Program Nagród za Znalezienie Błędów
Nagrody za znalezienie błędów pozwala deweloperom na odkrywanie i rozwiązanie błędów, zanim ogół użytkowników się dowie o ich istnieniu, zapobiegając incydentom nadużycia. Jeżeli znajdziesz jakieś luki w zabezpieczeniach produktów wymienionych poniżej, prosimy o ich natychmiastowe zgłoszenie.
- Mainnet
- Portfel Dash Core Desktop
- Portfel Dash na Androidzie
- Portfel Dash na iOS
Odpowiedzialne ujawnienie
Ponieaż program ten jest prywatny, prosimy o nie dyskutowanie o tym programie lub jakichkolwiek błędach (nawet jeśli już są rozwiązane) poza tym programem, bez zgody organizatorów. Jeśli wolisz zgłośić problem za pomocą zaszyfrowanego emaila, mozesz ściągnąć klucz powyżej i wysłać szczegóły na ten adres: [email protected]
Wymagania kwalifikacyjne dla osób fizycznych
- Nie możesz mieć żadnych zobowiązań umownych z DCG
- Nie możesz mieć żadnych zobowiązań umownych z DIF
- Nie możesz być aktywnym członkiem zarządu Dash Trust
- Nie możesz otrzymać wynagrodzenia z inkubatora za ten sam błąd
- Musisz podać podstawowe informacje KYC (paszport, dowód osobisty itp.)
- Odbiorcy muszą podać konto bankowe w USD lub adres Dash na jednej z większych giełd.
- Rezydenci / obywatele krajów objętych ograniczeniami OFAC mogą zgłaszać błędy, ale nie będą kwalifikować się do wypłaty
Nagrody
Celem programu DCG Bounty jest wykrycie istotnych luk w kodzie, które mają bezpośredni i możliwy do udowodnienia wpływ na bezpieczeństwo naszych użytkowników. Zgłoszenia dotyczące błędów w kodzie muszą spełniać określone kryteria, aby kwalifikować się do nagrody. Wysokość nagrody jest oparta na kombinacji priorytetu i wagi.
- Poziom 1 (60 Punktów) = $5,000
- Poziom 2 (50 Punktów) = $2,000
- Poziom 3 (40 Punktów) = $750
- Poziom 4 (30 Punktów) = $200
- Poziom 5 (20 Punktów) = $50
(Wysoki)
(Średni)
(Niski)
(Wysoka)
(Średnia)
(Niska)
KTO SIĘ KWALIFIKUJE
- Zidentyfikuj lukę, która nie została wcześniej zgłoszona lub w inny sposób znana DCG
- Taka podatność musi być odtwarzalna w jednym z produktów objętych programem przez DCG
- Dołącz jasne, zwięzłe i powtarzalne kroki, na piśmie lub w formacie wideo
- Zapewnij naszym inżynierom informacje niezbędne do szybkiego odtworzenia, zrozumienia i rozwiązania problemu
CO SIĘ NIE KWALIFIKUJE
- Luki, które aby mogły zostać wykorzystane, wymagają dostępu root/jailbreak, z wyjątkiem jeśli root/jailbreak jest zrobiony przez atakującego po uzyskaniu fizycznego dostępu do urządzenia
- Biblioteki innych firm, które nie są własnością DCG
Wysoki poziom ważności
30 Punktów
Może spowodować utratę środków
Bez dostępu do urządzenia
Ujawnienie klucza prywatnego, ujawnienie listy słów odzyskiwania portfela, atak lub obejście kodu PIN
Średni poziom ważności
20 Punktów
Uniemożliwia wysyłanie lub otrzymanie środków
Bez dostępu do urządzenia
Nie można zsynchronizować z siecią, stały błąd podczas próby wysłania Dash, niemożliwość odbioru transakcji, która została pomyślnie przesłana do sieci
Naruszenie prywatności
Z dostępem do urządzenia
Ujawnienie klucza prywatnego, ujawnienie listy słów odzyskiwania porfela, atak lub obejście kodu PIN, ujawnienie salda lub transakcji bez wymaganego uwierzytlnienia
Niski poziom ważności
10 Punktów
Saldo portfela i transakcje
Z dostępem do urządzenia
Nieprawidłowe saldo, niepełna historia transakcji, którą można odtworzyć, nie można odzyskać ważnego portfela
Wysoki Priorytet
30 Punktów Bardzo prawdopodobny, może wystąpić na każdym modelu urządzenia i w dowolnej lokalizacji z najnowszą wersją systemu operacyjnego, nie wymaga instalacji dodatkowego oprogramowania na urządzeniu
Średni Priorytet
20 Punktów Umiarkowane prawdopodobieństwo wystąpienia, może wystąpić tylko na określonych modelach urządzeń w dowolnej lokalizacji w jakiejkolwiek wersji systemu operacyjnego, lub może wystąpić na każdym modelu urządzenia w określonej lokalizacji w jakiekolwiek wersji systemu operacyjnego
Niski Priorytet
10 Punktów Niskie prawdopodobieństwo wystąpienia, może wystąpić tylko w konkretnym modelu urządzenia lub w określonej lokalizacji z określoną wersją systemu operacyjnego
Wypłata Nagród
-
Nagrody zostaną wypłacone w Dash na podstawie aktualnej ceny w USD w dniu/godzinie pierwotnego zgłoszenia
- Kwoty Dash oparte są na średniej cenie USD opublikowanej na Messari.io
- Wypłaty nie pokryją żadnych opłat bankowych/przelewowych
- DCG podejmie ostateczne decyzje dotyczące punktacji wagi i priorytetu
