Bug Bounty Programma

Met het Dash Core Group Bug Bounty programma kunnen ontwikkelaars bugs ontdekken en oplossen voordat het grote publiek op de hoogte is van dergelijke bugs, waardoor incidenten van wijdverbreid misbruik worden voorkomen. Als u een beveiligingsprobleem vindt in een van de hieronder genoemde producten, laat het ons dan onmiddellijk weten door dit te melden.

  • Mainnet
  • Dash Core Desktop Portemonnee
  • Dash Portemonnee voor Android
  • Dash Portemonnee iOS

Verantwoordelijke openbaarmaking

Aangezien dit een besloten programma is, dient u dit programma of eventuele kwetsbaarheden (ook zelfs opgeloste) niet buiten het programma te bespreken zonder uitdrukkelijke toestemming van de organisatie. Als je liever een versleutelde e-mail stuurt, kunt je de bovenstaande sleutel downloaden en dan de e-mail sturen naar infosec@dash.org.

Vereisten voor individuen

  • Je kunt geen contractuele verbintenis aangaan met DCG
  • Je kunt geen contractuele verbintenis aangaan met DIF
  • Je kun geen actieve Trust Protector zijn
  • Je kunt geen vergoeding van de incubator ontvangen voor dezelfde bug
  • Je moet basis KYC-informatie verstrekken (paspoort, identiteitsbewijs, enz.)
  • Ontvangers moeten een USD bankrekening of een Dash adres opgeven
  • Inwoners/burgers van OFAC beperkte landen kunnen bugs melden, maar komen niet in aanmerking voor een uitbetaling

Bounty beloningen

Het doel van het DCG Bounty programma is om significante kwetsbaarheden bloot te leggen die een directe en aantoonbare impact hebben op de veiligheid van onze gebruikers. Inzendingen van kwetsbaarheden moeten aan bepaalde criteria voldoen om in aanmerking te komen voor een beloning. Bounty beloningen zijn gebaseerd op een combinatie van prioriteit en ernst.

  • Niveau 1 (60 punten ) = $5,000
  • Niveau 2 (50 punten ) = $2,000
  • Niveau 3 (40 punten) = $750
  • Niveau 4 (30 punten) = $200
  • Niveau 5 (20 punten) = $50
Prioriteit
(Hoog)
Prioriteit
(Medium)
Prioriteit
(Laag)
Ernst
(Hoog)
60 punten
50 punten
40 punten
Beloning
$5,000
$2,000
$750
Ernst
(Medium)
50 punten
40 punten
30 punten
Beloning
$2,000
$750
$200
Ernst
(Laag)
40 punten
30 punten
20 punten
Beloning
$750
$200
$50

IN AANMERKING KOMENDE

  • Identificeer een kwetsbaarheid die niet eerder is gemeld is, of bekend is bij, DCG
  • Een dergelijke kwetsbaarheid moet reproduceerbaar zijn in een van de in-scope producten van DCG
  • produceer duidelijke, beknopte en reproduceerbare stappen, zowel schriftelijk als in videoformaat
    • Geef onze technici de informatie die nodig is om het probleem snel te reproduceren, te begrijpen en op te lossen

NIET IN AANMERKING KOMENDE

  • Kwetsbaarheden waarvoor root of jailbreak toegang nodig is om misbruik te maken, tenzij de root/jailbreak wordt geïnitieerd door de aanvaller nadat hij fysieke toegang tot het apparaat heeft gekregen
  • Bibliotheken van derden die geen eigendom zijn van DCG
Afbeelding met hoge ernst

Ernst hoog

30 punten

Kan geldverlies veroorzaken
Zonder apparaattoegang

Blootstelling aan privésleutel, blootstelling aan herstelzin, pincode-aanval/bypass

Afbeelding met medium ernst

Ernst medium

20 punten

Voorkomt het gebruik of de ontvangst van geld
Zonder apparaattoegang

Kan niet synchroniseren met de blockchain, aanhoudende fout bij het verzenden van Dash, kan geen transactie ontvangen die met succes naar het netwerk is verzonden

Inbreuk op privacy
Met apparaattoegang

Blootstelling aan privésleutel, blootstelling aan herstelzinnen, pincode-aanval/bypass, zichtbaarheid van saldo of transacties zonder de vereiste authenticatie

Afbeelding met lage ernst

Ernst laag

10 punten

saldo en transacties
Met apparaattoegang

Onjuist saldo, onvolledige transactiegeschiedenis die reproduceerbaar is, kan geen geldige portemonnee herstellen


 

Afbeelding met lage prioriteit

Prioriteit hoog

30 punten

Komt zeer waarschijnlijk voor, kan voorkomen op elk apparaatmodel en in elke lokalisatie met de nieuwste versie van het besturingssysteem, vereist geen installatie van extra software op het apparaat

Afbeelding met gemiddelde prioriteit

Prioriteit medium

20 punten

gemiddelde kans op optreden, kan alleen voorkomen op specifieke apparaatmodellen in elke lokalisatie met elke ondersteunde OS-versie, of kan optreden op elk apparaatmodel in een specifieke lokalisatie met elke ondersteunde OS-versie

Afbeelding met lage prioriteit

Prioriteit laag

10 punten

Lage waarschijnlijkheid van optreden, kan optreden op een specifiek apparaatmodel of een specifieke lokalisatie met een specifieke OS-versie

Bounty uitbetalingen

  • Beloningen worden uitbetaald in Dash op basis van de huidige prijs in USD op de datum/tijd van de oorspronkelijke inzending
    • Bedragen in Dash zijn gebaseerd op de naar volume gewogen gemiddelde prijs in USD zoals gepubliceerd op messari.io
  • Uitbetalingen dekken geen bank-/overboekingskosten
  • DCG neemt definitieve beslissingen met betrekking tot de ernst en prioriteitsscores