Вознаграждения за обнаружение ошибок в SNT (до 50 000 $ за найденную ошибку)

Мы запускаем программу вознаграждений за обнаружение ошибок для всех умных контрактов и ПО: https://github.com/status-im/status-network-token.

Эта программа касается не только Status.

Вознаграждения за обнаружение серьезных ошибок будут составлять до 25 000 $ (в BTC или ETH). При нахождении очень серьезных уязвимостей возможны более высокие вознаграждения (до 50 000 $).

Большая часть правил описана здесь: https://bounty.ethereum.org. Например: первым пришел — первым обслужен. На проблемы, которые уже обнаружил другой пользователь или которые известны команде (например, эти), вознаграждение не распространяется.

Масштаб:

Программа охватывает контракты, связанные с кампанией по сбору средств и кодом SNT.

• Сюда входят все контракты, указанные в https://github.com/status-im/status-network-token/.

Продолжительность:

С момента размещения этой публикации программа считается запущенной, и за соответствующие отчеты об ошибках будет выплачиваться вознаграждение. Программа продолжится и после запуска токена.

Вознаграждение:

Мы используем методологию оценки рисков OWASP, чтобы определить уровень угрозы ошибки для продаж.

Примечание: до 100 $

Низкий: до 2000 $

Средний: до 10 000 $

Высокий: до 20 000 $

Критический: до 50 000 $

Пример:

Атака, которая позволит украсть собранные средства, будет считаться критической угрозой.

Если кто-то сможет тратить больше токенов, чем ему принадлежит, или выпускать собственные SNT, ошибка будет считаться угрозой высокого уровня.

Обратите внимание, что качество представления отчетов будет влиять на уровень вознаграждения. Качественные отчеты должны включать объяснение того, как можно воспроизвести ошибку, контрольный пример провала теста и исправление, которое позволит пройти тестирование. За качественные отчеты можно получить вознаграждение, которое превышает указанные выше суммы.

Учтите, что вознаграждения будут выплачиваться в ETH. Платные аудиторы, заключившие договор со Status, вознаграждений не получают. За обнаружение ошибки мы также предлагаем возможность участвовать в кампании с тем же курсом, что и все остальные (10 000 SNT за 1 ETH).

Ответственность за раскрытие информации

Если вы соблюдаете приведенные ниже правила при сообщении о проблеме безопасности, мы не будем подавать иски или возбуждать дело против вас в ответ на отчет.

Мы просим, чтобы:

• Вы давали нам достаточно времени на изучение и решение проблемы, о которой вы сообщаете, прежде чем публиковать какую-либо информацию об отчете или делиться ей с другими.
• Вы старались сохранять конфиденциальность и не доставляли проблем другим, включая (но не ограничиваясь) разрушение данных и прерывание или ухудшение наших услуг.
• Вы не использовали проблему безопасности, которую обнаружили, независимо от причин. (Сюда входит демонстрация дополнительного риска, например попытка скомпрометировать конфиденциальные данные компании или поиск дополнительных проблем).

Контакты

Отправляйте сообщения на электронную почту security@status.im. Вы также можете создать задачу на странице https://github.com/status-im/status-network-token/issues.
Мы принимаем и анонимные отчеты.
Если у вас возникли вопросы относительно других аспектов вознаграждений, то ознакомьтесь с правилами из программы Ethereum Foundation. Большинство из них будут применимы и в нашем случае.