Programme de récompense de signalement de bugs
Le programme de récompense de signalement de bugs, mené par Dash Core Group, permet aux développeurs de découvrir et de corriger des bugs avant que le grand public n’en soit informé, ce qui permet d’éviter les problèmes d’abus à grande échelle. Si vous découvrez une faille de sécurité sur n’importe lequel des produits mentionnés ci-dessous, veuillez nous le faire savoir en nous le signalant.
- Réseau principal
- Portefeuille de bureau Dash Core
- Portefeuille Dash Wallet pour Android
- Portefeuille Dash Wallet pour iOS
Divulgation responsable
Comme il s’agit d’un programme privé, veuillez ne pas débattre de ce programme ou d’une vulnérabilité (même si elle est résolue) en-dehors du programme lui-même, sans l’accord explicite de l’organisation. Si vous préférez nous écrire par un système d’e-mail chiffré, vous pouvez télécharger ci-dessous la clé et envoyer votre message détaillé à [email protected]
Obligations d’éligibilité pour les individus
- Vous ne pouvez pas être contractuellement engagé avec DCG
- Vous ne pouvez pas être contractuellement engagé avec la DIF
- Vous ne pouvez pas être un protecteur du Trust
- Vous ne pouvez pas recevoir de la part de l’Incubator une récompense pour le même bug
- Vous devez fournir des informations KYC de base (passeport, document d’identité local, etc.)
- Les destinataires doivent fournir un compte bancaire en dollars américains, ou bien une adresse Dash sur une plateforme de change majeure
- Les résidents ou citoyens de pays à restriction OFAC peuvent reporter des bugs mais ne pourront pas recevoir de récompense
Récompenses
Le but du programme de récompenses de DCG est de découvrir des failles significatives qui ont un impact direct et démontrable sur la sécurité de nos utilisateurs. Les signalements de vulnérabilités doivent correspondre à certains critères pour être éligibles à nos récompenses. Les récompenses se basent sur une combinaison de priorité et de sévérité. Les signalements de vulnérabilité doivent correspondre à certains critères pour être éligibles à des récompenses. Les récompenses sont basées sur une combinaison de priorité et de sévérité.
- Niveau 1 (60 points) = $5000
- Niveau 2 (50 points) = $2000
- Niveau 3 (40 points) = $750
- Niveau 4 (30 points) = $200
- Niveau 5 (20 points) = $50
(Haute)
(Moyenne)
(Basse)
(Haute)
(Moyenne)
(Basse)
ÉLIGIBLE
- Identifiez une faille qui n’a pas jamais été mentionnée auparavant, ni connue de DCG
- Une telle vulnérabilité doit être reproductible dans l’un des produits publics de DCG
- Décrivez des étapes claires, concises et reproductibles, soit par écrit, soit au format vidéo
- Fournissez à nos ingénieurs les informations nécessaires pour reproduire rapidement, comprendre et corriger le problème
INÉLIGIBLE
- Les failles qui ont besoin d’un accès root/jailbreak pour être exploitées, sauf si le root/jailbreak est acquis par l’attaquant après son accès physique à l’appareil
- Les bibliothèques de tierce partie qui ne sont pas la propriété de DCG
Sévérité haute
30 points
Pourrait entraîner une perte de fonds
Sans accès à l'appareil
Exposition d'une clé privée ou d'une phrase de récupération, attaque ou contournement d'un code PIN
Sévérité moyenne
20 points
Empêche l'utilisation ou la réception de fonds
Sans accès à l'appareil
Synchronisation impossible avec la chaîne, erreur récurrente en essayant d'envoyer des dashs, impossibilité de recevoir une transaction qui a été soumise avec succès au réseau
Rupture de confidentialité
Avec accès à l'appareil
Exposition d'une clé privée ou d'une phrase de récupération, attaque ou contournement d'un code PIN, solde ou transaction visible sans l'authentification requise
Sévérité basse
10 points
Solde et transactions du portefeuille
Avec accès à l'appareil
Solde incorrect, historique incomplet de transactions qui est reproductible, impossibilité de récupérer un portefeuille valide
Priorité haute
30 points Événement très susceptible d'avoir lieu, peut avoir lieu sur n'importe quel type d'appareil et n'importe où avec la plus récente version d'OS, n'implique pas l'installation d'un logiciel supplémentaire sur l'appareil
Priorité moyenne
20 points Événement moyennement susceptible d'avoir lieu, peut seulement avoir lieu sur certains modèles d'appareils et n'importe où avec n'importe quelle version d'OS compatible, ou peut avoir lieu sur n'importe quel modèle d'appareil dans une langue particulière avec n'importe quelle version d'OS compatible
Priorité basse
10 points Événement peu susceptible d'avoir lieu, peut se produire sur un modèle d'appareil spécifique, ou dans une langue spécifique, ou avec une version d'OS spécifique
Paiements des récompenses
-
Les récompenses seront payées en dashs, sur la base du cours en dollars américains le jour et l’heure du signalement originel
- Les montants Dash sont basés sur le cours USD moyen publié par messari.io
- Les paiements ne couvriront pas d’éventuels frais bancaires ou de virement
- Toutes les décisions finales, relatives au score de sévérité et de priorité, reviennent à DCG
