Програма винагороди за помилки

Програма Dash Core Group Bug Bounty дозволяє розробникам виявляти та виправляти помилки до того, як широка громадськість дізнається про них, запобігаючи випадкам широкого порушення. Якщо ви виявите вразливість у безпеці будь-якого зі згаданих нижче продуктів, будь ласка, негайно повідомте нас про це.

  • Mainnet
  • Настільний гаманець Dash Core
  • Dash Wallet Android
  • Dash Wallet iOS

Відповідальне розкриття інформації

Оскільки це приватна програма, будь ласка, не обговорюйте цю програму чи будь-які вразливості (навіть вирішені) поза програмою без чіткої згоди організації. Якщо ви бажаєте надіслати зашифровану електронну пошту, ви можете завантажити ключ вище та надіслати деталі на адресу infosec@dash.org.

Вимоги до фізичних осіб

  • Ви не можете мати жодних контрактів із DCG
  • Ви не можете мати жодних договірних відносин із DIF
  • Ви не можете бути активним захисником довіри
  • Ви не можете отримати винагороду від інкубатора за ту саму помилку
  • Ви повинні надати основну інформацію KYC (паспорт, місцеве посвідчення особи тощо)
  • Одержувачі повинні надати банківський рахунок у доларах США або адресу Dash на головній біржі
  • Резиденти/громадяни країн з обмеженнями OFAC можуть повідомляти про помилки, але не матимуть права на виплату

Нагороди

Метою програми DCG Bounty є виявлення значних уразливостей, які мають прямий і очевидний вплив на безпеку наших користувачів. Надсилання вразливостей має відповідати певним критеріям, щоб мати право на винагороду. Винагороди баунті базуються на комбінації пріоритету та серйозності.

  • Рівень 1 (60 балів) = $5000
  • Рівень 2 (50 балів) = $2000
  • Рівень 3 (40 балів) = $750
  • Рівень 4 (30 балів) = $200
  • Рівень 5 (20 балів) = $50
Пріорітет
(Високий)
Пріорітет
(Середній)
Пріорітет
(Низький)
Серйозність
(Висока)
60 балів
50 балів
40 балів
Нагорода
$5,000
$2,000
$750
Серйозність
(Середня)
50 балів
40 балів
30 балів
Нагорода
$2,000
$750
$200
Серйозність
(Низька)
40 балів
30 балів
20 балів
Нагорода
$750
$200
$50

ВІДПОВІДНО

  • Визначте вразливість, про яку раніше не повідомлялося в DCG або іншим чином не було відомо DCG
  • Така вразливість повинна бути відтворена в одному з продуктів, які розглядаються DCG
  • Включайте чіткі, лаконічні та відтворювані кроки в письмовій формі або у відеоформаті
    • Надайте нашим інженерам інформацію, необхідну для швидкого відтворення, розуміння та вирішення проблеми

НЕБАЖАНО

  • Уразливості, для використання яких потрібен доступ root/джейлбрейк, якщо зловмисник не ініціює root/джейлбрейк після отримання фізичного доступу до пристрою
  • Бібліотеки сторонніх розробників, які не належать DCG
High severity image

Високий ступінь тяжкості

30 балів

Може призвести до втрати коштів
Без доступу до пристрою

Розкриття закритого ключа, розкриття фрази відновлення, атака/обхід пін-коду

Medium severity image

Серйозність середня

20 балів

Перешкоджає використанню або отриманню коштів
Без доступу до пристрою

Неможливо синхронізувати з ланцюжком, постійна помилка під час спроби надіслати Dash, неможливо отримати транзакцію, яка була успішно надіслана в мережу

Порушення конфіденційності
З доступом до пристрою

Розкриття закритого ключа, відкриття фрази відновлення, атака/обхід пін-коду, видимість балансу чи транзакції без необхідної автентифікації

Low severity image

Серйозність низька

10 балів

Баланс гаманця та транзакції
З доступом до пристрою

Неправильний баланс, неповна історія транзакцій, яку можна відтворити, неможливо відновити дійсний гаманець


 

Low priority image

Високий пріоритет

30 балів

Дуже ймовірно, може виникнути на кожній моделі пристрою та в будь-якій локалізації з останньою версією ОС, не потребує встановлення додаткового програмного забезпечення на пристрої

Medium priority image

Середній пріоритет

20 балів

Помірна ймовірність виникнення, може виникнути лише на певних моделях пристроїв у будь-якій локалізації з будь-якою підтримуваною версією ОС або може виникнути на кожній моделі пристрою в певній локалізації з будь-якою підтримуваною версією ОС

Low priority image

Низький пріоритет

10 балів

Низька ймовірність появи, може статися на конкретній моделі пристрою або конкретній локалізації з певною версією ОС

Баунті виплати

  • Нагороди буде виплачено в Dash на основі поточної ціни в доларах США на дату/час початкової подачі
    • Суми Dash базуються на середньозваженій за обсягом ціні в доларах США, опублікованій на messari.io
  • Виплати не покриватимуть банківські комісії/комісії за переказ
  • DCG прийматиме будь-які остаточні рішення щодо оцінки серйозності та пріоритетності