Zetachain & Immunefi анонс програми "Bug bounty"
Огляд програми
ZetaChain з радістю оголошує про запуск їх офіційної програми Bug Bounty за винагороди, за виявлення помилок у партнерстві з компанією Immunefi, провідною платформою яка обіцяє винагороди за виявлення помилок для Web3.
ZetaChain - це основоположний публічний блокчейн, який забезпечує омнічейн, загальні смарт-контракти та обмін повідомленнями між будь-якими блокчейнами. Він вирішує проблеми "крос-ланцюгів" та "мультиланцюгів" і має на меті відкрити криптовалютну та глобальну фінансову екосистему для всіх охочих.
ZetaChain передбачає і підтримує по-справжньому гнучку, багатоланцюгову криптоекосистему, де користувачі і розробники можуть переміщатися між і оцінити переваги будь-якого блокчейну: платежі, DeFi, ліквідність, ігри, мистецтво, соціальні графіки, продуктивність, безпеку, конфіденційність і так далі.
Для отримання додаткової інформації про ZetaChain, будь ласка, відвідайте https://www.zetachain.com
Винагороди за рівнем загрози.
Винагороди розподіляються відповідно до впливу помилоk та багів на основі Системи Immunefi Vulnerability Severity Classification System V2.2. Це спрощена 5-cтупенева шкала, окремо для веб-сайтів/додатків, смарт-контрактів та блокчейнів, що фокусується на впливі вразливостей.
Для отримання винагороди всі заявки про виявлення помилок повинні супроводжуватися PoC(Proof of Concept).Пояснення та заяви не приймаються, оскільки потрібен PoC та код.
Винагорода за критичні помилки смарт-контрактів додатково обмежена 10% від економічного збитку, при цьому основним критерієм на розсуд команди є кошти які постраждали, на додаток до міркувань піару і бренду. Однак, існує мінімальна винагорода в розмірі 30 000 доларів США за повідомлення про критичні помилки в смарт-контрактах. Високі помилки смарт-контрактів також обмежені 10% від економічного збитку з мінімальною винагородою в 10 000 доларів США.
Відомі проблеми, висвітлені в наступних аудиторських звітах, вважаються такими, що не входять до обсягу аудиту:
ZetaChain вимагає KYC для всіх мисливців за помилками, які подають звіт і хочуть отримати винагороду. Необхідною інформацією є державне посвідчення особи разом з селфі. Одноразові посилання для перевірки будуть поширюватися через Persona.
Виплати здійснюються безпосередньо командою ZetaChain і деноміновані в доларах США. Однак виплати здійснюються в USDC.
Смарт контракти.
Веб-сайти та додатки.
З усіма смарт-контрактами ZetaChain можна ознайомитися на сайті https://github.com/zeta-chain. Однак, лише ті, що наведені в таблиці Assets in Scope, вважаються такими, що підпадають під дію програми баг-баунті.
Поза сферою дії та правилами
Наступні помилки виключені з винагороди за даною програмою винагороди за баги:
-Атаки, які вже були використані самим автором, що призвело до збитків
-Атаки, що вимагають доступу до витоку ключів/облікових даних
-Атаки, що потребують доступу до привілейованих адрес (governance, strategist)
Смарт контракти та блокчейн.
Smart Contracts and Blockchain
- Некоректні дані, що надаються сторонніми оракулами
- Не виключати маніпуляції з оракулами/атаки з використанням флеш-кредитів
- Атаки на базове економічне управління (наприклад, атака 51%)
- Відсутність ліквідності
- Критика найкращих практик
- Атаки Sybil
- Ризики централізації
Веб-сайти та додатки.
- Теоретичні вразливості без будь-яких доказів та демонстрацій.
- Атаки, що вимагають фізичного доступу до пристрою постраждалого.
- Атаки, що потребують доступу до локальної мережі постраждалого.
- Відображена ін'єкція простого тексту, наприклад: параметри url, шлях і т.д.
- Це не виключає відображене впровадження HTML з використанням або без використання javascript .
- Це не виключає постійне введення простого тексту.
- Self-XSS.
- Обхід капчі за допомогою OCR без демонстрації впливу.
- CSRF без впливу на безпеку, що змінює стан (наприклад, CSRF виходу з системи).
- Відсутність заголовків безпеки HTTP (наприклад, X-FRAME-OPTIONS) або - прапорців безпеки файлів cookie (наприклад, "httponly") без демонстрації впливу.
- Розкриття неконфіденційної інформації на стороні сервера, такої як IP-адреси, імена серверів та більшість трас стеку.
- Уразливості, що використовуються лише для перерахування або підтвердження існування користувачів або орендарів, що вимагають від користувача несподіваних дій в додатку, які не є частиною звичайного робочого процесу додатку.
- Відсутність кращих практик SSL/TLS.
- DDoS вразливості.
- Запити на функціонал.
- Проблеми, пов'язані з фронтендом без конкретного впливу та PoC.
- Проблеми з кращими практиками без конкретного впливу і PoC.
- Уразливості, викликані переважно дефектами браузерів/плагінів.
- Витік не чутливих api ключів, наприклад: etherscan, Infura, Alchemy і т.д.
- Будь-які вразливості, що потребують використання помилок браузера, наприклад: обхід CSP.
Наступні види діяльності заборонені цією програмою:
- Будь-яке тестування з контрактами мейннету або публічних тестових мереж; все тестування повинно проводитися на приватних тестових мережах.
- Будь-яке тестування з ціновими оракулами або сторонніми смарт-контрактами.
- Спроби фішингу або інших атак соціальної інженерії проти наших співробітників та/або клієнтів.
- Будь-яке тестування за допомогою сторонніх систем і додатків (наприклад, розширень для браузерів), а також веб-сайтів (наприклад, провайдерів SSO, рекламних мереж).
- Будь-які атаки на відмову в обслуговуванні.
- Автоматизоване тестування сервісів, що генерують значні обсяги трафіку.
- Публічне розкриття незапланованої вразливості в баунті, на який накладено ембарго.
Усі подробиці про винагороду можна знайти тут.
Також можете ознайомитись з офіційним блогом про старт перевірки безпеки Зетачeйн тут.
Слідкувати за останніми новинами можемо в ТВІТТЕРІ або в ANNOUNCEMENTS офіційного дискорд-канала Zetachain.
Також будь яке питання можна поставити в коментарях до їх твіту.
