Programme de récompense de signalement de bugs

Le programme de récompense de signalement de bugs, mené par Dash Core Group, permet aux développeurs de découvrir et de corriger des bugs avant que le grand public n’en soit informé, ce qui permet d’éviter les problèmes d’abus à grande échelle. Si vous découvrez une faille de sécurité sur n’importe lequel des produits mentionnés ci-dessous, veuillez nous le faire savoir en nous le signalant.

  • Réseau principal
  • Portefeuille de bureau Dash Core
  • Portefeuille Dash Wallet pour Android
  • Portefeuille Dash Wallet pour iOS

Divulgation responsable

Comme il s’agit d’un programme privé, veuillez ne pas débattre de ce programme ou d’une vulnérabilité (même si elle est résolue) en-dehors du programme lui-même, sans l’accord explicite de l’organisation. Si vous préférez nous écrire par un système d’e-mail chiffré, vous pouvez télécharger ci-dessous la clé et envoyer votre message détaillé à infosec@dash.org.

Obligations d’éligibilité pour les individus

  • Vous ne pouvez pas être contractuellement engagé avec DCG
  • Vous ne pouvez pas être contractuellement engagé avec la DIF
  • Vous ne pouvez pas être un protecteur du Trust
  • Vous ne pouvez pas recevoir de la part de l’Incubator une récompense pour le même bug
  • Vous devez fournir des informations KYC de base (passeport, document d’identité local, etc.)
  • Les destinataires doivent fournir un compte bancaire en dollars américains, ou bien une adresse Dash sur une plateforme de change majeure
  • Les résidents ou citoyens de pays à restriction OFAC peuvent reporter des bugs mais ne pourront pas recevoir de récompense

Récompenses

Le but du programme de récompenses de DCG est de découvrir des failles significatives qui ont un impact direct et démontrable sur la sécurité de nos utilisateurs. Les signalements de vulnérabilités doivent correspondre à certains critères pour être éligibles à nos récompenses. Les récompenses se basent sur une combinaison de priorité et de sévérité.

  • Niveau 1 (60 points) = $5000
  • Niveau 2 (50 points) = $2000
  • Niveau 3 (40 points) = $750
  • Niveau 4 (30 points) = $200
  • Niveau 5 (20 points) = $50
Priorité
(Haute)
Priorité
(Moyenne)
Priorité
(Basse)
Sévérité
(Haute)
60 points
50 points
40 points
Récompense
$5000
$2000
$750
Sévérité
(Moyenne)
50 points
40 points
30 points
Récompense
$2000
$750
$200
Sévérité
(Basse)
40 points
30 points
20 points
Récompense
$750
$200
$50

ÉLIGIBLE

  • Identifiez une faille qui n’a pas jamais été mentionnée auparavant, ni connue de DCG
  • Une telle vulnérabilité doit être reproductible dans l’un des produits publics de DCG
  • Décrivez des étapes claires, concises et reproductibles, soit par écrit, soit au format vidéo
    • Fournissez à nos ingénieurs les informations nécessaires pour reproduire rapidement, comprendre et corriger le problème

INÉLIGIBLE

  • Les failles qui ont besoin d’un accès root/jailbreak pour être exploitées, sauf si le root/jailbreak est acquis par l’attaquant après son accès physique à l’appareil
  • Les bibliothèques de tierce partie qui ne sont pas la propriété de DCG
High severity image

Sévérité haute

30 points

Pourrait entraîner une perte de fonds
Sans accès à l'appareil

Exposition d'une clé privée ou d'une phrase de récupération, attaque ou contournement d'un code PIN

Medium severity image

Sévérité moyenne

20 points

Empêche l'utilisation ou la réception de fonds
Sans accès à l'appareil

Synchronisation impossible avec la chaîne, erreur récurrente en essayant d'envoyer des dashs, impossibilité de recevoir une transaction qui a été soumise avec succès au réseau

Rupture de confidentialité
Avec accès à l'appareil

Exposition d'une clé privée ou d'une phrase de récupération, attaque ou contournement d'un code PIN, solde ou transaction visible sans l'authentification requise

Low severity image

Sévérité basse

10 points

Solde et transactions du portefeuille
Avec accès à l'appareil

Solde incorrect, historique incomplet de transactions qui est reproductible, impossibilité de récupérer un portefeuille valide


 

Low priority image

Priorité haute

30 points

Événement très susceptible d'avoir lieu, peut avoir lieu sur n'importe quel type d'appareil et n'importe où avec la plus récente version d'OS, n'implique pas l'installation d'un logiciel supplémentaire sur l'appareil

Medium priority image

Priorité moyenne

20 points

Événement moyennement susceptible d'avoir lieu, peut seulement avoir lieu sur certains modèles d'appareils et n'importe où avec n'importe quelle version d'OS compatible, ou peut avoir lieu sur n'importe quel modèle d'appareil dans une langue particulière avec n'importe quelle version d'OS compatible

Low priority image

Priorité basse

10 points

Événement peu susceptible d'avoir lieu, peut se produire sur un modèle d'appareil spécifique, ou dans une langue spécifique, ou avec une version d'OS spécifique

Paiements des récompenses

  • Les récompenses seront payées en dashs, sur la base du cours en dollars américains le jour et l’heure du signalement originel
    • Les montants Dash sont basés sur le cours USD moyen publié par messari.io
  • Les paiements ne couvriront pas d’éventuels frais bancaires ou de virement
  • Toutes les décisions finales, relatives au score de sévérité et de priorité, reviennent à DCG