Объявление о программе вознаграждений за поиск ошибок в Aleo
Дата публикации в официальном блоге и автор:
May 30, 2023
Anthony DiPrinzio
Translated by discord: egormajj#0340
Компания Aleo придерживается принципа безопасности. Именно поэтому мы с радостью запустили программу “Aleo Bug Bounty Program”, предназначенную для вознаграждения исследователей безопасности и “”хакеров в белой шляпе”, которые помогают нам выявлять и сообщать об уязвимостях в основном протоколе Aleo. В сотрудничестве с нашими партнерами из HackerOne и BugCrowd мы стремимся стимулировать квалифицированных разработчиков по всему миру, чтобы они помогли укрепить сеть Aleo. Для тех, кто готов принять вызов, мы предлагаем начальное вознаграждение в размере 500 000 долларов США!
В этой инаугурационной программе вознаграждения за ошибки мы сосредоточимся на ошибках, связанных с нашим основным протоколом, а именно с репозиториями snarkOS и snarkVM на GitHub. Поскольку Aleo в настоящее время находится в тестовой сети, мы хотим выявить и устранить серьезные уязвимости, которые могут существенно повлиять на сеть Aleo. Устранение этих проблем до выхода в mainnet обеспечит нам проактивное поддержание самых высоких стандартов безопасности. Со временем сфера действия этой программы будет расширяться и станет более общей, обеспечивая постоянную безопасность и совершенствование экосистемы Aleo.
Мы призываем исследователей безопасности и хакеров в белых шляпах присоединиться к нашей миссии по обеспечению безопасности экосистемы Aleo в преддверии запуска основной сети. Участвуя в программе “Bug Bounty Program”, вы можете оказать значимое влияние на общую безопасность платформы, получив признание и вознаграждение за свой ценный вклад.
Обзор
Эта программа вознаграждения за ошибки запускается на HackerOne и BugCrowd. Мы сотрудничаем с этими платформами, чтобы расширить круг исследователей безопасности и хакеров-белошляпников, которые могут захотеть принять участие в этой программе. Сосредоточившись на уязвимостях в репозиториях snarkOS и snarkVM на GitHub, участники могут отправлять сообщения об ошибках через нашу страницу программы “bug bounty” на платформах HackerOne или BugCrowd. Вы сами решаете, на какую платформу отправить сообщение об ошибке, поскольку рамки программы идентичны. Для этой программы у нас есть начальный фонд вознаграждений в размере 500 000 долларов США. Сумма, которую вы можете получить за каждое отправленное сообщение об ошибке, будет зависеть от серьезности выявленной уязвимости и ее влияния на основной протокол Aleo.
Краткое описание программы
Программа Aleo Bug Bounty Program предназначена для поощрения обнаружения и сообщения об уязвимостях ТОЛЬКО в следующих репозиториях AleoHQ GitHub:
Представленные отчеты об ошибках считаются входящими в сферу охвата, если в них обнаружена уязвимость, влияющая на одну из этих двух репозиториев. В целом, сфера действия нашей программы довольно обширна. Участники, отправившие принятое сообщение об ошибке, получат вознаграждение в размере USD в зависимости от степени серьезности проблемы, как это определено таксономией рейтинга уязвимостей BugCrowd или общей системой оценки уязвимостей HackerOne (CVSS). Обратите внимание, что приоритеты/рейтинги могут отличаться от любой из этих систем оценки. На каждой странице программы мы приводим конкретные примеры того, что является критической, высокой, средней или низкой степенью серьезности ошибки. Для получения дополнительной информации, пожалуйста, посетите соответствующие страницы на HackerOne или BugCrowd.
Ниже приведена таблица, в которой указаны различные уровни серьезности ошибок в данной программе, а также соответствующие им диапазоны вознаграждений. Основная команда Aleo оставляет за собой право присуждать дополнительную премию за исключительные отчеты независимо от степени серьезности ошибки.
Также возможно, что особо серьезные проблемы или проблемы с непропорциональным воздействием могут получить вознаграждение свыше $25 000. Предельной суммы, которая может быть присуждена в этом случае, не существует. Определение суммы остается на усмотрение основной команды Aleo.
Вознаграждение за серьезность (USD)
- Критический — $10,000 — $25,000+
- Высокая — $5,000 — $10,000
- Средняя- $2,000 — $5,000
- Низкая — $500 до $2,000
Вот как принять участие
Чтобы принять участие в программе Aleo Bug Bounty Program, выполните следующие действия:
- Выявите уязвимость, влияющую на репозитории snarkOS и/или snarkVM на GitHub.
- Отправьте сообщение об ошибке на странице программы Aleo через HackerOne или BugCrowd.
a. Для любой из этих платформ вы должны создать учетную запись и следовать их правилам и рекомендациям.
b. На странице каждой программы есть информация о том, что требуется для отправки действительного сообщения об ошибке. - Пожалуйста, следуйте этим инструкциям.
Ожидайте рассмотрения нашей командой. Мы уведомим вас о нашей оценке, как только сможем. В зависимости от сложности сообщения об ошибке это может занять некоторое время. - Если сообщение об ошибке будет признано действительным, вам сообщат сумму вознаграждения и выплатят ее, используя банковскую информацию, которую вы указали при регистрации на H1 или BC.
Первоначальная проверка представленных сообщений об ошибках будет проводиться группой сортировки наших партнеров по платформе. После этого первоначального рассмотрения члены основной команды Aleo проведут углубленную оценку и определят соответствующее вознаграждение в зависимости от степени серьезности проблемы. В случае дублирования сообщения об ошибке вознаграждение получит тот, кто первым сообщил о проблеме. Не забывайте придерживаться рамок программы, описанных на HackerOne и BugCrowd, поскольку заявки, выходящие за эти рамки, рассматриваться не будут.
Соответствующие ссылки
Успех Aleo зависит от бдительности и опыта квалифицированных разработчиков. Эта программа вознаграждения за ошибки является подтверждением нашего стремления вознаграждать тех, кто помогает нам обеспечивать высокий уровень безопасности для наших пользователей.
Не ждите — зайдите на страницу программы баунти компании Aleo на HackerOne или BugCrowd, чтобы узнать больше о масштабах программы, правилах и процессе подачи заявок. Вместе мы сможем создать более безопасную и надежную экосистему Aleo.
Положения и условия
Чтобы претендовать на вознаграждение, вы должны пройти KYC/AML и проверку OFAC в соответствии с внутренними правилами Aleo. Если вы не сможете успешно пройти процесс KYC/AML, вы будете автоматически дисквалифицированы. Когда вы регистрируетесь на HackerOne или BugCrowd, вы автоматически должны будете пройти этот процесс.
Вы также должны будете соблюдать все положения и условия, изложенные HackerOne и/или BugCrowd, а также Условия предоставления услуг в рамках программы Aleo Ecosystem Contributor Program.
Сообщить об ошибке — https://hackerone.com/a2470075-f509-4046-a120-3184be3b6a07/embedded_submissions/new
Оригинал статьи:
https://www.aleo.org/post/announcing-the-aleo-bug-bounty-program
