برنامه شکار باگ

برنامه شکار باگ دش کُر گروپ به توسعه‌دهندگان امکان می‌دهد ایرادات فنی را پیش از آنکه عموم مردم از آنها آگاه شوند یافته و رفع کنند. به این ترتیب، جلوی گسترش سوءاستفاده از ایرادات فنی گرفته می‌شود. اگر یک آسیب‌پذیری امنیتی روی هر کدام از محصولات موجود زیر یافتید، لطفا با گزارش آن ما را بلافاصله آگاه کنید.

  • مین‌نت
  • کیف پول دسکتاپ دش کر
  • کیف پول اندروید دش
  • کیف پول آی‌اواس دش

افشای اطلاعات مسئولانه

از آنجا که این برنامه محرمانه است، لطفا درباره این برنامه یا هر آسیب‌پذیری (حتی آنهایی که حل شده‌اند) با کسی خارج از برنامه صحبت نکنید، مگر با رضایت سازمان. اگر ترجیح می‌دهید از طریق یک ایمیل رمزنگاری‌شده با ما تماس بگیرید، می‌توانید کلید بالا را دانلود کرده و جزئیات مدنظرتان را به این ایمیل ارسال کنید: infosec@dash.org

شرایط افراد برای حضور در این برنامه

  • نمی‌توانید هیچ نوع مشارکت قراردادی با دش کر گروپ داشته باشید
  • نمی‌توانید هیچ مشارکت قراردادی با دی‌آی‌اف داشته باشید
  • نمی‌توانید مسئول صندوق (تراست) باشید
  • نمی‌توانید یک شکار را از یک انکوباتور بابت همان باگ دریافت کنید.
  • باید اطلاعات پایه هویتی را خودتان را ارائه دهید (مثل پاسپورت …)
  • دریافت‌کنندگان باید یک حساب بانکی در ایالات متحده و یا یک نشانی دش در یک صرافی معتبر داشته باشند.
  • افراد مقیم/شهروندان کشورهایی که توسط OFAC تحریم هستند می‌توانند باگ‌ها را گزارش کنند، ولی نمی‌توانند واجد شرایط دریافت پاداش باشند.

پاداش‌های شکار

هدف برنامه شکار باگ دش کر گروپ، شناخت آسیب‌پذیری‌های اساسی است که تاثیری مستقیم و آشکار بر امنیت کاربران‌مان دارد. آسیب‌پذیری‌های گزارش شده باید یک سری ویژگی‌ها داشته باشند تا واجد شرایط دریافت پاداش باشند. پاداش‌های شکار باگ بر اساس ترکیبی از اولویت و شدت باگ تعیین می‌شوند.

  • سطح ۱ (۶۰ امتیاز)= ۵،۰۰۰ دلار
  • سطح ۲ (۵۰ امتیاز)= ۲،۰۰۰ دلار
  • سطح ۳ (۴۰ امتیاز)= ۷۵۰ دلار
  • سطح ۴ (۳۰ امتیاز) = ۲۰۰ دلار
  • سطح ۵ (۲۰ امتیاز) = ۵۰ دلار
اولویت
(بالا)
اولویت
(متوسط)
اولویت
(پائین)
شدت
(بالا)
۶۰ امتیاز
۵۰ امتیاز
۴۰ امتیاز
پاداش
۵،۰۰۰ دلار
۲،۰۰۰ دلار
۷۵۰ دلار
شدت
(متوسط)
۵۰ امتیاز
۴۰ امتیاز
۳۰ امتیاز
پاداش
۲،۰۰۰ دلار
۷۴۰ دلار
۲۰۰ دلار
شدت
(پائین)
۴۰ امتیاز
۳۰ امتیاز
۲۰ امتیاز
پاداش
۷۵۰ دلار
۲۰۰ دلار
۵۰ دلار

واجد شرایط

  • یک آسیب‌پذیری را شناسایی کنید که قبلا به دش کر گروپ گزارش نشده یا این سازمان از وجودش آگاه نباشد.
  • این آسیب‌پذیری باید در یکی از محصولات دش کر گروپ تکرارپذیر باشد.
  • توضیحی شفاف، مختصر و در قالب گام‌هایی تکرار پذیر به شکل متنی یا ویدئویی تهیه کنید.
    • اطلاعات ضروری برای بازتولید سریع، آگاهی و رفع این مشکل در اختیار مهندسان ما قرار دهید.

غیر واجد شرایط

  • آن دسته از آسیب‌پذیری‌هایی که نیازمند دسترسی روت/جیلبریک هستند، مگر اینکه روت/جیلبریک توسط یک مهاجم، پس از دسترسی فیزیکی به دستگاه روی دهد.
  • کتابخانه‌های طرف سوم که در اختیار دش کر گروپ نیستند.
تصویر شدت بالا

شدت بالا

۳۰ امتیاز ممکن است موجب از دست رفتن موجودی شود
بدون دسترسی به دستگاه

افشای کلید خصوصی، افشای عبارت عبوری، حمله/دورزدن پین کد

تصویر شدت متوسط

شدت متوسط

۲۰ امتیاز جلوگیری از استفاده یا دریافت موجودی
بدون دسترسی به دستگاه

امکان همزمان‌سازی با بلاکچین وجود ندارد، تداوم خطا هنگام ارسال دش، عدم امکان دریافت تراکنشی که به صورت موفق در شبکه ثبت‌شده است.

نقض حریم خصوصی
با دسترسی به دستگاه

افشای کلید خصوصی، افشای عبارت عبوری، حمله/دورزدن پین کد، مشاهده موجودی یا تراکنش بدون نیاز به تائید هویت

تصویر شدت پائین

شدت پائین

۱۰ امتیاز

موجودی یا تراکنش‌های کیف پول
با دسترسی به دستگاه موجودی نادرست، سابقه ناکامل تراکنشی که قابل تکرار باشد، عدم امکان بازیابی یک کیف پول معتبر


 

تصویر اولویت پائین

اولویت بالا

۳۰ امتیاز احتمال زیاد روی دادن، می‌تواند روی هر مدل دستگاهی و در هر زبانی از آخرین نسخه از سیستم عامل روی دهد، نیازی به نصب نرم‌افزارهای دیگر روی دستگاه ندارد

تصویر اولویت متوسط

اولویت متوسط

۲۰ امتیاز احتمال متوسط روی دادن، فقط می‌تواند روی مدل‌هایی مشخص از دستگاه در هر زبانی روی هر نسخه از سیستم عامل مورد پشتیبانی روی دهد یا روی هر مدلی از دستگاه در هر زبانی از هر نسخه از سیستم عامل

تصویر اولویت پائین

اولویت پائین

۱۰ امتیاز احتمال پائین روی دادن، می‌تواند روی مدل مشخص دستگاه یا یک زبان مشخص از یک سیستم عامل مشخص روی داد

پرداخت‌های شکار باگ

  • پاداش‌ها بر حسب دس بر اساس نرخ برابری دلار آمریکا در تاریخ/زمان ارسال از سوی کاربر محاسبه می‌شود.
    • مقدار دش بر اساس میانگین وزنی-حجمی قیمت دلار آمریکا که در وب‌سایت messari.io درج می‌شود محاسبه خواهد شد
  • پرداخت‌ها هزینه‌های مربوط به انتقال/حواله را شامل نمی‌شود
  • دش کر گروپ تصمیم‌گیرنده نهایی درباره امتیاز شدت یا اولویت خواهد بود