最も簡単にセキュリティ研究者の作業を消す方法は五つの言葉：「私たちはすでに知っていた」。

タイムスタンプがなければ、それは防御ではない。それは書き換えだ。

@TermMaxFiは、その抜け穴をKnown Issue Assuranceを通じて免責金額の保証で閉じている。既知のバグは、研究者が報告する前に公開されたか、自己申告によって秘密裏に記録されている必要がある。

もしプロジェクトがその問題がすでに知られていたことを証明できなければ、有効な報告は範囲内に残り、報酬の対象となる。証明の負担は両方にある：研究者はPoCを持ち込み、プロジェクトは証拠を提出する。

Immunefiはトリアージを担当し、仲裁が有効になっており、どちらの側も事後にタイムラインを修正できない。これにより、バグバウンティは「プロジェクトが最終決定を下す」から「証拠に基づくプロセス」へと変わる。

これはすべての重複報告が支払われることを意味しない。公開監査ですでに開示された未修正の問題は除外されており、TermMaxが実際の紛争でこの条項を適用した証拠はない。

ポイントは予防的なものであり、ルールは金銭、評判、インセンティブが衝突する前に書かれている。

成熟したWeb3のセキュリティは、単により大きなバウンティ金額だけではない。それは、「私たちを信じて、私たちはすでに知っていた」と言ったときの適正な手続きだ。

「証拠なし、既知の問題防御なし」がすべての真剣な暗号バグバウンティのデフォルトルールになるべきだろうか。