Bug Bounty Programm
Das Dash Core Group Bug Bounty Programm erlaubt es Entwicklern, Bugs zu finden und zu lösen, bevor die Allgemeinheit von diesen Bugs erfährt, wodurch eine Ausnutzung dieser Bugs verhindert wird. Wenn du innerhalb der hier genannten Produkte eine Sicherheitslücke findest, kontaktiere uns bitte sofort.
- Mainnet
- Dash Core Desktop Wallet
- Dash Wallet Android
- Dash Wallet iOS
Responsible Disclosure
Da es sich hierbei um ein vertrauliches Programm handelt, bitten wir alle Teilnehmer, dieses Programm und etwaige Sicherheitslücken (auch behobene) nur mit ausdrücklicher Zustimmung der jeweiligen Organisation außerhalb des Programms zu diskutieren. Solltest du es bevorzugen, deine Anfrage über eine verschlüsselte E-Mail einzureichen, so kannst du den Schlüssel oben herunterladen und die Details an folgende Adresse senden [email protected]
Teilnahmevoraussetzungen für Einzelnutzer
- Du darfst keine vertragliche Bindung mit DCG haben
- Du darfst keine vertragliche Bindung mit der DIF haben
- Du darfst kein aktiver Trust Protector sein
- Du darfst keine Bounty vom Incubator für den selben Bug erhalten
- Du musst einfache KYC-Informationen abgeben (Pass, Ausweis, etc.)
- Empfänger müssen ein USD-Bankkonto oder eine Dash-Adresse bei einer großen Börse angeben
- Einwohner / Staatsbürger von Ländern mit OFAC-Beschränkungen können Bugs melden, dürfen aber keinen Anspruch auf eine Zahlung erheben
Bounty-Belohnungen
Das Ziel des DCG Bounty-Programms ist es, signifikante Schwachstellen zu finden, die einen direkten und messbaren Einfluss auf die Sicherheit der Nutzer ausüben. Gemeldete Schwachstellen müssen bestimmte Kriterien erfüllen, um in Bounty-Belohnungen zu resultieren. Bounty-Belohnungen basieren auf einer Kombination aus Priorität und Schweregrad.
- Level 1 (60 Punkte) = 5.000$
- Level 2 (50 Punkte) = 2.000$
- Level 3 (40 Punkte) = 750$
- Level 4 (30 Punkte) = 200$
- Level 5 (20 Punkte) = 50$
(Hoch)
(Mittel)
(Gering)
(Hoch)
(Mittel)
(Gering)
ZULÄSSIG
- Identifiziere eine Schwachstelle, die bisher noch nicht gemeldet wurde oder der DCG noch nicht anderweitig bekannt war
- Die Schwachstelle muss in einem der von DCG kontrollierten Produkte reproduzierbar sein
- Gib eindeutige, präzise und reproduzierbare Schritte an, wahlweise in schriftlicher Form oder im Videoformat
- Versorge unsere Entwickler mit den Informationen, die notwendig sind, um das Problem schnell zu reproduzieren, zu verstehen und zu beheben
UNZULÄSSIG
- Schwachstellen, die Root-/Jailbreak-Zugriff erfordern, um ausgenutzt zu werden, außer der Root-/Jailbreak wird vom Angreifer initiiert, nachdem er sich physischen Zugang zum Gerät verschafft hat
- Drittanbieter-Bibliotheken, die nicht der DCG gehören
Schweregrad Hoch
30 Punkte
Kann zu Guthabenverlust führen
Ohne Gerätezugriff
Privater Schlüssel offengelegt, Wiederherstellungsphrase offengelegt, PIN-Code Angriff/Umgehung
Schweregrad Mittel
20 Punkte
Verhindert die Verwendung oder den Empfang von Guthaben
Ohne Gerätezugriff
Kann nicht mit der Blockchain synchronisieren, ständiger Fehler beim Versuch, Dash zu versenden, kann keine Transaktion empfangen, die erfolgreich an das Netzwerk übermittelt wurde
Eingriff in die Privatsphäre
Mit Gerätezugriff
Privater Schlüssel offengelegt, Wiederherstellungsphrase offengelegt, PIN-Code Angriff/Umgehung, Sichtbarkeit des Guthabens oder der Transaktionen ohne notwendige Authentifizierung
Schweregrad Gering
10 Punkte
Wallet-Guthaben und -Transaktionen
Mit Gerätezugriff
Falsches Guthaben, lückenhafter Transaktionsverlauf, der wiederhergestellt werden kann, gültige Wallet kann nicht wiederhergestellt werden
Priorität Hoch
30 Punkte Sehr wahrscheinlich, kann auf jedem Gerätemodell und in jeder Sprachversion mit der neuesten Betriebssystemversion auftreten, wobei keine zusätzliche Software auf dem Gerät installiert werden muss
Priorität Mittel
20 Punkte Mittlere Wahrscheinlichkeit, kann nur bei bestimmten Gerätemodellen in einer beliebigen Sprach- und unterstützten Betriebssystemversion auftreten oder bei jedem Gerätemodell in einer bestimmten Sprach- und unterstützten Betriebssystemversion auftreten
Priorität Gering
10 Punkte Geringe Wahrscheinlichkeit, kann auf einem bestimmten Gerätemodell oder mit einer bestimmten Sprachversion und einer bestimmten Betriebssystemversion auftreten
Bounty-Zahlungen
-
Zahlungen werden in Dash ausbezahlt, wobei der USD-Preis zum Zeitpunkt der ursprünglichen Meldung verwendet wird
- Die Dash-Beträge beziehen sich auf den volumengewichteten durchschnittlichen USD-Preis, der auf messari.io veröffentlicht wird.
- Zahlungen beinhalten keine Bank-/Transfer-Gebühren
- Die entgültige Entscheidung in Bezug auf Schweregrad und Priorität wird von DCG getroffen
