Open in app

Sign in

Write

Sign in

IoTeX Bug Bounty Programm für iotex-core

IoTeX | DACH
4 min readFeb 13, 2019

IoTeX freut sich, das brandneue Belohnungsprogramm für Entwickler*innen bekannt zu geben! Ein Bug Bounty-Programm ist ein offenes Angebot für Externe, eine Belohnung für den Report von Bugs im iotex-core zu erhalten, speziell auf die Sicherheit der Kernfunktionen bezogen.

Keine Technologie ist perfekt. IoTeX ist davon überzeugt, dass die Zusammenarbeit mit Forschern, Entwicklern, Ingenieuren und Technologen auf der ganzen Welt entscheidend ist, um Schwachstellen in unserer Blockchain-Infrastruktur schon während der Entwicklung zu erkennen. Wenn du in unserem Produkt oder Service ein Sicherheitsproblem gefunden hast, bitten wir dich, uns darauf hinzuweisen. Wir freuen uns dann sehr, mit dir an der Lösung des Problems zu arbeiten und dich dafür zu belohnen.

Kampagnenzeitraum

11.02.2019, 10 pm PST — 31.03.2019, 10 pm PST

Scope

Der Umfang des Programms ist auf technische Schwachstellen in der neuesten IoTeX-Blockchain-Software beschränkt.

iotexproject/iotex-core

Official Go implementation of the IoTeX protocol. Contribute to iotexproject/iotex-core development by creating an…

github.com

Der Schwerpunkt liegt dabei auf Schwachstellen:

  • des P2P-Netzwerk-Layers
  • der Verarbeitungsebene des Konsensusmechanismus
  • des Business-Logic-Layers für die Verarbeitung von Blöcken und Transaktionen
  • des Ausführungslayers zur Verarbeitung der Smart Contracts
  • Drittanbieter-Software / Libs, die in den vier genannten Layern genutzt wird

Die folgenden, häufig gemeldeten Elemente sind uns bekannt und brauchen deshalb NICHT reportet werden:

  • Sicherheitsverfahren für die DNS-Einrichtung und E-Mail-Authentifizierung
  • Sicherheitspraktiken für unsere Websites (iotex.io, iotexscan.io usw.)
    Social-Media-Spams
  • Phishing-Angriffe

Schwachstellen, die zur Belohnung qualifiziert sind

Um sich für die Prämie zu qualifizieren, muss der Sicherheitsfehler original und vorher noch nicht gemeldet worden sein. Nur die folgenden Design- oder Implementierungsprobleme, die die Stabilität oder Sicherheit der IoTeX-Blockchain wesentlich beeinträchtigen, sind für Belohnungen qualifiziert.

Oft anzutreffende Probleme sind z. B.:

  • Phishing-Angriffe
  • Leaks des Private Key, wobei der Host-Computer nicht gefährdet ist
  • Auslösung von nicht autorisierten Aktionen auf Konten, z. B. unbefugte Überweisungen von Coins
  • ein spezielles Paket / eine spezielle Nachricht / ein spezieller Aufruf, durch den der Prozess abstürzt
  • Senden eines Contracts in eine Endlosschleife oder Nutzung von großen Speichermengen

Auch zu Szenarien, die nicht in eine der genannten Kategorien fallen, freuen wir uns über Berichte und belohnen diese von Fall zu Fall. Beachtet bitte, dass die Entscheidung über die Belohnung im Ermessen der IoTeX Foundation liegt.

Belohnungen

  • Der Grundbetrag einer Belohnung beträgt derzeit 10.000 IOTX. Der konkrete Betrag unterliegt der Schwere des gemeldeten Fehlers gemäß der untenstehenden Tabelle.
  • Der endgültige Betrag liegt immer im Ermessen des Belohnungspanels
  • Wir zahlen höhere Belohnungen für ungewöhnlich clevere oder schwerwiegende Schwachstellen und weniger für Schwachstellen, die eine ungewöhnliche Benutzerinteraktion erfordern. Wir behalten uns eine Entscheidung darüber vor, ob ein einzelner Bericht tatsächlich mehrere Fehler darstellt oder ob die Fehler mehrerer Berichte so eng miteinander verknüpft sind, dass sie nur eine einzige Belohnung rechtfertigen.
  • Bei mehreren Schwachstellen mit nur einer Ursache, bei der ein Fix zur Behebung angewendet werden kann, betrachten wir dies als eine Schwachstelle und vergeben entsprechend auch nur eine Belohnung.

Bericht

Wenn du eine Sicherheitsanfälligkeit gefunden haben, sende uns bitte über http://iotex.io/bugs einen Bericht mit den folgenden Informationen:

  1. Schwere des Problems
  2. Zusammenfassung der Sicherheitsproblems
  3. Weitere Informationen zum Sicherheitsproblem
  4. Schritte zur Reproduktion
  5. Unterstützendes Material / Referenzen, z. B. Quellcode, Skripts
  6. Sicherheitsauswirkungen, die ein Angreifer erzielen kann
  7. Deinen Namen und dein Land. Nicht identifizierte Einsender können nicht belohnt werden.

Beachte bitte, dass

  • nur dann eine Belohnung ausgezahlt wird, wenn du uns als erste*r auf einen zuvor unbekannten Fehler aufmerksam gemacht hast. Wir werden dich auf jeden Fall über Annahme, Validierung, Entscheidung und Auszahlung auf dem Laufenden halten.
  • Wir freuen uns über technische Diskussionen in https://gitter.im/iotex-dev-community/Lobby. Gib dort bitte jedoch keine Bug-Details an, ohne uns vorher darüber zu informieren.
  • Unser Engineering-Team (das mit einer gültigen E-Mail von @iotex.io aus kommuniziert) wird dich bei Bedarf um weitere Informationen zu m gemeldeten Fehler bitten.

Haftungsausschluß

Hierbei handelt es sich um ein experimentelles und diskretionäres Belohnungsprogramm. Die IoTeX Foundation kann das Programm jederzeit beenden. Die Entscheidung, ob eine Belohnung gezahlt wird, liegt ausschließlich im Ermessen der IoTeX Foundation. Die Exploits oder Tests der Teilnehmer sollten nicht gegen Gesetze verstoßen oder unerlaubt Daten verwenden oder kompromittieren.

Zum Abschluss

IoTeX strebt danach, unsere Community an der aufregenden und innovativen Technologieentwicklung von Blockchain-Plattformen teilhaben zu lassen. Wir freuen uns auf die Zusammenarbeit mit begeisterten Entwicklern, die die Welt mit IoTeX-basierten Produkten verändern wollen — und belohnen eure Beiträge dazu.

Happy Hunting!

(Link zum englischsprachigen Original)

Über IoTeX

IoTeX wurde 2017 als Open-Source-Projekt gegründet und baut die weltweit führende Blockchain-Plattform für das Internet der Dinge (IoT). IoTeX’ Mission ist es, eine dezentrale Vertrauensstruktur für eine neue Ära der Kooperation und des Datenaustauschs zwischen Geräten, Anwendungen und Personen zu erschaffen. Dank eines globalen Teams aus Forschern und Top-Ingenieuren kombiniert IoTeX dafür Blockchain, Trusted Hardware und Edge-Computing, um das volle Potenzial des IoT auszuschöpfen.

Bleibt dran!

Webseite: https://iotex.io/

Twitter: https://twitter.com/iotex_io

Twitter (deutsch): https://twitter.com/iotex_DACH

Telegram Announcement Channel: https://t.me/iotexchannel

Telegram-Community: https://t.me/IoTeXGroup

Telegram-Community (deutsch): https://t.me/IoTeXGroupDE

Medium: https://medium.com/@iotex

Reddit: https://www.reddit.com/r/IoTeX/

Karriere: https://iotex.io/careers

--

--

IoTeX | DACH

Written by IoTeX | DACH

26 Followers

Blockchain, Trusted Hardware und Datenservices für das Internet of Trusted Things | iotex.io

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams