Protocolo Haven - Programa $100,000 Bug Bounty

Contexto

Históricamente, el equipo del Protocolo Haven ha utilizado recompensas por errores de forma ad hoc para recompensar a los desarrolladores que señalan problemas críticos. Después de las vulnerabilidades de junio de 2021, el equipo anunció rápidamente un aumento en el tamaño de estas recompensas para incentivar más apoyo.

Sobre la base de esto, ahora estamos lanzando un Programa Bug Bounty más formal, para que sea más fácil que nunca para los desarrolladores capacitados apoyar el proyecto y ganar xUSD.

Objetivos del programa

  • Construir una comunidad más amplia de expertos con conocimiento del protocolo. 
  • Fomentar la auditoría periódica y proactiva del código por parte de terceros.
  • Definir un proceso de recompensa y una estructura de recompensa para dar claridad sobre lo que se puede ganar.

¿Cómo funcionará el proceso de recompensa por errores?

A continuación, resumimos los elementos clave del proceso de notificación del protocolo Haven:

  1. Qué constituye un problema de calificación
  2. Cómo se deben informar los problemas
  3. Cómo se procesarán los problemas
  4. La estructura de recompensa recompensa

¿Qué constituye un problema de calificación?

BANDA DETALLES
1 Errores o problemas menores de UX / UI que de otro modo causarían poco daño a la red o problemas a los usuarios
2 Errores o problemas de red o infraestructura que, si no se resuelven, podrían generar problemas de seguridad, estabilidad o confiabilidad del servicio. Puede que no sea urgente.
3 Errores o problemas de red o infraestructura que podrían resultar en el robo de monedas de las billeteras de los usuarios, datos inválidos en la cadena, manipulación de tarifas o tx inválido.
4 Errores o problemas de infraestructura o red críticos sensibles al tiempo que, si no se resuelven, probablemente conducirían a una interrupción de la red a gran escala y / o acuñación ilegal de monedas que causan inflación.

Este programa de recompensas se aplica a cualquier problema que se encuentre en una rama / etiqueta de la última versión, o en un HEAD de master o rama de desarrollo de los siguientes repositorios de Github.

Además, se pueden encontrar problemas no críticos (banda 1) en 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Cualquier otro problema informado, fuera de las definiciones anteriores, se considerará en función de su impacto en el proyecto y se recompensará en consecuencia.

Cómo informar un problema

Cuestiones críticas

Los problemas críticos o urgentes deben informarse por correo electrónico a todos los destinatarios de la lista a continuación. En el caso de detalles confidenciales que podrían usarse para piratear o sabotear la red, use el cifrado PGP. Llave pública:

----BEGIN PGP PUBLIC KEY BLOCK-----
Version: BCPG C# v1.6.1.0
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=EH5K

-----END PGP PUBLIC KEY BLOCK-----

Enviar mensajes de correo electrónico a: bugs@havenprotocol.org

Estos correos electrónicos se reenvían automáticamente a miembros clave del equipo central.

Problemas no críticos

Siempre que no exista ningún riesgo para la red, los problemas no críticos se pueden informar a los miembros del equipo central a través de un mensaje directo en nuestros canales de comunicaciones habituales:

Discordia: https://discordapp.com/invite/CCtNxfG

Telegrama: https://t.me/XHVHavenProtocol

Gorjeo: https://twitter.com/HavenXHV

GitHub


Tenga en cuenta que los problemas informados a través de Github pueden ser visibles públicamente y no deben usarse para errores críticos a menos que se haga de forma privada:

https://github.com/haven-protocol-org

Varios informes

En el caso de que más de una persona informe un problema idéntico, el primero en informarlo en el formato correcto será considerado para la recompensa. 

Cuando se informa de un problema en colaboración con otra persona, la recompensa se dividirá de acuerdo con los deseos conjuntos de los involucrados.

Problemas conocidos

Cuando una persona informa un problema que ya se conoce, no se pagará una recompensa.

¿Cómo se procesarán los problemas?

Una vez registrados, todos los problemas serán procesados por el líder del proyecto, el gerente del proyecto o el líder del protocolo y asignados a las personas relevantes para su investigación. 

Cuando se determine que el problema es lo suficientemente grave, se convocará una reunión para todos los miembros del equipo central (equipo de respuesta) para coordinar una respuesta.

Los pagos de la recompensa se realizarán en un plazo de 30 días.

Estructura de recompensa de recompensa

La estructura que se describe aquí es para proporcionar un nivel de transparencia para los pagos de recompensas. 

Debido a la complejidad del código y la infraestructura involucrados, habrá ocasiones en las que los pagos pueden quedar fuera de las bandas enumeradas anteriormente. 

La calidad de la presentación será un factor en el nivel de compensación considerada.

Incluya lo siguiente en su envío:

  • Descripción del problema
  • Descripción del posible impacto en la seguridad del problema
  • El recurso afectado. por ejemplo, URL, fragmento de código de GitHub, tipo de transacción, etc.
  • Cualquier otra información relevante

NOTA: No revele ningún problema encontrado a nadie, de ninguna forma, fuera del equipo principal. Esto le dará al proyecto el tiempo apropiado para responder. La divulgación a terceros puede descalificar la elegibilidad para recompensas por errores.

La investigación y los informes responsables incluyen, entre otros, los siguientes:

  • No viole la privacidad de otros usuarios, destruya datos, etc.
  • No defraude ni dañe a la red del Protocolo Haven ni a sus usuarios durante su investigación; debe hacer un esfuerzo de buena fe para no interrumpir o degradar nuestros servicios.
  • No apunte a las medidas de seguridad de la red, ni intente utilizar ingeniería social, spam, ataques distribuidos de denegación de servicio (DDoS), etc.
  • El problema solo debe informarse a los miembros del equipo central de Haven y no a nadie más.
  • Danos una cantidad de tiempo razonable para corregir el error antes de divulgarlo a cualquier otra persona, y danos una advertencia por escrito adecuada antes de divulgarlo a cualquier otra persona.
  • En general, investigue e informe los errores de una manera que haga un esfuerzo razonable y de buena fe para no interrumpir o dañar el protocolo o sus usuarios; de lo contrario, sus acciones podrían interpretarse como un ataque en lugar de un esfuerzo por ser útil. .

Los pagos de recompensas serán administrados por el Equipo de Protocolo Haven y estarán en xUSD. Esto permite la certeza del valor para aquellos que informan / solucionan problemas y beneficia a la tesorería del proyecto al hacer que la presupuestación y la contabilidad sean un proceso más simple.

En el caso de disputas con pagos de recompensas, el equipo de respuesta determinará el nivel (banda) de gravedad.

Bandas de pago de recompensas

BANDA PAGOS MÁS BAJOS PAGOS SUPERIORES  
1 $50 $500  
2 $1,000 $5,000  
3 $10,000 $50,000  
4 $25,000 $100,000  

Tenga en cuenta que el equipo central tomará la decisión sobre la elegibilidad del reclamo de recompensa. Esto no se puede discutir y es definitivo. 

Esta es la primera iteración del Programa Bug Bounty Haven. Actualmente estamos hablando con varias plataformas de recompensas de errores de terceros.

es_ESEspañol