Bug Bounty Programm

Das Dash Core Group Bug Bounty Programm erlaubt es Entwicklern, Bugs zu finden und zu lösen, bevor die Allgemeinheit von diesen Bugs erfährt, wodurch eine Ausnutzung dieser Bugs verhindert wird. Wenn du innerhalb der hier genannten Produkte eine Sicherheitslücke findest, kontaktiere uns bitte sofort.

  • Mainnet
  • Dash Core Desktop Wallet
  • Dash Wallet Android
  • Dash Wallet iOS

Responsible Disclosure

Da es sich hierbei um ein vertrauliches Programm handelt, bitten wir alle Teilnehmer, dieses Programm und etwaige Sicherheitslücken (auch behobene) nur mit ausdrücklicher Zustimmung der jeweiligen Organisation außerhalb des Programms zu diskutieren. Solltest du es bevorzugen, deine Anfrage über eine verschlüsselte E-Mail einzureichen, so kannst du den Schlüssel oben herunterladen und die Details an folgende Adresse senden infosec@dash.org.

Teilnahmevoraussetzungen für Einzelnutzer

  • Du darfst keine vertragliche Bindung mit DCG haben
  • Du darfst keine vertragliche Bindung mit der DIF haben
  • Du darfst kein aktiver Trust Protector sein
  • Du darfst keine Bounty vom Incubator für den selben Bug erhalten
  • Du musst einfache KYC-Informationen abgeben (Pass, Ausweis, etc.)
  • Empfänger müssen ein USD-Bankkonto oder eine Dash-Adresse bei einer großen Börse angeben
  • Einwohner / Staatsbürger von Ländern mit OFAC-Beschränkungen können Bugs melden, dürfen aber keinen Anspruch auf eine Zahlung erheben

Bounty-Belohnungen

Das Ziel des DCG Bounty Programm ist es, signifikante Schwachstellen zu entdecken, die einen direkten und nachweisbaren Einfluss auf die Sicherheit unserer Nutzer haben. Die Einsendung von Schwachstellen muss gewisse Anforderungen erfüllen, damit man Bounty-Belohnungen erhalten kann. Bounty-Belohungen basieren auf der Kombination aus Priorität und Schwierigkeit.

  • Level 1 (60 Punkte) = 5.000$
  • Level 2 (50 Punkte) = 2.000$
  • Level 3 (40 Punkte) = 750$
  • Level 4 (30 Punkte) = 200$
  • Level 5 (20 Punkte) = 50$
Priorität
(Hoch)
Priorität
(Mittel)
Priorität
(Gering)
Schweregrad
(Hoch)
60 Punkte
50 Punkte
40 Punkte
Belohnung
5.000$
2.000$
750$
Schweregrad
(Mittel)
50 Punkte
40 Punkte
30 Punkte
Belohnung
2.000$
750$
200$
Schweregrad
(Gering)
40 Punkte
30 Punkte
20 Punkte
Belohnung
750$
200$
50$

ZULÄSSIG

  • Identifiziere eine Schwachstelle, die bisher noch nicht gemeldet wurde oder der DCG noch nicht anderweitig bekannt war
  • Die Schwachstelle muss in einem der von DCG kontrollierten Produkte reproduzierbar sein
  • Gib eindeutige, präzise und reproduzierbare Schritte an, wahlweise in schriftlicher Form oder im Videoformat
    • Versorge unsere Entwickler mit den Informationen, die notwendig sind, um das Problem schnell zu reproduzieren, zu verstehen und zu beheben

UNZULÄSSIG

  • Schwachstellen, die Root-/Jailbreak-Zugriff erfordern, um ausgenutzt zu werden, außer der Root-/Jailbreak wird vom Angreifer initiiert, nachdem er sich physischen Zugang zum Gerät verschafft hat
  • Drittanbieter-Bibliotheken, die nicht der DCG gehören
High severity image

Schweregrad Hoch

30 Punkte

Kann zu Guthabenverlust führen
Ohne Gerätezugriff

Privater Schlüssel offengelegt, Wiederherstellungsphrase offengelegt, PIN-Code Angriff/Umgehung

Medium severity image

Schweregrad Mittel

20 Punkte

Verhindert die Verwendung oder den Empfang von Guthaben
Ohne Gerätezugriff

Kann nicht mit der Blockchain synchronisieren, ständiger Fehler beim Versuch, Dash zu versenden, kann keine Transaktion empfangen, die erfolgreich an das Netzwerk übermittelt wurde

Eingriff in die Privatsphäre
Mit Gerätezugriff

Privater Schlüssel offengelegt, Wiederherstellungsphrase offengelegt, PIN-Code Angriff/Umgehung, Sichtbarkeit des Guthabens oder der Transaktionen ohne notwendige Authentifizierung

Low severity image

Schweregrad Gering

10 Punkte

Wallet-Guthaben und -Transaktionen
Mit Gerätezugriff

Falsches Guthaben, lückenhafter Transaktionsverlauf, der wiederhergestellt werden kann, gültige Wallet kann nicht wiederhergestellt werden


 

Low priority image

Priorität Hoch

30 Punkte

Sehr wahrscheinlich, kann auf jedem Gerätemodell und in jeder Sprachversion mit der neuesten Betriebssystemversion auftreten, wobei keine zusätzliche Software auf dem Gerät installiert werden muss

Medium priority image

Priorität Mittel

20 Punkte

Mittlere Wahrscheinlichkeit, kann nur bei bestimmten Gerätemodellen in einer beliebigen Sprach- und unterstützten Betriebssystemversion auftreten oder bei jedem Gerätemodell in einer bestimmten Sprach- und unterstützten Betriebssystemversion auftreten

Low priority image

Priorität Gering

10 Punkte

Geringe Wahrscheinlichkeit, kann auf einem bestimmten Gerätemodell oder mit einer bestimmten Sprachversion und einer bestimmten Betriebssystemversion auftreten

Bounty-Zahlungen

  • Zahlungen werden in Dash ausbezahlt, wobei der USD-Preis zum Zeitpunkt der ursprünglichen Meldung verwendet wird
    • Die Dash-Beträge beziehen sich auf den volumengewichteten durchschnittlichen USD-Preis, der auf messari.io veröffentlicht wird.
  • Zahlungen beinhalten keine Bank-/Transfer-Gebühren
  • Die entgültige Entscheidung in Bezug auf Schweregrad und Priorität wird von DCG getroffen