Bug Bounty Programm

Das Dash Core Group Bug Bounty Programm erlaubt es Entwicklern, Bugs zu finden und zu lösen, bevor die Allgemeinheit von diesen Bugs erfährt, wodurch eine Ausnutzung dieser Bugs verhindert wird. Wenn du innerhalb der hier genannten Produkte eine Sicherheitslücke findest, kontaktiere uns bitte sofort.

  • Mainnet
  • Dash Core Desktop Wallet
  • Dash Wallet Android
  • Dash Wallet iOS
Einen Bug melden PGP-Schlüssel

Responsible Disclosure

Da es sich hierbei um ein vertrauliches Programm handelt, bitten wir alle Teilnehmer, dieses Programm und etwaige Sicherheitslücken (auch behobene) nur mit ausdrücklicher Zustimmung der jeweiligen Organisation außerhalb des Programms zu diskutieren. Solltest du es bevorzugen, deine Anfrage über eine verschlüsselte E-Mail einzureichen, so kannst du den Schlüssel oben herunterladen und die Details an folgende Adresse senden [email protected]

Teilnahmevoraussetzungen für Einzelnutzer

  • Du darfst keine vertragliche Bindung mit DCG haben
  • Du darfst keine vertragliche Bindung mit der DIF haben
  • Du darfst kein aktiver Trust Protector sein
  • Du darfst keine Bounty vom Incubator für den selben Bug erhalten
  • Du musst einfache KYC-Informationen abgeben (Pass, Ausweis, etc.)
  • Empfänger müssen ein USD-Bankkonto oder eine Dash-Adresse bei einer großen Börse angeben
  • Einwohner / Staatsbürger von Ländern mit OFAC-Beschränkungen können Bugs melden, dürfen aber keinen Anspruch auf eine Zahlung erheben

Bounty-Belohnungen

Das Ziel des DCG Bounty-Programms ist es, signifikante Schwachstellen zu finden, die einen direkten und messbaren Einfluss auf die Sicherheit der Nutzer ausüben. Gemeldete Schwachstellen müssen bestimmte Kriterien erfüllen, um in Bounty-Belohnungen zu resultieren. Bounty-Belohnungen basieren auf einer Kombination aus Priorität und Schweregrad.

  • Level 1 (60 Punkte) = 5.000$
  • Level 2 (50 Punkte) = 2.000$
  • Level 3 (40 Punkte) = 750$
  • Level 4 (30 Punkte) = 200$
  • Level 5 (20 Punkte) = 50$
Erfahre mehr
Priorität
(Hoch)
Priorität
(Mittel)
Priorität
(Gering)
Schweregrad
(Hoch)
60 Punkte
50 Punkte
40 Punkte
Belohnung
5.000$
2.000$
750$
Schweregrad
(Mittel)
50 Punkte
40 Punkte
30 Punkte
Belohnung
2.000$
750$
200$
Schweregrad
(Gering)
40 Punkte
30 Punkte
20 Punkte
Belohnung
750$
200$
50$

ZULÄSSIG

  • Identifiziere eine Schwachstelle, die bisher noch nicht gemeldet wurde oder der DCG noch nicht anderweitig bekannt war
  • Die Schwachstelle muss in einem der von DCG kontrollierten Produkte reproduzierbar sein
  • Gib eindeutige, präzise und reproduzierbare Schritte an, wahlweise in schriftlicher Form oder im Videoformat
    • Versorge unsere Entwickler mit den Informationen, die notwendig sind, um das Problem schnell zu reproduzieren, zu verstehen und zu beheben

UNZULÄSSIG

  • Schwachstellen, die Root-/Jailbreak-Zugriff erfordern, um ausgenutzt zu werden, außer der Root-/Jailbreak wird vom Angreifer initiiert, nachdem er sich physischen Zugang zum Gerät verschafft hat
  • Drittanbieter-Bibliotheken, die nicht der DCG gehören

Schweregrad Hoch

30 Punkte Kann zu Guthabenverlust führen
Ohne Gerätezugriff

Privater Schlüssel offengelegt, Wiederherstellungsphrase offengelegt, PIN-Code Angriff/Umgehung

Schweregrad Mittel

20 Punkte Verhindert die Verwendung oder den Empfang von Guthaben
Ohne Gerätezugriff

Kann nicht mit der Blockchain synchronisieren, ständiger Fehler beim Versuch, Dash zu versenden, kann keine Transaktion empfangen, die erfolgreich an das Netzwerk übermittelt wurde

Eingriff in die Privatsphäre
Mit Gerätezugriff

Privater Schlüssel offengelegt, Wiederherstellungsphrase offengelegt, PIN-Code Angriff/Umgehung, Sichtbarkeit des Guthabens oder der Transaktionen ohne notwendige Authentifizierung

Schweregrad Gering

10 Punkte

Wallet-Guthaben und -Transaktionen
Mit Gerätezugriff Falsches Guthaben, lückenhafter Transaktionsverlauf, der wiederhergestellt werden kann, gültige Wallet kann nicht wiederhergestellt werden

Priorität Hoch

30 Punkte Sehr wahrscheinlich, kann auf jedem Gerätemodell und in jeder Sprachversion mit der neuesten Betriebssystemversion auftreten, wobei keine zusätzliche Software auf dem Gerät installiert werden muss

Priorität Mittel

20 Punkte Mittlere Wahrscheinlichkeit, kann nur bei bestimmten Gerätemodellen in einer beliebigen Sprach- und unterstützten Betriebssystemversion auftreten oder bei jedem Gerätemodell in einer bestimmten Sprach- und unterstützten Betriebssystemversion auftreten

Priorität Gering

10 Punkte Geringe Wahrscheinlichkeit, kann auf einem bestimmten Gerätemodell oder mit einer bestimmten Sprachversion und einer bestimmten Betriebssystemversion auftreten

Bounty-Zahlungen

  • Zahlungen werden in Dash ausbezahlt, wobei der USD-Preis zum Zeitpunkt der ursprünglichen Meldung verwendet wird
    • Die Beträge in Dash basieren auf dem volumengewichteten durchschnittlichen USD-Kurs, der auf messari.com angezeigt wird
  • Zahlungen beinhalten keine Bank-/Transfer-Gebühren
  • Die entgültige Entscheidung in Bezug auf Schweregrad und Priorität wird von DCG getroffen