October 5, 2023

Программа Bug Bounty компании Obyte предлагает вознаграждение до 50 000 долларов США

В экосистеме Obyte существует множество способов заработать, и один из них может принести огромную награду опытным разработчикам. Мы очень серьезно относимся к нашей безопасности, поэтому у нас есть программа вознаграждения за ошибки для энтузиастов со всего мира, чтобы проверить, могут ли наш код и функции быть уязвимыми для угроз. Эта программа, организованная платформой Immunefi, предлагает до 50 000 долларов за выявление критической ошибки.

Immunefi служит ведущим центром вознаграждения за обнаружение ошибок и служб безопасности для криптопроектов, обеспечивая защиту более чем 60 миллиардов долларов пользовательских средств в многочисленных проектах. Благодаря инклюзивному подходу они охватывают широкий спектр цепочек и сетей, в том числе Obyte. Они классифицируют баги по пятибальной шкале: отсутствие, низкий, средний, высокий и критический как для самого реестра (DLT), так и для их смарт-контрактов, а так же их веб-сайтов и приложений.

В случае обнаружения потенциальных ошибок в Obyte выплаты начинаются со среднего уровня с 1000 долларов США за каждую зарегистрированную угрозу на веб-сайтах, в приложениях и смарт-контрактов. Угрозы высокой степени серьезности получают 2500 долларов США, а критические ошибки в реестре или его смарт-контрактах имеют максимальное вознаграждение (50 000 долларов США). Все это могут оплатить в GBYTE, BTC или OUSD (стейблкоин на Obyte).

Какие ошибки учитываются при получении награды?

Программа вознаграждения за ошибки Obyte охватывает конкретные воздействия в различных областях. К категории DLT относятся критические последствия, такие как отключение сети, непреднамеренный форк сети, требующий хард-форка, а также прямая потеря или замораживание средств пользователей. Критические и серьезные последствия также связаны с проблемами стабильности сети, включая сбои API RPC и сбои консенсуса. Средний и низкий уровень воздействия охватывает такие сценарии, как чрезмерное потребление вычислительных ресурсов ноды и занижение стоимости транзакционных комиссий.

Программа Obyte Bug Bounty Rewards

В области смарт-контрактов критическое воздействие распространяется на прямую кражу или замораживание средств пользователей, а также на манипулирование результатами голосования в governance. К высокому воздействию относятся кража или замораживание невостребованной прибыли, а к среднему — такие случаи, как препятствование работе смарт-контракта и атаки типа “griefing”. К случаям низкого воздействия относятся неспособность контракта выполнить обязательства по возврату средств без потери стоимости.

В секторе “Веб-сайты и приложения” к критическим воздействиям относятся такие серьезные действия, как выполнение системных команд, кража конфиденциальных данных и нарушение работы приложений. К сильным воздействиям относятся такие действия, как подмена содержимого или раскрытие конфиденциальной информации, а к средним — повышение привилегий и утечка API ключей.

Исключены некоторые уязвимости и действия, например, атаки, в которых человек использует себя сам, а также теоретические уязвимости без доказательств. Запрещено тестирование на контрактах mainnet или public testnet, попытки фишинга и DDoS-атаки. Также не допускается автоматическое тестирование, генерирующее значительный трафик, и публичное раскрытие неустраненных уязвимостей в рамках соглашения о неразглашении.

Как сообщить об ошибках?

Прежде всего, необходимо зарегистрироваться на сайте Immunefi и нажать кнопку “Submit a report” на персональной панели. Затем выбирается актив (в данном случае Obyte), репозиторий GitHub, в котором обнаружена ошибка, и последствия, которые эта ошибка может вызвать — например, прямую кражу средств пользователей. Следующий этап — выбор уровня серьезности в соответствии со шкалой Immunefi.

Отправка ошибок

После этого составляется сам отчет, который должен содержать такие детали, как описание, влияние, распределение рисков, рекомендации и ссылки. В случае Obyte все сообщения об ошибках в веб-приложениях и приложениях должны сопровождаться доказательством концепции (Proof-of-Concept, PoC) или подробными шагами по воспроизведению проблемы. Сообщения об ошибках, присланные без PoC, будут отклонены с указанием необходимости его предоставить. Вы можете добавить секретную среду Gist для поддержки вашего PoC.

Наконец, если вы имеете право на вознаграждение, то для его получения вам необходимо сообщить адрес своего кошелька. После этого начнется процесс рассмотрения заявки командой разработчиков Obyte, и вы сможете проверить статус вашей заявки на панели управления Immunefi. Она может иметь девять состояний: Заявлена, На рассмотрении, Требуется дополнительная информация, Рассмотрена, Эскалирована, Подтверждена, Смягчена, Оплачена и Закрыта. Вот и все!

Obyte уже выплатила около 5 000 долларов США белым хакерам через Immunefi, а также около 10 000 долларов США за отчеты о багах до запуска этой программы. Если вы готовы помочь нам улучшить экосистему Obyte, вы также можете ознакомиться с нашими ресурсами для разработчиков и репозиториями на GitHub. Счастливого кодинга!