Программа Bug Bounty для iotex-core

IoTeX_Russian
4 min readFeb 12, 2019

IoTeX рад объявить о новой программе вознаграждений для разработчиков в нашем сообществе! Программа Bug Bounty открыта для всех и каждый сможет получить компенсацию за сообщение об ошибках в iotex-core, особенно связанных с безопасностью основной функциональности.

Ни одна технология не идеальна, и IoTeX считает, что работа с исследователями, разработчиками, инженерами и техническими специалстами по всему миру имеет решающее значение для выявления слабых сторон в нашей инфраструктуре блокчейна, пока мы заняты построением. Если вы считаете, что обнаружили проблему безопасности в нашем продукте или услуге, мы просим вас сообщить нам и будем рады сотрудничеству с вами для быстрого решения проблемы.

Период кампании

12.02.2019 9:00 (МСК) до 01.04.2019 9:00 (МСК)

Масштаб

Область применения программы ограничена техническими уязвимостями в последнем программном обеспечении блокчейна IoTeX

с особым акцентом на уязвимости в:

  • Сетевом уровне P2P
  • Уровне обработки консенсуса
  • Бизнес-логике для обработки блоков итранзакций
  • Уровне выполнения для запуска смарт-контрактов
  • Стороннем программном обеспечении/lib, которые используются в вышеуказанных четырех уровнях

Нам известны следующие пункты, о которых НЕ следует сообщать:

  • Безопастность настройки DNS и аутентификации электронной почты
  • Безопастность наших веб-сайтов (iotex.io, iotexscan.io, и др.)
  • Спам в социальных сетях
  • Фишинговые атаки

Отбор уязвимостей

Чтобы претендовать на получение награды, ошибка безопасности должна быть оригинальной и ранее не опубликованной.

Только следующие проблемы проектирования или реализации, которые существенно влияют на стабильность или безопасность блокчейна IoTeX, могут быть квалифицированы для получения награды. Общие примеры включают в себя:

  • Утечка секретного ключа, когда хост-машина не скомпрометирована
  • Инициирование несанкционированных действий на счетах, например, несанкционированный перевод монет со счетов
  • Специальный пакет/сообщение/вызов, подвергающий к сбою процесса
  • Отправка контракта в бесконечный цикл или использование большого объема памяти

Для сценариев, которые не попадают в одну из вышеуказанных категорий, мы по-прежнему ценим сведения, которые помогают нам защитить нашу инфраструктуру и наших пользователей, и будем вознаграждать эти сообщения в индивидуальном порядке. Обратите внимание, что решения о вознаграждении принимаются по усмотрению IoTeX Foundation.

Вознаграждение

Для квалифицированных сведений,

  • Основная сумма вознаграждения в настоящее время составляет 10,000 IOTX, а конкретная сумма зависит от серьезности сообщенной ошибки, согласно следующей таблице.
  • Окончательная сумма всегда зависит от уровня критичности, см таблицу вознаграждений.
  • Мы платим более высокие вознаграждения за необычайно искусные или серьезные уязвимости и платим более низкие вознаграждения за уязвимости, которые требуют необычного взаимодействия с пользователем. Мы также решаем представляет ли один отчет несколько ошибок или если несколько сообщений настолько тесно связаны, что требуют только одного вознаграждения.
  • Для нескольких уязвимостей с одной основной причиной, где одно исправление может решить все проблемы, мы рассматриваем это как одну уязвимость и награждаем, только один раз.

Сообщение об ошибках

Если вы обнаружили уязвимость, отправьте отчет на http://iotex.io/bugs со следующей информацией:

  1. Серьезность проблемы
  2. Краткое описание уязвимости
  3. Любые дополнительные сведения об этой уязвимости
  4. Действия по устранению
  5. Вспомогательные материалы/ссылки, например, исходный код, скрипты
  6. Влияние на безопасность, которое может получить злоумышленник
  7. Ваше имя и страна, например, неопознанные заявители не будут иметь право на вознаграждение

Обратите внимание,

  • Вы получите право на вознаграждение только в том случае, если вы будете первым, кто предупредит нас о ранее неизвестной ошибке. Мы сообщим вам о ходе выполнения вашего отчета, когда он будет принят, утвержден, исправлен и когда последует вознаграждение.
  • Технические обсуждения в https://gitter.im/iotex-dev-community/Lobby приветствуются, но не раскрывайте подробности об ошибках без предварительного уведомления.
  • Наша команда инженеров (которая общаяется только через письма с доменом @iotex.io) может обратиться к вам за дополнительной информацией об ошибке, если это необходимо.

Отказ от ответственности

Это экспериментальная и дискреционная программа вознаграждений, и IoTeX Foundation может отменить программу в любое время, а решение о выплате вознаграждения будет приниматься исключительно по усмотрению IoTeX Foundation. Эксплуатация или тестирования участников не должны нарушать какие-либо законы или ставить под угрозу любые неразрешенные данные.

В заключение

IoTeX всегда желает, чтобы наше сообщество принимало участие в захватывающих и передовых технологиях блокчейн-платформ. Мы рассчитываем на взаимодействие с более увлеченными разработчиками, которые изменят мир с помощью продуктов, основанных на IoTeX, и будут вознаграждены за их вклад. Хорошей охоты!

О проекте IoTeX

IoTeX — первая в мире блокчейн платформа, ориентированная на конфиденциальность, которая является быстрой, гибкой и дружелюбной к сфере Интернета Вещей (IoT). Команда IoTeX состоит из кандидатов наук в области криптографии, распределенных систем и машинного обучения, инженеров высшего уровня и опытных строителей экосистем. Разработанный и оптимизированный для IoT, IoTeX использует современные методы сохранения конфиденциальности, консенсуса и инновации субцепей, чтобы охватить весь потенциал IoT. Путем использования доверенных данных, совместимость, и автоматизацию M2M, IoTeX соединяет физические и цифровые миры и приносит доверяемые машинные экономики к массам.

Оставайтесь в курсе всех событий и подписывайтесь на наши каналы!

Сайт: https://iotex.io
Канал новостей в Телеграмме:
https://t.me/iotexchannel
Главный канал в Телеграмме:
https://t.me/IoTeXGroup
Русский канал в Телеграмме:
https://t.me/IoTeXGroupRU
Твиттер:
https://twitter.com/iotex_io
Медиум:
https://medium.com/@iotex
Реддит:
https://www.reddit.com/r/IoTeX/
Присоединяйтесь к нам:
https://iotex.io/careers

--

--

IoTeX_Russian

«соединение физического мира, блок за блоком»