Программа Bug Bounty для iotex-core

IoTeX рад объявить о новой программе вознаграждений для разработчиков в нашем сообществе! Программа Bug Bounty открыта для всех и каждый сможет получить компенсацию за сообщение об ошибках в iotex-core, особенно связанных с безопасностью основной функциональности.

Ни одна технология не идеальна, и IoTeX считает, что работа с исследователями, разработчиками, инженерами и техническими специалстами по всему миру имеет решающее значение для выявления слабых сторон в нашей инфраструктуре блокчейна, пока мы заняты построением. Если вы считаете, что обнаружили проблему безопасности в нашем продукте или услуге, мы просим вас сообщить нам и будем рады сотрудничеству с вами для быстрого решения проблемы.

Период кампании

12.02.2019 9:00 (МСК) до 01.04.2019 9:00 (МСК)

Масштаб

Область применения программы ограничена техническими уязвимостями в последнем программном обеспечении блокчейна IoTeX

iotexproject/iotex-core

с особым акцентом на уязвимости в:

• Сетевом уровне P2P
• Уровне обработки консенсуса
• Бизнес-логике для обработки блоков итранзакций
• Уровне выполнения для запуска смарт-контрактов
• Стороннем программном обеспечении/lib, которые используются в вышеуказанных четырех уровнях

Нам известны следующие пункты, о которых НЕ следует сообщать:

• Безопастность настройки DNS и аутентификации электронной почты
• Безопастность наших веб-сайтов (iotex.io, iotexscan.io, и др.)
• Спам в социальных сетях
• Фишинговые атаки

Отбор уязвимостей

Чтобы претендовать на получение награды, ошибка безопасности должна быть оригинальной и ранее не опубликованной.

Только следующие проблемы проектирования или реализации, которые существенно влияют на стабильность или безопасность блокчейна IoTeX, могут быть квалифицированы для получения награды. Общие примеры включают в себя:

• Утечка секретного ключа, когда хост-машина не скомпрометирована
• Инициирование несанкционированных действий на счетах, например, несанкционированный перевод монет со счетов
• Специальный пакет/сообщение/вызов, подвергающий к сбою процесса
• Отправка контракта в бесконечный цикл или использование большого объема памяти

Для сценариев, которые не попадают в одну из вышеуказанных категорий, мы по-прежнему ценим сведения, которые помогают нам защитить нашу инфраструктуру и наших пользователей, и будем вознаграждать эти сообщения в индивидуальном порядке. Обратите внимание, что решения о вознаграждении принимаются по усмотрению IoTeX Foundation.

Вознаграждение

Для квалифицированных сведений,

• Основная сумма вознаграждения в настоящее время составляет 10,000 IOTX, а конкретная сумма зависит от серьезности сообщенной ошибки, согласно следующей таблице.
• Окончательная сумма всегда зависит от уровня критичности, см таблицу вознаграждений.
• Мы платим более высокие вознаграждения за необычайно искусные или серьезные уязвимости и платим более низкие вознаграждения за уязвимости, которые требуют необычного взаимодействия с пользователем. Мы также решаем представляет ли один отчет несколько ошибок или если несколько сообщений настолько тесно связаны, что требуют только одного вознаграждения.
• Для нескольких уязвимостей с одной основной причиной, где одно исправление может решить все проблемы, мы рассматриваем это как одну уязвимость и награждаем, только один раз.

Сообщение об ошибках

Если вы обнаружили уязвимость, отправьте отчет на http://iotex.io/bugs со следующей информацией:

1. Серьезность проблемы
2. Краткое описание уязвимости
3. Любые дополнительные сведения об этой уязвимости
4. Действия по устранению
5. Вспомогательные материалы/ссылки, например, исходный код, скрипты
6. Влияние на безопасность, которое может получить злоумышленник
7. Ваше имя и страна, например, неопознанные заявители не будут иметь право на вознаграждение

Обратите внимание,

• Вы получите право на вознаграждение только в том случае, если вы будете первым, кто предупредит нас о ранее неизвестной ошибке. Мы сообщим вам о ходе выполнения вашего отчета, когда он будет принят, утвержден, исправлен и когда последует вознаграждение.
• Технические обсуждения в https://gitter.im/iotex-dev-community/Lobby приветствуются, но не раскрывайте подробности об ошибках без предварительного уведомления.
• Наша команда инженеров (которая общаяется только через письма с доменом @iotex.io) может обратиться к вам за дополнительной информацией об ошибке, если это необходимо.

Отказ от ответственности

Это экспериментальная и дискреционная программа вознаграждений, и IoTeX Foundation может отменить программу в любое время, а решение о выплате вознаграждения будет приниматься исключительно по усмотрению IoTeX Foundation. Эксплуатация или тестирования участников не должны нарушать какие-либо законы или ставить под угрозу любые неразрешенные данные.

В заключение

IoTeX всегда желает, чтобы наше сообщество принимало участие в захватывающих и передовых технологиях блокчейн-платформ. Мы рассчитываем на взаимодействие с более увлеченными разработчиками, которые изменят мир с помощью продуктов, основанных на IoTeX, и будут вознаграждены за их вклад. Хорошей охоты!

О проекте IoTeX

IoTeX — первая в мире блокчейн платформа, ориентированная на конфиденциальность, которая является быстрой, гибкой и дружелюбной к сфере Интернета Вещей (IoT). Команда IoTeX состоит из кандидатов наук в области криптографии, распределенных систем и машинного обучения, инженеров высшего уровня и опытных строителей экосистем. Разработанный и оптимизированный для IoT, IoTeX использует современные методы сохранения конфиденциальности, консенсуса и инновации субцепей, чтобы охватить весь потенциал IoT. Путем использования доверенных данных, совместимость, и автоматизацию M2M, IoTeX соединяет физические и цифровые миры и приносит доверяемые машинные экономики к массам.

Оставайтесь в курсе всех событий и подписывайтесь на наши каналы!

Сайт: https://iotex.io
Канал новостей в Телеграмме: https://t.me/iotexchannel
Главный канал в Телеграмме: https://t.me/IoTeXGroup
Русский канал в Телеграмме: https://t.me/IoTeXGroupRU
Твиттер: https://twitter.com/iotex_io
Медиум: https://medium.com/@iotex
Реддит: https://www.reddit.com/r/IoTeX/
Присоединяйтесь к нам: https://iotex.io/careers