Bug Bounty Program

Il programma Bug Bounty di Dash Core Group consente agli sviluppatori di scoprire e risolvere i bug prima che il pubblico sia a conoscenza di tali bug, prevenendo episodi di abuso. Se trovi una vulnerabilità di sicurezza su uno dei prodotti nell’ambito di applicazione menzionati di seguito, faccelo sapere immediatamente segnalandolo.

  • Mainnet
  • Dash Core Desktop Wallet
  • Dash Wallet Android
  • Dash Wallet iOS

Divulgazione responsabile

Poiché si tratta di un programma privato, non discutere di questo programma o di eventuali vulnerabilità (anche risolte) al di fuori del programma senza il consenso esplicito dell’organizzazione. Se preferisci inviare tramite un’e-mail crittografata, puoi scaricare la chiave sopra e inviare i dettagli via e-mail a ainfosec@dash.org.

Requisiti di idoneità per gli individui

  • Non puoi avere alcun impegno contrattuale con DCG
  • Non puoi avere alcun impegno contrattuale con il DIF
  • Non puoi essere un Trust Protector attivo
  • Non puoi ricevere una taglia da incubator per lo stesso bug
  • È necessario fornire le informazioni KYC di base (passaporto, ID locale, ecc.)
  • I destinatari devono fornire un conto bancario in USD o un indirizzo Dash presso un Exchange importante
  • I residenti/cittadini dei paesi soggetti a restrizioni OFAC possono segnalare bug ma non avranno diritto a un pagamento

Bounty Rewards

L’obiettivo del programma DCG Bounty è scoprire vulnerabilità significative che hanno un impatto diretto e dimostrabile sulla sicurezza dei nostri utenti. Le segnalazioni di vulnerabilità devono soddisfare determinati criteri per poter beneficiare di ricompense. Le ricompense delle taglie si basano su una combinazione di priorità e gravità.

  • Livello 1 (60 Punti) = $5,000
  • Livello 2 (50 Punti) = $2,000
  • Livello 3 (40 Punti) = $750
  • Livello 4 (30 Punti) = $200
  • Livello 5 (20 Punti) = $50
Priorità
(Alta)
Priorità
(Media)
Priorità
(Bassa)
Severità
(Alta)
60 punti
50 punti
40 punti
Ricompensa
$5,000
$2,000
$750
Severità
(Media)
50 punti
40 punti
30 punti
Ricompensa
$2,000
$750
$200
Severità
(Bassa)
40 punti
30 punti
20 punti
Ricompensa
$750
$200
$50

IDONEO

  • Identificare una vulnerabilità che non è stata segnalata in precedenza o altrimenti nota a DCG
  • Tale vulnerabilità deve essere riproducibile in uno dei prodotti inclusi nell’ambito di DCG
  • Includere passaggi chiari, concisi e riproducibili, sia per iscritto che in formato video
    • Fornire ai nostri ingegneri le informazioni necessarie per riprodurre, comprendere e risolvere rapidamente il problema

INAMMISSIBILE

  • Vulnerabilità che richiedono l’accesso root/jailbreak per essere sfruttate a meno che il root/jailbreak non venga avviato dall’attaccante dopo aver ottenuto l’accesso fisico al dispositivo
  • Librerie di terze parti non di proprietà di DCG
High severity image

Gravità alta

30 Punti

Potrebbe causare una perdita di fondi
Senza un accesso al dispositivo

Esposizione chiave privata, esposizione frase di ripristino, attacco/bypass codice pinEsposizione chiave privata, esposizione frase di ripristino, attacco/bypass codice pin

Medium severity image

Gravità Media

20 Punti

Impedisce l'utilizzo o la ricezione di fondi
Senza un accesso al dispositivo

Impossibile sincronizzare con la catena, errore persistente durante il tentativo di inviare Dash, impossibile ricevere una transazione inviata correttamente alla rete

Violazione della privacy
Con accesso al dispositivo

Esposizione della chiave privata, esposizione della frase di ripristino, attacco/bypass del codice pin, visibilità del saldo o della transazione senza l'autenticazione richiesta

Low severity image

Gravità bassa

10 Punti

Saldo del portafoglio e transazioni
Con accesso al dispositivo

Saldo errato, cronologia delle transazioni incompleta che è riproducibile, non è possibile recuperare un portafoglio valido


 

Low priority image

Priorità Alta

30 Punti

Molto probabile che si verifichi, può verificarsi su ogni modello di dispositivo e in qualsiasi localizzazione con l'ultima versione del sistema operativo, non richiede l'installazione di software aggiuntivo sul dispositivo

Medium priority image

Priorità Media

20 Punti

Moderata probabilità che si verifichi, può verificarsi solo su modelli di dispositivo specifici in qualsiasi localizzazione con qualsiasi versione del sistema operativo supportata o può verificarsi su ogni modello di dispositivo in una localizzazione specifica con qualsiasi versione del sistema operativo supportata

Low priority image

Priorità Bassa

10 Punti

Bassa probabilità che si verifichi, può verificarsi su un modello di dispositivo specifico o una localizzazione specifica con una versione del sistema operativo specifica

Pagameni Bounty

  • I premi verranno pagati in Dash in base al prezzo corrente in USD alla data/ora dell’invio originale
    • Gli importi dei trattini si basano sul prezzo medio in USD ponderato per il volume pubblicato su messari.io
  • I pagamenti non copriranno le commissioni bancarie/di trasferimento
  • DCG prenderà tutte le decisioni finali in merito alla gravità e al punteggio di priorità