バグ・バウンティ・プログラム

Dashコアグループのバグ・バウンティ・プログラムは、開発者が一般で知られる前にバグを発見し解決することで、広く悪用されるケースを未然に防ぎます。 下記の対象製品でセキュリティ上の脆弱性を発見された場合は、速やかにご報告くださいますようお願いいたします。

  • Mainnet
  • Dash Core Desktop Wallet
  • Dash Wallet Android
  • Dash Wallet iOS

責任ある情報開示

本プログラムは非公開のため、組織の明示的な同意なく本プログラムや脆弱性(解決済みのものも含む)について、プログラム外で議論することはご遠慮ください。 暗号化された電子メールでの送信をご希望の場合は、上記のキーをダウンロードし、詳細をinfosec@dash.orgまで電子メールでお送りください。

個人での加入要件

  • DCGと契約関係を結ばないこと
  • DIFと契約関係を結ばないこと
  • アクティブなトラストプロテクターにならないこと
  • 同じバグでインキュベーターからバウンティを受け取らないこと
  • 基本的なKYC情報(パスポート、現地の身分証明書等)を提供できること
  • 受取の際に、米ドルの銀行口座または主要取引所のDashアドレスを提供できること
  • OFAC規制対象国の居住者や市民はバグを報告することができるが、払い戻しの対象にはならないこと

バウンティの報酬

DCGのバウンティプログラムの目的は、ユーザーのセキュリティに直接かつ明白な影響を与える重大な脆弱性を発見することです。脆弱性の提出は、バウンティ報酬の対象となるために一定の基準を満たす必要があります。バウンティ報酬は、優先度と重要度の組み合わせに基づいて決定されます。

  • レベル1(60ポイント)= 5,000ドル
  • レベル2(50ポイント)= 2,000ドル
  • レベル3(40ポイント)= 750ドル
  • レベル4(30ポイント)= 200ドル
  • レベル5(20ポイント)= 50ドル
優先度
(高)
優先度
(中)
優先度
(低)
重要度
(高)
60ポイント
50ポイント
40ポイント
報酬
5,000ドル
2,000ドル
750ドル
重要度
(中)
50ポイント
40ポイント
30ポイント
報酬
2,000ドル
750ドル
200ドル
重要度
(低)
40ポイント
30ポイント
20ポイント
報酬
750ドル
200ドル
50ドル

ふさわしい条件

  • DCGにすでに報告されたり把握されていない脆弱性を特定すること
  • DCGの対象製品で再現可能な脆弱性であること
  • 明確で簡潔かつ再現性のある手順を書面または動画で記載すること
    • 当社のエンジニアが問題を迅速に再現し、理解し、解決するために必要な情報を提供すること

ふさわしくない条件

  • ルートやジェイルブレイクを必要とする脆弱性が、攻撃者がデバイスに物理的にアクセスした後にルートやジェイルブレイクを開始すると悪用できること
  • DCGが所有していないサードパーティライブラリ
High severity image

重要度 高

30ポイント 資金の損失を引き起こす可能性あり
デバイス利用なし

プライベートキーの漏洩、リカバリーフレーズの漏洩、暗証番号の攻撃/バイパス

Medium severity image

重要度 中

20ポイント 資金の使用または受領を阻止
デバイス利用なし

チェーンとの同期が不可、Dash送金時の永続的なエラー、ネットワークに正常に送信された取引の受信が不可

プライバシーの侵害
デバイス利用あり

プライベートキーの漏洩、リカバリーフレーズの漏洩、暗証番号の攻撃/バイパス、認証を必要としない残高や取引の可視化

Low severity image

重要度 低

10ポイント

ウォレットの残高と取引
デバイス利用あり 不正確な残額、再現性のある不完全な取引履歴 、有効なウォレットの復元が不可


 

Low priority image

優先度 高

30ポイント 発生する可能性が非常に高い、最新のOSバージョンですべてのデバイスモデルおよびローカライゼーションで発生する可能性あり、デバイスに追加のソフトウェアをインストールする必要なし

Medium priority image

優先度 中

20ポイント 発生する可能性が中程度、サポートするOSバージョンを問わず何かしらのローカライゼーションにおいて特定のデバイスモデルでのみ発生する可能性がある、サポートするOSバージョンを問わず特定のローカライゼーションにおけるすべてのデバイスモデルで発生する可能性がある

Low priority image

優先度 低

10ポイント 発生する可能性は低程度、特定のOSバージョンで特定の機種や特定のローカライゼーションで発生する可能性がある

バウンティの支払い

  • 賞金は、最初の提出日時の米ドル建て価格に基づいて、Dashで支払われます。
    • Dashの金額はmessari.ioで公開されている米ドル建ての出来高加重平均価格に基づいています。
  • 支払いには、銀行手数料や振込手数料は含まれません。
  • DCGは、重要度と優先度のスコアリングに関する最終決定を行います。