Programa de Recompensa por Bug

O Programa de Recompensa por Bug do Dash Core Group permite que os desenvolvedores descubram e solucionem bugs antes que o público em geral esteja ciente deles, evitando incidentes de violação generalizados. Se você encontrar uma vulnerabilidade de segurança em qualquer um dos produtos dentro do escopo mencionado abaixo, nos informe imediatamente, relatando-a.

  • Rede Principal
  • Carteira Dash Core Desktop
  • Carteira Dash Android
  • Carteira Dash iOS

Divulgação Responsável

Como se trata de um programa privado, por favor, não discuta este programa ou quaisquer vulnerabilidades (mesmo as resolvidas) fora do programa sem o consentimento expresso da organização. Se preferir enviar através de um email criptografado, você pode baixar a chave acima e enviar os detalhes para infosec@dash.org.

Requisitos de Elegibilidade para Pessoas

  • Você não pode ter nenhum compromisso contratual com DCG
  • Você não pode ter nenhum compromisso contratual com DIF
  • Você não pode ser um Trust Protector ativo
  • Você não pode receber uma recompensa da Incubadora pelo mesmo bug
  • Você deve fornecer informações básicas de KYC (passaporte, identificação local, etc.)
  • Os destinatários devem fornecer uma conta bancária em dólares americanos ou um endereço Dash em uma exchange reconhecida
  • Residentes / cidadãos de países restritos pela OFAC podem relatar bugs, mas não serão elegíveis para um pagamento

Recompenças

O objetivo do programa de recompensas do DCG é descobrir vulnerabilidades significativas que tenham um impacto direto e demonstrável na segurança dos nossos usuários. As submissões de vulnerabilidades devem atender a critérios específicos para serem elegíveis às recompensas. As recompensas são determinadas com base em uma combinação de prioridade e severidade.

  • Nível 1 (60 Pontos) = $5,000
  • Nível 2 (50 Pontos) = $2,000
  • Nível 3 (40 Pontos) = $750
  • Nível 4 (30 Pontos) = $200
  • Nível 5 (20 Pontos) = $50
Prioridade
Prioridade
(Alta)
Prioridade
(Média)
(Baixa)
Severidade
(Alta)
60 pontos
50 pontos
40 pontos
Recompença
$5,000
$2,000
$750
Severidade
(Média)
50 pontos
40 pontos
30 pontos
Recompença
$2,000
$750
$200
Severidade
(Baixa)
40 pontos
30 pontos
20 pontos
Recompença
$750
$200
$50

ELEGÍVEL

  • Identificar uma vulnerabilidade que não previamente informada ou reconhecida pelo DCG
  • Essa vulnerabilidade deve ser reproduzível em um dos produtos de escopo do DCG
  • Incluir passos claros, concisos e reproduzíveis, por escrito ou em formato de vídeo
    • Fornecer aos nossos engenheiros as informações necessárias para reproduzir, compreender e corrigir o problema rapidamente

INELEGÍVEL

  • Vulnerabilidades que requerem acesso root/jailbreak para serem exploradas, a não ser que o root/jailbreak seja iniciado pelo invasor após obter acesso físico ao dispositivo
  • Bibliotecas de terceiros que não são propriedade do DCG
Imagem de alta severidade

Severidade Alta

30 Pontos Pode levar à perda de créditos
Sem acesso ao dispositivo

Exposição de chave privada, exposição de frase de recuperação, ataque/desvio do código PIN

Imagem de média severidade

Severidade Média

20 Pontos Impede o uso ou recebimento de créditos
Sem acesso ao dispositivo

Não é possível sincronizar com o blockchain, erro constante ao tentar enviar Dash, não é possível receber uma transação enviada com sucesso para a rede

Violação de privacidade
Com acesso ao dispositivo

Exposição de chave privada, exposição de frase de recuperação, ataque/desvio do código PIN, saldo ou visibilidade da transação sem a autenticação necessária

Imagem de baixa severidade

Severidade Baixa

10 Pontos

Saldo da carteira e transações
Com acesso ao dispositivo Saldo incorreto, histórico de transações incompleto que pode ser recuperado, carteira válida não pode ser recuperada


 

Imagem de baixa prioridade

Prioridade Alta

30 Pontos Muito provável de ocorrer, pode ocorrer em cada modelo de dispositivo e em qualquer localização com a versão mais recente do sistema operacional, não requer a instalação de software adicional no dispositivo

Imagem de média prioridade

Prioridade Média

20 Pontos Probabilidade moderada de ocorrer, só pode ocorrer em modelos de dispositivo específicos, em qualquer localização, com qualquer versão de sistema operacional compatível ou pode ocorrer em cada modelo de dispositivo em uma localização específica, com qualquer versão de sistema operacional compatível

Imagem de baixa prioridade

Prioridade Baixa

10 Pontos Low likelihood of occurring, can occur on a specific device model or a specific localization with a specific OS version

Pagamento de Recompenças

  • Os pagamentos serão realizados em Dash com base no preço atual em USD na data/hora da submissão original
    • Os valores de Dash são baseados no preço médio ponderado por volume em USD publicado em messari.io
  • Os pagamentos não incluem taxas bancárias/de transferência
  • A decisão final sobre a gravidade e prioridade será feita pelo DCG