漏洞奖励计划

Dash Core Group漏洞奖励计划让开发者们在公众意识到漏洞前发现并修复漏洞, 以防止广泛的滥用事件 . 如果您在下面提及的任何范围产品中找到安全漏洞, 请通过报告来告知我们.

  • 主网
  • Dash Core 桌面钱包
  • Dash 安卓钱包
  • Dash iOS钱包

有责任的漏洞披露

由于这是一个个人计划, 未经组织明确同意, 请不要对外讨论此程序或程序之外的任何漏洞(即使是已修复的漏洞). 如果您更愿意通过加密电子邮件提交, 您可以下载上面的密钥并将详细信息通过电子邮件发送至 infosec@dash.org.

对个人的资格要求

  • 您不能与DCG有任何合约关系
  • 您不能与DIF有任何合约关系
  • 您不能是现任的信托保护人
  • 您不能从孵化器获得相同漏洞的悬赏
  • 您必须提供基本的KYC信息 (护照, 本地 ID, 等等.)
  • 收款人必须提供USD银行账户或主流交易所Dash钱包地址
  • OFAC受限国家地区的居民/公民可以提交漏洞, 但无法获得奖金

赏金奖励

DCG赏金计划的目标是寻找那些对我们用户的安全有直接和明显影响的重大漏洞. 漏洞提交必须满足特定标准才有资格获得赏金奖励. 赏金奖励的多少是基于优先级和严重性两个要素组合而定.

  • 1级 (60 积分) = $5,000
  • 2级 (50 积分) = $2,000
  • 3级 (40 积分) = $750
  • 4级 (30 积分) = $200
  • 5级 (20 积分) = $50
优先级
(高)
优先级
(中)
优先级
(低)
严重程度
(高)
60 积分
50 积分
40 积分
奖励
$5,000
$2,000
$750
严重程度
(中)
50 积分
40 积分
30 积分
奖励
$2,000
$750
$200
严重程度
(低)
40 积分
30 积分
20 积分
奖励
$750
$200
$50

合格条件

  • 发现以前从未向DCG报告提交或其他DCG尚未发现的漏洞
  • 此漏洞必须可以在DCG的产品中重现
  • 包含清楚, 简略和可重现的步骤, 无论是书面形式还是视频形式
    • 为我们的工程师提供快速重现, 理解和解决问题所需的信息

不符合要求的漏洞

  • 需要 root/jailbreak 访问权限才能利用的漏洞, 除非攻击者在获得对设备的物理访问权限后启动
  • 不属于DCG的第三方资源库
High severity image

严重程度高

30 积分

能够导致资金损失
未通过设备访问

私钥曝光, 恢复助记词曝光, pin码攻击/绕过

Medium severity image

严重程度中

20 积分

阻碍使用或接收资金
未通过设备访问

无法与区块链同步, 当尝试发送DASH时持续出现错误, 无法接收已经成功提交到网络的交易

违反隐私
通过设备访问

私钥曝光, 恢复助记词曝光, pin码攻击/绕过, 未经授权可查看余额或交易

Low severity image

严重程度低

10 积分

钱包余额和交易
通过设备访问

错误余额, 可重现的不完整交易记录, 无法恢复有效钱包


 

Low priority image

优先级高

30 积分

很可能发生, 可能在任何设备型号和任何本地最新OS版本中发生, 无需在设备安装额外的软件

Medium priority image

优先级中

20 积分

发生可能性中等,只可能发生在具有任何受支持操作系统版本的任何本地化特定设备型号上,或者可能发生在具有任何受支持操作系统版本的特定本地化每个设备型号上

Low priority image

优先级低

10 积分

发生可能性很小, 仅在一特定设备型号或某一特定本地化的特定OS版本

赏金支付方式

  • 奖励将根据原始提交日期/时间的美元价格以Dash支付
    • Dash的金额取决于messari.com上发布的成交量加权平均美元价格
  • 付款将不包括任何银行/转账费用
  • DCG将就严重性和优先级评分做出任何最终决定