の暗号および従来のテクノロジー資本から支援を受けており、総調達額は2900万ドルである。

ChainCatcher のメッセージによると、公式の発表で Coinbase が Cantina プラットフォームと提携し、500 万ドルのバグバウンティプログラムを開始することを発表しました。このプログラムは、同社のオンチェーン製品と Base スマートコントラクトのセキュリティに焦点を当てています。これは、これまでで最大規模の Web3 セキュリティプログラムの一つであり、世界中の Web3 組織のセキュリティ基準に新たなベンチマークを設定することを目的としています。このプログラムは Cantina プラットフォームを通じて運営され、提出されたすべてのバグは Web3 セキュリティ専門家によって評価され、報酬はバグの再現性と技術的影響に基づいてランク付けされます。セキュリティ研究者は、構造化されたプロセスを通じて重要なインフラの検証に参加できるようになりました。

ChainCatcher のメッセージによると、公式の発表として 1inch は、コミュニティによる責任ある脆弱性の開示を促進するために、5 つの脆弱性報奨プログラムを開始したことを発表しました。主に 1inch スマートコントラクト（50 万ドルの報酬）、1inch ウォレット（10 万ドルの報酬）、1inch 開発者ポータル（10 万ドルの報酬）、dApp（5 万ドルの報酬）、およびインフラストラクチャ（2 万ドルの報酬）を対象としています。

ChainCatcher のメッセージによると、The Block が報じたところでは、分散型ステーブルコインプロトコル Usual がブロックチェーンセキュリティ会社 Sherlock と協力して脆弱性報奨金プログラムを開始し、コードベース内の重要な脆弱性を見つけるために 1600 万ドルの報酬を提供しています。この報酬は、以前の Uniswap（1550 万ドル）、LayerZero Labs（1500 万ドル）、および Wormhole（1000 万ドル）が設定した報酬を上回っています。Usual のコードベースは、最近の Sherlock の監査コンペティションを含め、20 回の監査を受けており、中程度以上の脆弱性は発見されていません。重要な脆弱性と認定されたもののみが最高報酬の対象となります。Usual は現在、88 億ドルを超える総ロック価値（TVL）を管理しています。Sherlock の CEO ジャック・サンフォードは、この協力が DeFi の誠実な発展を促進し、エコシステム全体の信頼を強化することを目的としていると述べています。

ChainCatcher のメッセージ、MIM Spell は gmCauldrons に関する脆弱性の存在を認識していることを明らかにしました。コア貢献者とセキュリティエンジニアがこの問題を深く調査しており、できるだけ早く詳細情報を提供する予定です。Zeroshadow チームが警告を発した後、すべての cauldrons の貸出が停止されました。現在、今回の攻撃による全損失を評価しています。また、この脆弱性は gmCauldrons のみ影響を及ぼし、ユーザーの担保資産には影響がありません。MIM Spell はハッカーとの交渉を希望しており、脆弱性報奨金の総額の 20% を提供する意向です。

ChainCatcher のメッセージ、Virtuals Protocol は X プラットフォームで発表し、1 月 16 日までに 3 万ドル以上のバグ報奨金を支払ったことを報告し、責任を持ってバグを報告したセキュリティ研究者コミュニティに感謝しています。

ChainCatcher のメッセージ、Sonic Labs（旧 Fantom）が ImmuneFi と提携し、200 万ドルのバグバウンティを発表しました。このプロジェクトは、世界中の開発者コミュニティと協力してプロジェクトの完全な安全性を確保します。

ChainCatcher のメッセージ、DeFi プロトコル Compound Finance は、Immunefi プラットフォームで 100 万ドルのバグバウンティプログラムを開始し、プラットフォームの安全性を向上させ、ユーザーの安全を確保することを発表しました。最新バージョンの Compound III は、暗号資産を担保として基礎資産（現在は USDC）を借り入れるプロセスを簡素化し、Ethereum、Polygon、Arbitrum などの複数のチェーンに展開されています。すべての報酬はドル建てですが、COMP トークンで支払われます。

ChainCatcher のメッセージによると、Uniswap は最新のプロトコル Uniswap v4 のコア契約の脆弱性を発見したホワイトハットハッカーに最高 1550 万ドルの報酬を提供します。これは史上最高の脆弱性報酬プログラムであり、プロトコルの安全性を確保することを目的としています。Uniswap Labs は、v4 が 9 回の独立した監査と総額 235 万ドルのセキュリティコンペティションを経て、現在重大な脆弱性が発見されていないと述べています。しかし、チームは追加の報酬を通じてプロトコルの安全性をさらに強化し、日々数十億ドルの取引量を処理する際の攻撃を避けたいと考えています。報酬額は脆弱性のリスクスコアに応じて階級化されており、「クリティカル」な脆弱性には最高 1550 万ドル、「高リスク」な脆弱性には 100 万ドル、「中リスク」な脆弱性には 10 万ドルが設定されています。報告は発見後 24 時間以内に提出され、問題が解決されるまで機密扱いとされます。

ChainCatcher のメッセージ、Layer3 はソーシャルプラットフォームで、Layer3 財団が HackenProof と提携し、50 万ドルのバグバウンティプログラムを開始したと発表しました。

ChainCatcher のメッセージによると、The Block の報道で、Jump Crypto によって構築されたブロックチェーンがその最初のバグ報奨プログラムを開始する予定です。Firedancer v0.1（"Frankendancer"）の6週間のバグ報奨プログラムは7月10日に始まります。このプログラムは、匿名の開発者 Cantelope Peel によって発表され、Immunefi によってサポートされているとのことです。規模は100万ドルです。

ChainCatcher のメッセージによると、DL News の報道では、脆弱性報奨金プラットフォーム OpenBounty が同行のセキュリティ研究者から批判を受けています。なぜなら、ユーザーが提出した脆弱性報告が公開のブロックチェーン上に掲載されてしまったからです。OpenBounty が報告を受け取ると、それらの報告内容を自動的に取引として Shentu に公開します。Shentu は OpenBounty の親会社である Shentu Foundation が運営するブロックチェーンです。公開された詳細には、脆弱性の脅威レベル、潜在的に脆弱なコードの位置、報告者のコメントが含まれています。OpenBounty は 30 以上の異なる暗号プロジェクトが提供する脆弱性報奨金をリストアップしており、総預金額は 110 億ドルを超えています。独立したセキュリティ研究者 Pascal Caversaccio は、潜在的な脆弱性を公開することは極めて無責任であり、どんなハッカーでもこれらの報告をフィルタリングして利用できると述べています。セキュリティ研究者たちは、OpenBounty が他のセキュリティ会社や暗号プロジェクトが提供する脆弱性報告をリストアップし、受け入れたことに対しても不満を抱いています。これらの会社やプロジェクトは、許可を得ていません。OpenBounty のウェブサイトに掲載されている報奨金には、トップの分散型取引所 Uniswap や貸付プロトコル Compound からの報奨金が含まれています。暗号セキュリティ会社 OpenZeppelin のソリューションアーキテクチャ責任者 Michael Lewellen は、「Compound DAO の OpenZeppelin におけるセキュリティアドバイザーとして、彼らがそのプロトコルを代表して脆弱性報奨金を管理する権限を持っていないことを権威を持って言えます」と述べています。脆弱性報奨金プラットフォーム HackenProof の CEO Dmytro Matviiv は、「許可なしに報奨金をリストアップすることは法的な結果をもたらす可能性があります。脆弱性報奨金市場は、慎重に考えられた法的プロセスの下で運営されています。このシステムの下では、報奨金を脆弱性報奨金プラットフォームに掲載する前に、報奨金の発行者の許可を得る必要があります」と述べています。CertiK の広報担当者は、OpenBounty プラットフォームを管理する実体 Shentu はかつて CertiK の一部であったことを確認しましたが、2020 年以来、Shentu は独立した実体として運営されています。しかし、分裂から 4 年後も、OpenBounty プラットフォーム上のコードは CertiK を含む名前のドメインにリンクされています。ただし、CertiK の広報担当者は、これらのドメインは Shentu によって独立して管理されていると述べています。

ChainCatcher のメッセージによると、The Block の報道では、UwU Lend プラットフォームで攻撃者が資金を返還できなかった後、このプロトコルはハッカーを探すための別の措置を講じています。イーサリアム上の Input Data Message (IDM) によれば、UwU Lend は「最初に脆弱性を特定し、見つけた」者に対して 500 万ドル相当の ETH の報酬を設けており、「資金や手数料を回収する必要はない」と付け加えています。以前、このプロトコルは脆弱性を利用した者と直接報酬を設定することについて話し合ったことがあります。攻撃者は、80% を返還すれば、盗んだ資金の 20% を保持することができるとし、この条件を守れば、プロトコルはこれ以上追及せず、法執行機関を介入させないと述べています。報道によると、攻撃者は水曜日の午後 1 時（米国東部時間）までに資金を返還しなければならないとされています。しかし、木曜日に攻撃者に送信されたメッセージでは、UwU Lend は「あなたが盗んだ資金の返還期限が過ぎました。」と記載しています。

ChainCatcher のメッセージ、Arbitrum エコシステム流動性管理プロトコル Gamma は、ソーシャルプラットフォームで投稿し、Etherscan と Arbiscan を通じて攻撃者に連絡を試み、資金返還について協議していることを明らかにしました（例えば、一部の資金は脆弱性報奨金として使用される可能性があります）。