Заработать токены криптовалюты в 2020 году можно и без собственных денежных вложений. Для этого есть предложения от Bounty компаний. Как заработать на криптовалюте 2020? Майнинг стал практически невозможен из-за сложности прокачки оборудования.
А для трейдинга нужно иметь как минимум высшее образование на экономическом или математическом факультете, потому что обычному смертному разобраться во всех этих графиках и терминах банковского дела будет крайне сложно. Тогда на выручку приходят более-менее простые способы добычи токенов криптовалют. И это баунти компании в ICO.
Что такое Bounty компания?
Bounty компании – это одна из популярнейших на сегодняшний день цифровых маркетинговых стратегий. Она обеспечивает максимальное продвижение предмета в сети, в нашем случае — проекта криптовалюты. Компания баунти привлекает клиентов выгодными предложениями по заработку токенов, продвигаемой криптовалюты. Но при этом пользователь не инвестирует свои собственные деньги.
Он их зарабатывает, путем выполнения несложных действий для продвижения крипты.В итоге, конечная цель Bounty компании — это все же привлечение инвесторов к реализации проекта, через среднестатистического пользователя сети. Токены на этом этапе служат неофициальной заработной платой для мелких «разнорабочих».
Баг Баунти для новичков или как начать в bug bounty? Техники и моя методика.
Как заработать с помощью Bounty компании?
После того как стало известно, что такое баунти компании, перейдем к вопросу, как с их помощью работать. Есть несколько вариантов, которые исчисляются разной заработной платой.
Активность в социальных сетях
«Разнорабочий» баунти компании создает несколько фейковых аккаунтов в социальных сетях, заводит несколько сотен подписчиков и начинает рекламную политику продвижения определенной криптовалюты, привлекая людей купить ее токены на ICO. Чем активнее он работает, тем больше монет он получает. Определяющим фактором для работодателя в итоге является количество репостов, лайков и просмотров постов, посвященных продвижению крипты.
Подписка на рассылку
Что такое Баунти в криптовалюте и как заработать на Bounty-компаниях
За последние 2 года проведение баунти-кампаний в криптовалюте стало чуть ли не обязательным правилом при выпуске новых монет. Это связано как с огромным количеством проводимых ICO, так и финансовой целесообразностью подобного варианта раздачи криптовалюты.
В нашей статье мы постараемся ответить на вопросы о том, что же такое баунти в криптовалюте, какие виды баунти бывают, как не ошибиться при выборе баунти кампании и как заработать при этом.
Как можно получить криптовалюту
Перед тем, как перейти непосредственно к обсуждению баунти, вначале остановимся на том, какие вообще есть способы заработка криптовалюты. Все варианты получения к себе на счёт криптомонет можно разделить на две большие группы: платное получение и бесплатное получение.
50+ Сканнеров уязвимостей. Баг Баунти для начинающих.
К вариантам, которые требуют финансовых вложений, можно отнести:
- Заработок криптовалюты в результате майнинга.
- Банальное приобретение коинов на криптовалютной бирже.
- Финансирование криптовалютных стартапов на этапе ICO.
К вариантам, не требующих никаких финансовых вливаний с вашей стороны, относятся:
- Работа с криптовалютными кранами.
- Нахождение и участие в airdrop различных проектов.
- Участие в bounty-кампаниях.
Теперь переходим к основной теме нашей статьи.
Что такое Bounty в криптовалюте
Итак, что же скрывается за понятием баунти в криптовалюте? Баунти – это награда, которая выплачивается организаторами или разработчиками новой криптовалюты в процессе её рекламной кампании, участникам этой кампании за некие, заранее известные, действия этих участников. Как правило, баунти-кампания проводится как часть ICO.
Надеюсь, вы знаете, что ICO – это один из способов привлечения дополнительного финансирования в новый проект. Средства привлекаются посредством выкупа инвесторами некоторого количества токенов этого проекта, которые впоследствии, после завершения ICO и реализации проекта, можно будет либо продать на криптобирже, либо поменять на товары или услуги, которые лежали в основе идеи проекта.
Какие виды баунти бывают
В зависимости от того, на каком этапе анонсирована баунти-кампания, можно выделить такие виды баунти:
- Те, которые стартуют ещё до официального начала ICO. Целью проведения такой кампании обычно является ознакомление пользователей с новым продуктом, привлечение помощников для последующей разработки самого проекта, реклама будущего проекта в рядах возможных инвесторов.
- Те, которые стартуют уже во время проведения ICO. Целью такого вида баунти-программы является своевременный поиск и устранение всевозможных ошибок в проекте ещё до его выхода на рынок, привлечение большего количества потенциальных инвесторов и дополнительное информирование пользователей о деталях этого проекта.
Однако, большинство подобных стартапов используют в процессе ICO оба варианта баунты. Проанализировав требования к участникам ICO, можно выделить общие алгоритм действий, которые предлагаются участникам для получения ими награды. Большинство требований присутствуют практически в каждой баунти-кампании. Вот перечень основных из них:
- Участникам баунти-программы предлагают заниматься оповещением пользователей и возможных инвесторов о преимуществах проводимого ICO, рассказывать об идее проекта и его потенциале. Делать это необходимо с помощью рассылки писем на е-мейлы.
- Предлагается также размещать эту информацию в существующих или создавать новые темы на профильных ресурсах, таких как http://bitcointalk.org/, https://bitcoingarden.org/ и т.п. В общем, на различных площадках, где размещается информация подобного рода и присутствует большая аудитория потенциальных инвесторов.
- Продвигать информацию об ICO с помощью социальных сетей: создавать новые темы, оставлять комментарии в существующих, делать репосты официальных сообщений, вступать в группы и т.д.
- Создавать и продвигать медиаконтент на https://youtube.com и всё тех же соцсетях.
- Заняться переводом различных официальных документов проекта: white paper, рекламной информации, разделов сайта проекта.
- Придумать и создать графическое оформление и дизайн рекламных брошюр, логотипа, сайта с информацией об ICO.
- Разрабатывать новое программное обеспечение необходимое проекту, проводить тестирование и поиск багов в существующем.
К прочтению: Курс Биткоин Даймонд к доллару — график BCD/USD на сегодня
Это далеко не полный перечень возможных заданий для участников баунти-кампании. В любом случае, перед её проведением организаторы заранее размещают информацию о возможных задачах и условиях их выполнения для получения награды.
Как правильно выбрать баунти
В последнее время, вместе с количеством проводимых ICO, заметно ухудшилось и их качество, появилось много откровенно мошеннических проектов, которые направлены лишь на то, чтобы побыстрее собрать инвестиции. Хотя при участии в баунти-программе вы и не вкладываетесь финансово в проект, но затраченное впустую время, при условии, что проект так и не дошел до реализации, также имеет немалую цену. Именно поэтому необходимо правильно определить и выбрать ICO, в баунти-кампании которого вы планируете участвовать.
Для этого мы предлагаем вам воспользоваться такими советами:
- В первую очередь, вы должны сами решить, исходя из своих знаний, умений и свободного времени, как много вы сможете выполнить предложенных заданий, ведь от этого зависит ваше вознаграждение и возможная прибыль впоследствии.
- Далее, важно правильно определить, есть ли у проводимого ICO шансы на его успешное завершение, адекватна ли плата за приложенные усилия, каким образом вы будете использовать полученные в награду токены.
- Внимательно ознакомиться с условиями предложенных к выполнению задач, необходимо, чтобы они были прописаны чётко и ясно, как и условия выплаты вознаграждения за них. Это следует сделать во избежание неверного толкования поставленной задачи и, как следствие, дальнейших споров по его оплате.
- Изучить информацию о репутации разработчиков. Для чего необходимо найти предыдущие проекты, если таковые были, узнать мнение о них компетентных лиц криптовалютного сообщества, просмотреть профили в социальных сетях, криптовалютных и профессиональных форумах.
- В течение пары дней понаблюдать за тем, насколько интенсивно происходит набор целевой суммы ICO. Если за это время добавилось всего несколько десятков тысяч долларов, то это может быть знак того, что проект не настолько интересен инвесторам и вряд ли дойдёт до этапа реализации. Как правило, организаторами ICO заложено около 2-3% от собираемой суммы на выплату награды за участие в баунти-программе. Поэтому, если сумма набирается медленно, то вы вообще можете ничего не заработать.
- Необходимо произвести оценку количества участников баунти-программы и то, сколько времени прошло с её начала. Чем раньше вы приступите к выполнению заданий, тем больше времени у вас будет на их качественное выполнение. Также следует внимательно отнестись к тому, по какому принципу происходит распределение вознаграждения между участниками. Существуют такие проекты, в которых наградной бюджет распределяется поровну между всеми участниками, без оценки вклада каждого из них.
- Важную роль также играет уровень взаимодействия администрации проекта и его участников. Насколько хорошо разработчики реагируют на просьбы и замечания пользователей, как ведут учёт выполнения заданий, публикуют ли отчёт о ходе кампании и как часто.
- Огромным плюсом будет наличие гаранта, который сможет оплатить хотя бы часть бюджета, выделенного на баунти-программу в случае каких-нибудь непредсказуемых ситуаций. Это будет говорить о серьёзном подходе команды проекта к выполнению своих обещаний.
К прочтению: Обналичивание биткоинов в России
Исходя из этих советов, можно резюмировать, что не стоит спешить и принимать участие в первой найденной баунти-программе. Перед этим следует внимательно ознакомиться со всей доступной информацией по проекту, адекватно оценить свои возможности и выбирать только такие задания, которые вы успеете качественно выполнить в установленные сроки.
Очень важно понимать, что успешное завершение ICO увеличивает положительную репутацию не только у его команды, но и у участников баунти-программы, особенно, если они профессионально выполнили задачи в отведённое на это время. Поэтому, ваша положительная репутация будет вам в дальнейшем способствовать в том, что именно вам будут отдавать предпочтение среди кандидатур других участников при выборе исполнителей во время баунти-кампании.
Как заработать на баунти-кампании
Для того, чтобы начать зарабатывать на баунти-кампаниях нам сперва понадобится знать места, где их будут объявлять. И там уже, предварительно изучив доступную информацию по текущим анонсам, сделать выбор проекта, в баунти-программе которого мы будем участвовать. Наиболее известным агрегатором анонсов, где размещается подавляющее большинство сообщений о ближайших баунти, является сайт https://bitcointalk.org .
Поэтому регистрируемся на этом сайте и стараемся найти темы с идентификатором [BOUNTY] или [ANN]: в первом случае это означает, что в теме обсуждаются вопросы, которые связаны напрямую с баунти-кампанией какого-либо проекта, во втором – происходит анонс и последующее обсуждение новой криптовалюты. Большое количество разработчиков не заморачиваются и в теме с анонсом также сообщают о поведении ICO и баунти-кампании.
Следует внимательно изучить найденные темы на предмет соответствия тем критериям, о которых мы рассказали перед этим. В этом случае надо рассматривать ICO не как возможность заработка на баунти-программе, а как инвестор: оценить общие впечатления о проекте, насколько вам стала интересна идея, лежащая в его основе. Ведь не смотря на то. Что финансово вы не совершаете никаких инвестиций, но будете тратить своё личное время и прилигать усилия для выполнения заданий.
К прочтению: Биткоин вирус
После этого можно изучить предлагаемые задания, условия их выполнения и награду, которую за них обещают. Трезво оцениваем свои возможности и выбираем только те, которые мы точно сможем выполнить в срок.
Когда сделаем выбранные таким образом задания, нам останется только подождать завершения ICO. Как правило, на привлечение средств с помощью ICO отводится месяц или два, затем по истечению ещё такого же промежутка времени производятся выплаты участникам баунти-программы.
Не лишним будет наличие у вас криптовалютного кошелька Ethereum. Это связано с тем, что подавляющее большинство всех ICO проводится на платформе Эфириума и награда соответственно выплачивается либо в нём же, либо в токенах его стандарта.
При получении оплаты за участие не спешите тут же продавать заработанные коины на криптовалютной бирже: в случае оригинальной и интересной идеи, цена на них может значительно вырасти с течением времени.
Величина вашего заработка на баунти-кампании будет варьироваться в зависимости от множества факторов. Тут и зависимость от того, насколько профессионально вы выполнили условия задачи, какой рейтинг имеете на форумах, сколько подписчиков в соцсетях и т.п. Поэтому нужно развивать все эти направления, если вы желаете зарабатывать таким образом более-менее нормальные суммы.
Заключение
Надеемся, что после прочтения нашей статьи вы сможете более уверенно ориентироваться среди множества проводимых ICO. И, с помощью предложенных советов, у вас получится увеличить свой заработок при этом до приятных глазу величину. Основное, что следует ясно понимать заработок криптовалюты с помощью баунти-программ требует профессиональных знаний и качественного выполнения работы.
Источник: ibsmoscow.ru
Bug Bounty: не «серебряная пуля», но помогает
Очевидный плюс Bug Bounty заключается в переманивании в легальное поле так называемых серых шляп — хакеров, которые могут работать как в этичном, так и в нелегальном поле. Но это не единственное преимущество данных программ
Вадим Ференец
17 марта 2022 года изданию «Коммерсантъ» стало известно о том, что международная платформа по поиску уязвимостей HackerOne не выплатила белорусскому хакеру 25 тыс. долларов. Эту сумму он должен был получить за найденную уязвимость по программе Bug Bounty (BB). Политика компании HackerOne объясняется тем, что хакер находится в зоне санкций.
«Хакеры из зон санкций теперь не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)», — написал у себя в Twitter Мартен Микос (Marten Mickos), генеральный директор платформы HackerOne. А уже к концу марта 2022 года, по данным нескольких отечественных ИБ-экспертов, всех российских и белорусских хакеров удалили из HackerOne.
Кому и зачем все это надо?
Аналитики издания TAdviser.ru заявляют, что по программе Bug Bounty в России работают «Яндекс», Ozon, VK и банк «Тинькофф». Большинство из них предлагали выплаты именно через платформу HackerOne. Однако нет худа без добра: очень быстро процессы импортозамещения проникли и в эту сферу ИБ.
«Расценки отечественных платформ уже сейчас достойны даже по международным меркам, поэтому специалисты, которые будут искать уязвимости, “должны подобраться весьма профессиональные”», — отметил 30 марта 2022 года в комментарии изданию RB.ru коммерческий директор компании «Код безопасности» Федор Дбар. Максимальная сумма вознаграждения за критичную уязвимость в одной из апрельских программ составила уже 3 млн рублей.
Так что же такое Bug Bounty и почему вокруг нее разгорелись столь нешуточные страсти? Среди пользователей портала habr.ru распространено мнение, что это некий свод правил «взаимодействия» с информационными ресурсами компании. Обычно в него входят регламент проведения программы, перечень ресурсов, описание принимаемых уязвимостей, размеры вознаграждения. В классическом исполнении это описание того, что можно «ломать» и сколько багхантер получит за ту или иную уязвимость.
Сергей Гилев, руководитель отдела анализа защищенности Angara Security, продолжил: «В первую очередь участие во все этом может быть интересно потому, что участие в Bug Bounty не ограничено по времени. Известный факт, что покупаемые услуги по тестированию на проникновение или Red Team Operations имеют временные рамки — как минимум срок действия договора на оказание услуг есть всегда.
При этом, пока ты являешься участником программы Bug Bounty, перечень твоих опубликованных для программы систем доступен к исследованию 24/7. Во-вторых, квалификация исследователей не ограничена в компетенциях и в уровне экспертизы, в отличие от нанятой команды пентестеров.
Я не говорю о том, что Bug Bounty лучше классических тестов на проникновение (пентестов), на нашем рынке есть достойные команды пентестеров, которые за короткое время могут показать первоклассный результат. Но различия в подходах очевидны. Наконец, вы сами можете устанавливать размер вознаграждения за найденные уязвимости разного уровня критичности. И если в случае с тем же пентестом вы платите по договору фиксированную стоимость, то в Bug Bounty оплата происходит только за найденные и подтвержденные уязвимости. Конечно, нужны ресурсы для обработки входящего потока обращений и на подтверждение наличия уязвимости, но при высоком уровне зрелости ИБ в компании эти затраты не будут заоблачными».
Когда Bug Bounty реально нужна?
Несмотря на перечисленные достоинства, представитель компании Angara Security назвать Bug Bounty «серебряной пулей» не может: «Скажем, открывать для программы системы, которые ни разу не проходили тестирование на проникновение, опрометчиво, а на вознаграждения можно потратить сильно больше бюджета, чем на пару-тройку хороших пентестов. Но, повторю, при достаточной зрелости ИБ-процессов это может стать хорошим дополняющим решением с точки зрения повышения уровня ИБ в компании».
Если в случае с пентестом вы платите по договору фиксированную стоимость, то в Bug Bounty оплата происходит только за найденные и подтвержденные уязвимости
В чем-то схожее мнение высказал Алексей Антонов, управляющий партнер Swordfish Security: «Bug bounty в целом как подход к обеспечению безопасности приложений и инфраструктуры был всегда достаточно спорным. Ведь что это такое, по сути? Организация размещает, к примеру, какое-то приложение на специальной площадке для BB, привлекает специалистов для поиска уязвимостей за вознаграждение.
Таким образом, имеется некоторая платформа, на которой хакеров состыковывают с компаниями, т.е. некая биржа. Она отвечает за поднятие рейтинга организаций, привлекающих ИБ-общественность к обеспечению безопасности своих разработок, а также дает хакерам понятные цели. Кроме того, на организаторах — понятный и правильный процесс поиска и выдачи вознаграждения. Ведь обнаруживаемые баги не всегда можно оценить однозначно, и платформа выступает в качестве рефери при разрешении споров».
При этом компания, затевающая ВВ, получает информацию об имеющихся у нее проблемах безопасности. Конечно, это помогает справиться с крупными багами, но разную «мелочь» хакеры могут просто обойти вниманием и не учесть (не так важно для получения приза). В таком случае о полноте обнаружения говорить не приходится.
«Здесь есть еще один важный момент, — уточнил Алексей Антонов. — Если организация, запускающая ВВ-программу, большая и известная, к ней пойдет много участников. Ведь и суммы призов тоже внушительные, и престиж играет большую роль. А если организация небольшая и не может выделить крупные суммы для победителей, гарантировать интерес к ней не сможет даже самая раскрученная площадка.
А самостоятельная организация процесса и продвижение могут обернуться крупными расходами. И, конечно, экономическая эффективность может оказаться под вопросом. Поэтому сейчас российские организации готовятся представить свои аналоги — ВВ-площадки, однако репутацию им еще придется нарабатывать не один год».
О дополнительных плюсах ВВ напоминает Александр Борисов, руководитель направления анализа защищенности ГК Innostage: «Bug bounty — очень хорошая и популярная практика для выявления уязвимостей. Сегодня многие крупнейшие корпорации берут на вооружение этот инструмент. Для компаний использование программ для багхантеров может быть интересно по многим причинам.
Во-первых, это выгодно с экономической точки зрения относительно найма и содержания большой команды по информационной безопасности. Во-вторых, можно найти экспертизу, которую сложно получить к себе в штат. Какой бы ни была крутой команда по ИБ, в любом случае на стороне найдутся компетенции, которые конкретно в данный момент не закрыты в компании. Третий очевидный плюс заключается в переманивании в легальное поле так называемых серых шляп —хакеров, которые могут работать как в этичном, так и в нелегальном поле в зависимости от того, что выгоднее».
Что нужно знать еще?
Распространено мнение, что багхантеры редко находят действительно сложные и критичные ошибки в работе продукта.
Сергей Гилев размышляет: «Отчасти согласен с этим мнением, как и с тем, что оно не является показателем неэффективности такого подхода. Оно скорее говорит о том, что опубликованные в программе системы уже достигли определенного уровня зрелости, и найти в них действительно критические уязвимости довольно сложно. В то же время, если за критические уязвимости владелец исследуемых систем готов заплатить кругленькую сумму, это может мотивировать участников-исследователей тщательнее подходить к процессу. Если посмотреть на опубликованные тикеты на известных платформах Bug Bounty (HackerOne, BugCrowd), то там можно наблюдать большое количество найденных критических уязвимостей».
«И да, и нет, — поделился своим мнением на этот счет Алексей Антонов. — Как ищут ошибки безопасности в продукте? Используют разные подходы и точки зрения, анализируют взаимодействие с другими системами. Приложения, например, глубоко смотреть багхаунтер не будет, поэтому не увидит специфические вещи в бизнес-логике или в дизайн-ревью. По опыту, могу с уверенностью сказать, что запуск ВВ (по классическим методологиям это тоже так) эффективен в качестве последнего этапа процесса безопасной разработки, уже после того, как выстроен внутренний процесс DevSecOps, когда уже применяется внешний аудит. Вот тогда программа ВВ может принести результаты».
Александр Борисов резюмировал итоги обсуждения: «Достоверных и объемных исследований, на которые можно опереться в данном вопросе не существует. Стоит лишь заметить, что до Bug Bounty чаще всего приложения доходят уже после того, как собственная команда по информационной безопасности проведет свои проверки по выявлению критических уязвимостей и несколько подрядных организаций принесут пустой отчет.
Таким образом, ВВ может и должна использоваться только в сочетании с другими инструментами безопасности, включая тестирование на проникновение, анализ кода и т.д. Применять же только Bug Bounty в качестве эффективного инструмента обеспечения безопасности не имеет смысла.
«Сочетание ВВ с другими технологиями может быть также оправдано, когда исследуемая система не претерпевает масштабных изменений и последние два, три, пять тестов на проникновение не показали наличия каких-либо критичных уязвимостей. В таком случае Bug Bounty даст возможность не конкретной команде, а целому сообществу исследователей искать эти уязвимости. Либо же наоборот, когда исследуемая система настолько масштабна и динамична, что покрыть ее всю одним пентестом нереально. Тогда можно перед вводом в эксплуатацию провести первичный анализ защищенности, чтобы закрыть явные недостатки безопасности, а остальное отдать в руки свободных исследователей. Тем самым можно ускорить процесс нахождения уязвимостей и оптимизировать процесс устранения выявленных дыр в безопасности», — добавил Сергей Гилев.
Что говорят юристы?
Хакеры, которых принято называть серыми шляпами, называются серыми, так как никто и ничто не гарантирует того, что эти люди не совмещают противоправные взломы IT-систем и участие в легальных программах Bug Bounty. Никто не гарантирует и того, что полученные в ходе Bug Bounty данные не будет использоваться как-то иначе, чем это задумывалось организаторами той или иной программы.
Мировой опыт имеет как минимум два варианта удержания «серых шляп» и аналогичных сообществ исследователей от противоправных действий.
Во-первых, это материальные стимулы. Потери мировой экономики от кибератак настолько велики, что небольшая доля этих потенциальных убытков, потраченных на Bug Bounty, может предотвратить гораздо большие потери. Например, размер одной из самых крупных наград составил 200 тыс. долларов: так компания Microsoft поблагодарила «белого» хакера за найденную уязвимость в Hyper-V, системе аппаратной виртуализации для x64-систем. Компания Apple однажды выразила готовность заплатить 1 млн долларов за сообщения об уязвимостях, с помощью которых злоумышленник мог осуществить сетевую атаку без участия пользователя, позволяющую выполнить код на уровне ядра.
Во-вторых, хакеры — тоже люди и чтут разного рода кодексы. Но можно ли после февраля 2022 года еще говорить о «кодексе этичных исследователей» в мировом масштабе?
Алексей Антонов утверждает: «Да, вопросы этики в рамках ВВ всегда стояли достаточно остро. Компания, которая открыто приглашает хакеров к поиску своих проблем, всегда может столкнуться с ситуацией, когда те обнаружат критическую уязвимость и потом просто продадут ее на сторону. Гарантий здесь быть не может. Что касается текущей ситуации, конечно, риски еще выросли.
Сегодня это меньше связано с деньгами и больше — с этикой. На ресурсы в РФ теперь можно нападать, это даже поощряется. Обычная шкала этичности здесь больше не применяется».
Источник: bosfera.ru