Programa de Recompensa por Bug
O Programa de Recompensa por Bug do Dash Core Group permite que os desenvolvedores descubram e solucionem bugs antes que o público em geral esteja ciente deles, evitando incidentes de violação generalizados. Se você encontrar uma vulnerabilidade de segurança em qualquer um dos produtos dentro do escopo mencionado abaixo, nos informe imediatamente, relatando-a.
- Rede Principal
- Carteira Dash Core Desktop
- Carteira Dash Android
- Carteira Dash iOS
Divulgação Responsável
Como se trata de um programa privado, por favor, não discuta este programa ou quaisquer vulnerabilidades (mesmo as resolvidas) fora do programa sem o consentimento expresso da organização. Se preferir enviar através de um email criptografado, você pode baixar a chave acima e enviar os detalhes para [email protected]
Requisitos de Elegibilidade para Pessoas
- Você não pode ter nenhum compromisso contratual com DCG
- Você não pode ter nenhum compromisso contratual com DIF
- Você não pode ser um Trust Protector ativo
- Você não pode receber uma recompensa da Incubadora pelo mesmo bug
- Você deve fornecer informações básicas de KYC (passaporte, identificação local, etc.)
- Os destinatários devem fornecer uma conta bancária em dólares americanos ou um endereço Dash em uma exchange reconhecida
- Residentes / cidadãos de países restritos pela OFAC podem relatar bugs, mas não serão elegíveis para um pagamento
Recompenças
O objetivo do programa DCG Bounty é descobrir vulnerabilidades significativas que tenham um impacto direto e demonstrável na segurança de nossos usuários. Os envios de vulnerabilidade devem atender a certos critérios para serem elegíveis para recompensas de recompensas generosas. As recompensas são baseadas em uma combinação de prioridade e severidade.
- Nível 1 (60 Pontos) = $5,000
- Nível 2 (50 Pontos) = $2,000
- Nível 3 (40 Pontos) = $750
- Nível 4 (30 Pontos) = $200
- Nível 5 (20 Pontos) = $50
Prioridade
Prioridade
(Baixa)
(Alta)
(Média)
(Baixa)
ELEGÍVEL
- Identificar uma vulnerabilidade que não previamente informada ou reconhecida pelo DCG
- Essa vulnerabilidade deve ser reproduzível em um dos produtos de escopo do DCG
- Incluir passos claros, concisos e reproduzíveis, por escrito ou em formato de vídeo
- Fornecer aos nossos engenheiros as informações necessárias para reproduzir, compreender e corrigir o problema rapidamente
INELEGÍVEL
- Vulnerabilidades que requerem acesso root/jailbreak para serem exploradas, a não ser que o root/jailbreak seja iniciado pelo invasor após obter acesso físico ao dispositivo
- Bibliotecas de terceiros que não são propriedade do DCG
Severidade Alta
30 Pontos
Pode levar à perda de créditos
Sem acesso ao dispositivo
Exposição de chave privada, exposição de frase de recuperação, ataque/desvio do código PIN
Severidade Média
20 Pontos
Impede o uso ou recebimento de créditos
Sem acesso ao dispositivo
Não é possível sincronizar com o blockchain, erro constante ao tentar enviar Dash, não é possível receber uma transação enviada com sucesso para a rede
Violação de privacidade
Com acesso ao dispositivo
Exposição de chave privada, exposição de frase de recuperação, ataque/desvio do código PIN, saldo ou visibilidade da transação sem a autenticação necessária
Severidade Baixa
10 Pontos
Saldo da carteira e transações
Com acesso ao dispositivo
Saldo incorreto, histórico de transações incompleto que pode ser recuperado, carteira válida não pode ser recuperada
Prioridade Alta
30 Pontos Muito provável de ocorrer, pode ocorrer em cada modelo de dispositivo e em qualquer localização com a versão mais recente do sistema operacional, não requer a instalação de software adicional no dispositivo
Prioridade Média
20 Pontos Probabilidade moderada de ocorrer, só pode ocorrer em modelos de dispositivo específicos, em qualquer localização, com qualquer versão de sistema operacional compatível ou pode ocorrer em cada modelo de dispositivo em uma localização específica, com qualquer versão de sistema operacional compatível
Prioridade Baixa
10 Pontos Low likelihood of occurring, can occur on a specific device model or a specific localization with a specific OS version
Pagamento de Recompenças
-
Os pagamentos serão realizados em Dash com base no preço atual em USD na data/hora da submissão original
- Os valores de Dash são baseados no preço médio ponderado por volume em USD publicado em messari.io
- Os pagamentos não incluem taxas bancárias/de transferência
- A decisão final sobre a gravidade e prioridade será feita pelo DCG
