最简单的抹除安全研究员工作的方式就是五个字：“我们早就知道了。”

没有时间戳，这不算是防御。这是一种改写。

@TermMaxFi 通过其 Immunefi 奖励计划中的已知问题保障，关闭了这个漏洞。已知漏洞必须在研究员提交之前，已公开披露或通过自我报告的提交方式私下记录。

如果项目无法证明该问题已被知晓，那么有效的报告仍在范围内，应获得奖励。举证责任双方都要承担：研究员提供证据；项目提供凭证。

Immunefi 负责分类，启用仲裁，双方都不能在事后更改时间线。这将漏洞赏金从“项目拥有最终决定权”变成了一个基于证据的流程。

这并不意味着每个重复报告都能获得报酬。已在公开审计中披露且未修复的问题被排除在外，目前没有公开证据表明 TermMax 在实际争议中不得不援引此条款。

重点在于预防：规则在金钱、声誉和激励冲突之前就已制定。

成熟的 Web3 安全不仅仅是更高的悬赏金额。它是当有人说“相信我们，我们早就知道”时的正当程序。

“没有凭证、没有已知问题防御”是否应成为每个严肃加密货币漏洞赏金的默认规则？