Aleo запрошує до участі в BugBounty. Що це таке і з чим його їсти?
Програма винагород за знахідки багів Aleo є ключовою у зміцненні інфраструктури безпеки мережі Aleo. Aleo з нетерпінням співпрацює з глобальною спільнотою безпеки, і ось розширений огляд.
Наразі звіти про баги можна надсилати через їх сторінку HackerOne.
Aleo - Програма Винагород за Знахідки Багів | HackerOne
Винагороди та фінансування:
Початковий фонд винагород: програма може похизуватися початковим фондом винагород у розмірі $500,000 USD.
Різноманітні винагороди: виплати за звіти про баги варіюються в залежності від серйозності та впливу виявленої вразливості на основний протокол Aleo.
Критерії визначення прав на участь та структура виплат:
Дотримання санкцій: учасники не повинні проживати в країнах, що підпадають під будь-які санкції Сполучених Штатів.
Регуляторне визначення: обов'язковий перегляд КЛД/ПЗФ та OFAC для всіх дослідників.
Вимога щодо оригінальності: звіти повинні представляти оригінальні відкриття, з визначенням кредиту за першим валідним внеском.
Статистика на жовтень 2023 року:
Вирішені звіти: 7. Активи в області: 2. Середня винагорода: $3k.
Зобов'язання щодо часу відповіді:
Aleo зобов'язується до швидких відповідей, включаючи:
Перша відповідь: протягом 1 дня.
Час вирішення: тривалість залежить від серйозності та складності виявленої вразливості.
Політика розголошення:
Гарантія конфіденційності: дослідники заборонені розглядати вразливості поза програмою без виразної згоди.
Дотримання вказівок: дослідники повинні дотримуватися вказівок щодо розголошення від HackerOne.
Правила програми:
Детальна звітність: подання повинні включати вичерпні звіти з відтворюваними кроками та функціональним доказом концепції.
Один баг на звіт: за винятком випадків, коли вразливості потрібно ланцюгувати для демонстрації впливу.
Рівні винагород були посилені:
- Критичний: $30k — $75k (3х вище)
- Повне вимкнення мережі.
- Непередбачене постійне розщеплення ланцюга, яке вимагає хардфорка.
- Пряма втрата коштів.
- Подвійне витрачання.
- Здатність крадіжки/спалювання/заморожування токенів.
- Високий: $10k — $20k (2х вище)
- Непередбачене розщеплення ланцюга.
- Тимчасове заморожування транзакцій мережі.
- Створення проблем з обробкою вузлів мережі.
- Середній: $3k — $7.5k (1,5х вище)
- Збільшення використання ресурсів вузла обробки мережі.
- Вимкнення вузлів обробки мережі без вимкнення мережі.
- Низький: $625 — $2.5k (1,25х вище)
Поза областю програми:
- Все, що не стосується основного протоколу Aleo (snarkOS та/або snarkVM).
- Проблеми, пов'язані з децентралізованими додатками (dApps) чи програмним забезпеченням, побудованим на блокчейні Aleo.
- Графічні інтерфейси, веб/мобільні додатки чи компоненти клієнта.
- Теоретичні вразливості без супроводжуючого функціонального доказу концепції.
- Звіти від автоматизованих засобів чи сканерів.
Оголошення Програми Винагород за Знахідки Багів Aleo
Контактна інформація:
Для запитань, будь ласка, надсилайте електронну пошту на security@aleo.org з темою "Питання щодо винагород за знахідки багів".
Ваш внесок відіграє важливу роль у зміцненні безпеки екосистеми Aleo.
У висновку Програма Винагород Bugbounty слугує свідченням нашої відданості безпеці всередині екосистеми Aleo. Співпрацюючи з провідними платформами, такими як HackerOne, Aleo сприяє створенню спільового та інклюзивного середовища для дослідників забезпечення та етичних хакерів.