버그 바운티 프로그램

개발자는 대시 코어 그룹의 버그 바운티 프로그램을 통해 일반 대중이 알아차리기 전 버그를 발견하고 해결하여 악용 사고가 널리 퍼지는 것을 방지합니다. 아래 제품 전반에서 보안과 관련된 취약점을 발견한다면, 우리에게 바로 알려주세요.

  • 메인넷
  • 대시 코어 데스크톱 지갑
  • 대시 지갑 안드로이드
  • 대시 지갑 iOS

책임 공시

이는 사적인 프로그램이므로 단체의 명백한 동의 없이 프로그램 외부에 해당 프로그램에 관해 논의하거나 (이미 해결된 것이라 하더라도) 취약점에 관해 다루어서는 안됩니다. 원하는 경우, 암호화된 이메일을 통해 제출할 수 있습니다. 상단에서 키를 다운받고 infosec@dash.org 로 세부 내용을 실어 메일을 보내주십시오.

개인 적합 요건

  • DCG와 어떤 계약 관계도 있어서는 안됩니다.
  • DIF와 어떤 계약 관계도 있어서는 안됩니다.
  • 활동 중인 신탁 보호자 (Trust Protector) 여서는 안됩니다.
  • 동일한 버그에 관하여 인큐베이터로부터 바운티를 받아서는 안됩니다.
  • 기본적 KYC 정보 (여권, 신분증 등) 을 제공하여야 합니다.
  • 수령인은 USD 은행 계좌 혹은 주요 거래소의 대시 주소를 제공해야 합니다.
  • OFAC (외국자산통제국) 의 거주자이거나 시민인 경우 버그를 신고할 수는 있지만 이에 대한 지불을 받을 수는 없습니다.

바운티 보상

DCG 바운티 프로그램의 목표는 우리 사용자의 보안에 직접적이고도 명백한 영향을 미칠 수 있는 중요 취약점을 찾아내는 것입니다. 제출되는 취약점이 바운티 보상을 받기 위해서는 일정한 수준에 도달해야 합니다. 바운티 보상은 우선성과 중대성을 바탕으로 산정됩니다.

  • 레벨 1 (60 포인트) = $5,000
  • 레벨 2 (50 포인트) = $2,000
  • 레벨 3 (40 포인트) = $750
  • 레벨 4 (30 포인트) = $200
  • 레벨 5 (20 포인트) = $50
우선성
(높음)
우선성
(중간)
우선성
(낮음)
중대성
(높음)
60 포인트
50 포인트
40 포인트
보상
$5,000
$2,000
$750
중대성
(중간)
50 포인트
40 포인트
30 포인트
보상
$2,000
$750
$200
중대성
(낮음)
40 포인트
30 포인트
20 포인트
보상
$750
$200
$50

자격

  • 이전에 알려지지 않았거나 DCG가 인지하고 있지 않은 취약점을 밝혀내세요.
  • 이러한 취약점은 DCG의 한정적 제품 내 재현성이 있어야 합니다.
  • 간단 명료하고 재현성있는 단계를 서면이나 비디오 형태로 작성해주세요.
    • 우리의 엔지니어들이 빠르게 재현하고 이해하여 이슈를 수정할 수 있도록 필요한 정보를 전달해주세요.

자격

  • 공격에 루트/탈옥 접근을 요구하는 취약점. 공격자가 기기에 물리적으로 접근한 후 루트/탈옥을 설치하는 경우를 제외합니다.
  • DCG가 소유하지 않는 제3자 라이브러리
High severity image

중대성 높음

30 포인트

자금의 손실을 야기할 수 있음
기기 접근 없이

개인 키 노출, 복구 문구 노출, 핀 코드 공격/우회

Medium severity image

중대성 중간

20 포인트

자금의 사용 혹은 수령 방해
기기 접근 없이

체인과 동기화 할 수 없음, 대시 송금시 지속적 에러, 네트워크에 성공적으로 제출된 거래를 수신할 수 없음

프라이버시 위반
기기 접근 동반

개인 키 노출, 복구 문구 노출, 핀 코드 공격/우회, 필요한 인증 없이 잔고 혹은 거래 노출

Low severity image

중대성 낮음

10 포인트

지갑 잔고 및 거래
기기 접근 동반

잘못된 잔고, 완전하지 않은 거래 내역이 재현되는 경우, 유효한 지갑을 복구할 수 없음


 

Low priority image

우선성 높음

30 포인트

발생할 확률이 높음, 모든 기기 모델에서 발생할 수 있음, 최신 OS 버전의 모든 로컬 버전에서 일어날 수 있음, 기기에 추가적 소프트웨어 설치가 필요하지 않음.

Medium priority image

우선성 중간

20 포인트

중간 정도의 발생 가능성, 모든 지원되는 OS 버전의 모든 로컬 버전 중 특정 기기 모델에서만 일어나거나 모든 지원되는 OS 버전의 특정 로컬 버전의 모든 기기에서 일어날 수 있음.

Low priority image

우선성 낮음

10 포인트

일어날 가능성이 낮음, 특정 기기 모델에서만 일어나거나 특정 OS 버전의 특정 로컬 버전에서만 일어날 수 있음.

바운티 지불

  • 보상은 제출 당시의 일자/시간에 따른 대시의 당시 USD 가격을 기초로 지불됩니다.
    • 대시 금액은 messari.io에 공시된 볼륨 가중 평균 USD 가격을 기반으로 합니다.
  • 은행/전송 수수료는 수령인 부담입니다.
  • DCG는 중대성과 우선성 지수에 관한 최종 결정을 내립니다.