Программа Bug Bounty

С программой Bug Bounty от Dash Core Group разработчики могут обнаруживать и исправлять баги до того, как о них станет известно широкой публике, тем самым предотвращая случаи их злонамеренного использования. Если вы нашли уязвимость в безопасности любого упомянутого ниже продукта, пожалуйста, тут же сообщите нам об этом.

  • Основная сеть
  • Кошелёк Dash Core для компьютера
  • Dash Wallet на Android
  • Dash Wallet на iOS

Сообщите о найденной ошибке

Это конфиденциальная программа. Пожалуйста, не обсуждайте эту программу или любые уязвимости (даже уже устранённые) за пределами программы без разрешения организации. Если вы хотите подать заявку через зашифрованную почту, вы можете скачать ключ по ссылке выше и написать на infosec@dash.org.

Критерии отбора для частных лиц

  • У вас не должно быть никаких договорных отношений с DCG
  • У вас не должно быть никаких договорных отношений с DIF
  • Вы не можете быть действующим Попечителем Фонда
  • Нельзя получить баунти от инкубатора за один и тот же баг
  • Необходимо предоставить базовые личные данные (паспорт, местное удостоверение личности и т.д.)
  • Получатели должны предоставить номер счёта в банке США или адрес Dash на крупной бирже
  • Жители и резиденты стран, на которых распространяются ограничения OFAC, могут заявлять об ошибках, но не смогут получить выплату.

Баунти-вознаграждения

Цель баунти-программы от DCG — обнаружить значительные уязвимости, которые могут напрямую повлиять на безопасность пользователей. Для получения награды уведомление об уязвимости должно соответствовать определённым критериям. Размер награды зависит от приоритета и критичности уязвимости.

  • Уровень 1 (60 баллов) = $5,000
  • Уровень 2 (50 баллов) = $2,000
  • Уровень 3 (40 баллов) = $750
  • Уровень 4 (30 баллов) = $200
  • Уровень 5 (20 баллов) = $50
Приоритет
(Высокий)
Приоритет
(Средний)
Приоритет
(Низкий)
Серьёзность
(Высокая)
60 баллов
50 баллов
40 баллов
Вознаграждение
$5,000
$2,000
$750
Серьёзность
(Средняя)
50 баллов
40 баллов
30 баллов
Вознаграждение
$2,000
$750
$200
Серьёзность
(Низкая)
40 баллов
30 баллов
20 баллов
Вознаграждение
$750
$200
$50

ДОПУСТИМО

  • Уязвимость, о которой прежде не сообщалось, и которая ранее была неизвестна DCG
  • Эта уязвимость должна воспроизводиться в одном из соответствующих продуктов DCG
  • Чётко и кратко опишите шаги, которые можно воспроизвести, либо приложите видео
    • Предоставьте нашим инженерам всю необходимую информацию для того, чтобы быстро воспроизвести, понять и исправить проблему

НЕДОПУСТИМО

  • Уязвимости, для которых требуется права суперпользователя или перепрошивка, если только права суперпользователя или перепрошивка не были получены хакером после получения физического доступа к устройству
  • Сторонние библиотеки, владельцем которых не является DCG
High severity image

Высокая серьёзность

30 баллов

Может привести к потере средств
Без доступа к устройству

Кража приватного ключа, кража фразы восстановления, атака/обход пин-кода

Medium severity image

Средняя серьёзность

20 баллов

Не даёт использовать или получать средства
Без доступа к устройству

Невозможно синхронизироваться с блокчейном, постоянная ошибка при попытке отправить Dash, невозможно получить транзакцию, которая была успешно передана в сеть

Нарушение конфиденциальности
С доступом к устройству

Кража приватного ключа, кража фразы восстановления, атака/обход пин-кода, видимость баланса или транзакций без аутентификации

Low severity image

Низкая серьёзность

10 баллов

Баланс кошелька и транзакции
С доступом к устройству

Неправильный баланс, неполная история транзакций, невозможно восстановить работающий кошелёк


 

Low priority image

Высокий приоритет

30 баллов

Высокая вероятность появления, может появиться на всех моделях устройств и в любой локализации с самой поздней версией OS, не требует установки дополнительного программного обеспечения на устройстве

Medium priority image

Средний приоритет

20 баллов

Средняя вероятность появления, может появиться только на определённых моделях устройств в любой локализации и любой поддерживаемой версии OS; или может появиться на всех моделях устройств в определённой локализации с любой поддерживаемой версией OS

Low priority image

Низкий приоритет

10 баллов

Низкая вероятность появления; может появиться на отдельных моделях устройства или в определённой локализации с определённой версией OS

Выплаты баунти

  • Вознаграждения будут выплачены в Dash по курсу к USD на момент отправки сообщения
    • Суммы в Dash указаны на основе средневзвешенного курса USD на сайте messari.io
  • Выплате не будут включать компенсацию комиссий за банковское обслуживание и переводы
  • Все окончательные решения по оценке серьёзности и приоритетности остаются за DCG