Haven-Protokoll – $100,000-Bug-Bounty-Programm

Kontext

In der Vergangenheit hat das Haven-Protokollteam auf Ad-hoc-Basis Fehlerprämien eingesetzt, um Entwickler zu belohnen, die kritische Probleme melden. Nach den Exploits im Juni 2021 kündigte das Team schnell eine Erhöhung dieser Kopfgelder an, um Anreize für mehr Unterstützung zu schaffen.

Darauf aufbauend starten wir jetzt ein formelleres Bug-Bounty-Programm, um es qualifizierten Entwicklern einfacher denn je zu machen, das Projekt zu unterstützen und xUSD zu verdienen.

Programmziele

  • Bauen Sie eine breitere Experten-Community mit Kenntnissen des Protokolls auf 
  • Fördern Sie eine regelmäßige und proaktive Prüfung des Kodex durch Dritte
  • Definieren Sie einen Kopfgeldprozess und eine Belohnungsstruktur, um Klarheit darüber zu schaffen, was verdient werden kann

Wie wird der Bug-Bounty-Prozess ablaufen?

Nachfolgend haben wir die wichtigsten Elemente des Haven-Protokoll-Berichtsprozesses zusammengefasst:

  1. Was ist ein qualifizierendes Problem?
  2. Wie Probleme gemeldet werden sollten
  3. So werden Probleme bearbeitet
  4. Die Kopfgeldbelohnungsstruktur

Was ist ein Qualifizierungsproblem?

BAND EINZELHEITEN
1 Kleinere UX/UI-Bugs oder Probleme, die ansonsten wenig Schaden am Netzwerk oder Probleme für Benutzer verursachen würden
2 Netzwerk- oder Infrastrukturfehler oder Probleme, die, wenn sie nicht behoben werden, zu Sicherheits-, Stabilitäts- oder Servicezuverlässigkeitsproblemen führen können. Kann nicht zeitkritisch sein.
3 Netzwerk- oder Infrastrukturfehler oder Probleme, die zum Diebstahl von Coins aus den Wallets des Benutzers, ungültigen Daten zur Kette, Gebührenmanipulation oder ungültigem Senden führen können.
4 Zeitkritische kritische Netzwerk- oder Infrastrukturfehler oder Probleme, die, wenn sie ungelöst bleiben, wahrscheinlich zu einem groß angelegten Netzwerkausfall und/oder illegaler Münzprägung führen würden, die eine Inflation verursachen.

Dieses Bounty-Programm gilt für jedes Problem, das in einem neuesten Release-Zweig/Tag oder einem HEAD of Master- oder Developer-Zweig der folgenden Github-Repositorys gefunden wird.

Darüber hinaus konnten unkritische (Band 1) Probleme gefunden werden in 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Alle anderen gemeldeten Probleme außerhalb der obigen Definitionen werden auf ihre Auswirkungen auf das Projekt geprüft und entsprechend entlohnt.

So melden Sie ein Problem

Kritische Fragen

Kritische oder zeitkritische Probleme sollten per E-Mail an alle Empfänger in der unten stehenden Liste gemeldet werden. Bei sensiblen Daten, die zum Hacken oder Sabotieren des Netzwerks verwendet werden könnten, verwenden Sie bitte die PGP-Verschlüsselung. Öffentlicher Schlüssel:

----BEGIN PGP PUBLIC KEY BLOCK-----
Version: BCPG C# v1.6.1.0

mQENBGFRonEBCACQ19Qm3jgcbGl6sckFcANrrVcHzlhooFVKWdem/aLZ7e5hmZYS
1jhGTinuGnMNn2KDsMjYZWO5vGdB+IkRK2XxKtFUkj9Ip/kA7wDoAX5RUiNA1TOy
qTK7vuIwHV6AvrQx0vC492acxWpbVK2S8T5pkYHTaz7LwZMbcKcGgw8K5k0JrNRX
Tho4ZYd17Lrinl6O9xG7Sq+a9cw6Yi2xTi5A7nrTlgrQT6yLrTU4q91P+YBsPCEc
BYSp7sWoc0A2fssrAHXQvHAu1tjIBpMbFkAc6Zo4i4QRb3QZfMdOff/dY3YIWJeA
Cth0fyUQog9l2VXdoK+giPAVkwi6YvtgYqb9ABEBAAG0FmJ1Z3NAaGF2ZW5wcm90
b2NvbC5vcmeJARwEEAECAAYFAmFRonEACgkQaKVP4GAdnU+g1Af8DrxJHozMCMdN
bn1osfwgCO5lt9iKk06S6XNnaoZhB4luamNE/aJxwyqFwZ+YvkPPO1+aanXDth/t
6vihPUrXTGQZVz8oCZWm8G1rmbwtaphh5kmFsV1STKe3TNv8anb9JuX2liEOCpjS
Uk2VEmAreZMrThoXA7L0ST9XV/iw5IyvOFK9jMXj/0nPGUYMvF7FahnbGhepLBCG
Vy2TiVgiHwMqAehPtqpLcZgeilL4+REq6hy8JruD0wq9kntnQlGuDUzRLSeiRC1E
hAxRjfU+uWHzmtl8P2evEKv7BXP8mr97/ipbA4WWI4w9z7NoJJgDIkVKuejnhgcz
iCh5G0hKfA==
=EH5K

-----END PGP PUBLIC KEY BLOCK-----

Senden Sie E-Mails an: bugs@havenprotocol.org

Diese E-Mails werden automatisch an wichtige Mitglieder des Kernteams weitergeleitet.

Nicht kritische Probleme

Solange kein Risiko für das Netzwerk besteht, können unkritische Probleme den Mitgliedern des Kernteams per Direktnachricht in unseren üblichen Kommunikationskanälen gemeldet werden:

Zwietracht: https://discordapp.com/invite/CCtNxfG

Telegramm: https://t.me/XHVHavenProtocol

Twitter: https://twitter.com/HavenXHV

GitHub


Bitte beachten Sie, dass über Github gemeldete Probleme möglicherweise öffentlich einsehbar sind und nicht für kritische Fehler verwendet werden sollten, es sei denn, dies geschieht privat:

https://github.com/haven-protocol-org

Mehrere Berichte

In einem Fall, in dem mehr als eine Person ein identisches Problem meldet, wird diejenige, die es zuerst im richtigen Format meldet, für die Kopfgeldbelohnung berücksichtigt. 

Wenn ein Problem in Zusammenarbeit mit einer anderen Person gemeldet wird, wird die Belohnung nach den gemeinsamen Wünschen der Beteiligten aufgeteilt.

Bekannte Probleme

Wenn eine Person ein bereits bekanntes Problem meldet, wird keine Kopfgeldprämie ausgezahlt.

Wie werden Probleme bearbeitet?

Nach der Protokollierung werden alle Probleme entweder vom Projektleiter, Projektmanager oder Protokollleiter bearbeitet und der/den relevanten Person(en) zur Untersuchung zugewiesen. 

Wenn festgestellt wird, dass das Problem schwerwiegend genug ist, wird ein Treffen für alle Mitglieder des Kernteams (Reaktionsteam) einberufen, um eine Reaktion zu koordinieren.

Prämienzahlungen erfolgen innerhalb von 30 Tagen.

Kopfgeld-Belohnungsstruktur

Die hier skizzierte Struktur soll ein gewisses Maß an Transparenz für die Prämienzahlungen bieten. 

Aufgrund der Komplexität des Codes und der Infrastruktur kann es vorkommen, dass Zahlungen außerhalb der oben aufgeführten Bandbreiten liegen. 

Die Qualität der Einreichung wird ein Faktor für die Höhe der berücksichtigten Vergütung sein.

Bitte fügen Sie Ihrer Einreichung Folgendes bei:

  • Beschreibung des Problems
  • Beschreibung der möglichen Sicherheitsauswirkungen des Problems
  • Die betroffene Ressource. zB URL, GitHub-Code-Snippet, Transaktionstyp usw.
  • Alle anderen relevanten Informationen

HINWEIS: Bitte geben Sie keine gefundenen Probleme in irgendeiner Form an Personen außerhalb des Kernteams weiter. Dies gibt dem Projekt eine angemessene Zeit, um zu reagieren. Die Weitergabe an Dritte kann die Berechtigung zum Bug-Bounty disqualifizieren.

Zu den verantwortungsvollen Ermittlungen und Meldungen gehören unter anderem die folgenden:

  • Verletzen Sie nicht die Privatsphäre anderer Benutzer, zerstören Sie keine Daten usw.
  • Betrügen oder schädigen Sie das Haven-Protokoll-Netzwerk oder seine Benutzer während Ihrer Recherche nicht; Sie sollten sich nach Treu und Glauben bemühen, unsere Dienste nicht zu unterbrechen oder zu beeinträchtigen.
  • Greifen Sie nicht auf die Sicherheitsmaßnahmen des Netzwerks zu und versuchen Sie nicht, Social Engineering, Spam, Distributed Denial of Service (DDoS)-Angriffe usw.
  • Das Problem sollte nur an die Mitglieder des Haven-Kernteams und nicht an andere Personen gemeldet werden.
  • Geben Sie uns eine angemessene Zeit, um den Fehler zu beheben, bevor Sie ihn an andere weitergeben, und geben Sie uns eine angemessene schriftliche Warnung, bevor Sie ihn an andere weitergeben.
  • Im Allgemeinen untersuchen und melden Sie Fehler bitte auf eine Weise, die angemessen und nach Treu und Glauben bemüht ist, das Protokoll oder seine Benutzer nicht zu stören oder zu schädigen. Andernfalls könnten Ihre Handlungen als Angriff und nicht als Versuch interpretiert werden, hilfreich zu sein .

Kopfgeldzahlungen werden vom Haven Protocol Team verwaltet und erfolgen in xUSD. Dies sorgt für Wertsicherheit bei der Berichterstattung/Behebung von Problemen und kommt dem Projekt-Treasury zugute, indem die Budgetierung und Buchhaltung vereinfacht wird.

Bei Streitigkeiten mit Kopfgeldzahlungen bestimmt das Reaktionsteam den Schweregrad (Band).

Kopfgeldzahlungsbänder

BAND GERINGERE ZAHLUNGEN OBERZAHLUNGEN  
1 $50 $500  
2 $1,000 $5,000  
3 $10,000 $50,000  
4 $25,000 $100,000  

Bitte beachten Sie, dass das Kernteam die Entscheidung über die Berechtigung des Kopfgeldanspruchs trifft. Dies kann nicht bestritten werden und ist endgültig. 

Dies ist die erste Iteration des Haven Bug Bounty Programms. Wir sprechen derzeit mit verschiedenen Bug-Bounty-Plattformen von Drittanbietern.

de_DE_formalDeutsch (Sie)