漏洞賞金計劃

達世幣核心小組漏洞賞金計劃使開發人員可以在公眾意識到各種漏洞之前發現並解決這些漏洞,從而避免了廣氾濫用的事件。 如果您發現以下提到的任何範圍內產品上的安全漏洞,請通過報告立即告知我們。

  • 主網
  • 達世幣核心桌面錢包
  • 達世幣錢包安卓
  • 達世幣錢包 iOS

負責任的披露

由於這是一個私人程式,未經組織明確同意,請不要對外討論此程式或程式之外的任何漏洞 (甚至已解決的漏洞)。 如果您更喜歡通過加密電子郵件提交,您可以下載上面的密鑰並將詳細信息通過電子郵件發送至 infosec@dash.org.

對個人的資格要求

  • 您不能與 DCG 有任何合約關係
  • 您不能與 DIF 有任何合約關係
  • 您不能是活躍的信任保護者
  • 您無法從孵化器獲得相同錯誤的賞金
  • 您必須提供基本的 KYC 信息 (護照、當地身份證等)
  • 收款人必須提供美元銀行賬戶或在主要交易所中的達世幣位址
  • OFAC 受限國家的地區的居民/公民可以報告錯誤,但沒有資格獲得獎金

賞金獎勵

DCG 賞金計畫的目標是發現對我們用戶的安全有直接且明顯影響的重大漏洞。漏洞提交必須符合一定的標準才有資格獲得獎金。賞金獎勵是基於該漏洞的優先順序和嚴重性的程度。

  • 1 級 (60 Points) = $5,000
  • 2 級 (50 Points) = $2,000
  • 3 級(40 Points) = $750
  • 4 級(30 Points) = $200
  • 5 級(20 Points) = $50
優先級別
(高)
優先級別
(中等)
優先級別
(低)
嚴重程度
(高)
60 分
50 分
40 分
報酬
$5,000
$2,000
$750
嚴重程度
(中等)
50 分
40 分
30 分
報酬
$2,000
$750
$200
嚴重程度
(低)
40 分
30 分
20 分
報酬
$750
$200
$50

合資格的條件

  • 識別以前未向 DCG 報告或其他 DCG 尚未知道的漏洞
  • 此類漏洞必須可在 DCG 的範圍內產品之一中重現
  • 包含清晰、簡潔和可重複的步驟,無論是書面形式還是視頻格式
    • 為我們的工程師提供快速重現、理解和解決問題所需的信息

不符合要求的漏洞

  • 需要 root/jailbreak 訪問權限才能利用的漏洞,除非攻擊者在獲得對設備的物理訪問權限後啟動 root/jailbreak。
  • 不屬於 DCG 的第三方函式庫
High severity image

嚴重程度高

30 分

可能導致資金遺失
沒有設備的訪問

私鑰暴露、恢復詞組暴光、密碼攻擊/繞過

Medium severity image

嚴重程度中等

20 分

防礙使用或接收資金
沒有設備的訪問

無法與區塊鏈同步,嘗試發送達世幣時持續出錯,無法接收成功提交到網絡的交易

侵犯隱私
有設備的訪問

私鑰暴露、恢復詞組暴光、密碼攻擊/繞過、餘額或交易在未有進行身份驗證就能看見

Low severity image

嚴重程度低

10 分

錢包餘額和交易
有設備的訪問

不正確的餘額,不完整的可重現的交易歷史,無法恢復有效的錢包


 

Low priority image

優先級別高

30 分

很可能發生,可以發生在所有設備型號和任何具有最新操作系統版本的本地化中,不需要在設備上安裝額外的軟件

Medium priority image

優先級別中等

20 分

發生的可能性中等,只能發生在具有任何受支持操作系統版本的任何本地化中的特定設備型號上,或者可能發生在具有任何受支持操作系統版本的特定本地化中的每個設備型號上

Low priority image

優先級別低

10 分

發生的可能性低,可能發生在特定設備型號或特定操作系統版本的特定地區

賞金支付方式

  • 獎勵將根據原始提交日期/時間的當前美元價格以達世幣支付
    • 達世幣金額基於 messari.io 上公佈的交易量加權平均美元價格
  • 付款將不包括任何銀行/轉賬費用
  • DCG 將就嚴重性和優先級評分做出任何最終決定