انتقادات لبرنامج مكافآت الثغرات في Circle بعد تحديد سقف 5000 دولار
جدل حول عدالة مكافآت الأمن في مشروع Arc مع توسع اختبار الشبكة العامة
تواجه شركة Circle موجة انتقادات بعد تحديد سقف أقصى يبلغ 5000 دولار فقط للمكافآت الخاصة باكتشاف الثغرات الأمنية الحرجة في برنامج bug bounty المرتبط بمشروع Arc، وهو بلوكشين من الطبقة الأولى تم إطلاق شبكته التجريبية للعامة مؤخراً.
جاء هذا الجدل في وقت تفتح فيه الشركة كود المشروع وبرمجيات تشغيل العقد أمام المراجعة العامة، بهدف تعزيز الأمان قبل الإطلاق الرسمي للشبكة الرئيسية.
برنامج Arc الأمني يثير الجدل
وصف مشروع Arc نفسه بأنه “نظام اقتصادي للإنترنت”، ويهدف إلى دعم العملات المستقرة والأصول المرمزة والبنية التحتية للأسواق العالمية على شبكة موحدة.
لكن التركيز الأكبر كان على هيكل المكافآت، حيث أظهرت البيانات أن أعلى مكافأة للثغرات الحرجة تتراوح بين 3000 و5000 دولار فقط، وهو ما اعتبره العديد من الباحثين غير متناسب مع خطورة الثغرات المحتملة في أنظمة مالية بهذا الحجم.
الباحث الأمني ZachXBT كان من أبرز المنتقدين، حيث أشار إلى أن هذا السقف منخفض جداً مقارنة بقيمة المخاطر، واعتبر أن بعض الباحثين قد يتجاهلون الإبلاغ أو يبحثون عن طرق بديلة للاستفادة من الثغرات.
تفاصيل مستويات المكافآت
يتدرج نظام المكافآت في برنامج Circle كالتالي:
الثغرات الحرجة: بين 3000 و5000 دولار، وتمثل حوالي 6.90% من التقارير.
الثغرات عالية الخطورة: بين 800 و3000 دولار، وتمثل أيضاً 6.90%.
الثغرات المتوسطة: بين 400 و800 دولار، وهي النسبة الأكبر وتشكل 44.83% من التقارير.
الثغرات منخفضة الخطورة: بين 150 و400 دولار، وتمثل 41.38%.
هذا التوزيع أظهر أن معظم التقارير تقع ضمن الفئات منخفضة ومتوسطة الخطورة، بينما تبقى المكافآت الأعلى محدودة جداً.
سياسات المراجعة والاستجابة
حددت Circle إطاراً زمنياً لمعالجة التقارير، يبدأ باستجابة أولية خلال خمسة أيام عمل من تقديم التقرير.
ثم يتم إجراء التقييم الفني خلال عشرة أيام عمل، يليها اتخاذ قرار المكافأة خلال عشرة أيام إضافية بعد التقييم.
وأوضحت الشركة أن وقت الإصلاح يعتمد على تعقيد المشكلة وخطورتها.
كما فرضت شروطاً صارمة على تقديم التقارير، مثل ضرورة أن يتضمن كل تقرير ثغرة واحدة فقط، إلا إذا كان الترابط ضرورياً لإثبات التأثير.
وفي حال وجود تقارير مكررة، يتم اعتماد أول تقرير قابل للتكرار فقط.
كما شددت على أن الثغرات المرتبطة بنفس السبب الجذري تُعامل كحالة واحدة فقط.
قيود المشاركة
يشترط البرنامج أن يكون المشاركون بعمر 18 عاماً على الأقل، مع الالتزام بالقوانين المحلية والدولية.
كما يستثني موظفي Circle وأقاربهم المباشرين، إضافة إلى المقيمين في مناطق خاضعة للعقوبات الأمريكية أو المدرجين في قوائم الحظر.
وبمجرد تقديم التقرير، يمنح المشاركون الشركة حقوقاً واسعة لاستخدام ومشاركة محتوى البلاغات.
خلاصة
أثار برنامج مكافآت الثغرات الخاص بـ Circle جدلاً واسعاً بسبب سقف المكافآت المنخفض نسبياً، خصوصاً في ظل طبيعة مشروع Arc الذي يستهدف بناء بنية تحتية مالية عالمية.
ورغم أن الشركة تهدف إلى تعزيز أمان الشبكة قبل الإطلاق، إلا أن النقاش لا يزال مستمراً حول مدى كفاية الحوافز المقدمة للباحثين الأمنيين.
