Programa de recompensas por errores

Objetivos del programa

  • Construir una comunidad más amplia de expertos con conocimiento del protocolo. 
  • Fomentar la auditoría periódica y proactiva del código por parte de terceros.
  • Definir un proceso de recompensa y una estructura de recompensa para dar claridad sobre lo que se puede ganar.

¿Cómo funcionará el proceso de recompensa por errores?

A continuación, resumimos los elementos clave del proceso de notificación del protocolo Haven:

  1. Qué constituye un problema de calificación
  2. Cómo se deben informar los problemas
  3. Cómo se procesarán los problemas
  4. La estructura de recompensa recompensa

¿Qué constituye un problema de calificación?

BandaDetalles
1Errores o problemas menores de UX / UI que de otro modo causarían poco daño a la red o problemas a los usuarios
2Errores o problemas de red o infraestructura que, si no se resuelven, podrían generar problemas de seguridad, estabilidad o confiabilidad del servicio. Puede que no sea urgente.
3Errores o problemas de red o infraestructura que podrían resultar en el robo de monedas de las billeteras de los usuarios, datos inválidos en la cadena, manipulación de tarifas o tx inválido.
4Errores o problemas de infraestructura o red críticos sensibles al tiempo que, si no se resuelven, probablemente conducirían a una interrupción de la red a gran escala y / o acuñación ilegal de monedas que causan inflación.

Este programa de recompensas se aplica a cualquier problema que se encuentre en una rama / etiqueta de la última versión, o en un HEAD de master o rama de desarrollo de los siguientes repositorios de Github.

Además, se pueden encontrar problemas no críticos (banda 1) en 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Cualquier otro problema informado, fuera de las definiciones anteriores, se considerará en función de su impacto en el proyecto y se recompensará en consecuencia.

Cómo informar un problema

Cuestiones críticas

Los problemas críticos o urgentes deben informarse por correo electrónico a todos los destinatarios de la lista a continuación. En el caso de detalles confidenciales que podrían usarse para piratear o sabotear la red, use el cifrado PGP. Llave pública:

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=g/J8

-----END PGP PUBLIC KEY BLOCK-----

Enviar mensajes de correo electrónico a: [email protected]

Estos correos electrónicos se reenvían automáticamente a miembros clave del equipo central.

Problemas no críticos

Siempre que no exista ningún riesgo para la red, los problemas no críticos se pueden informar a los miembros del equipo central a través de un mensaje directo en nuestros canales de comunicaciones habituales:

Discordia: https://discordapp.com/invite/CCtNxfG

Telegrama: https://t.me/XHVHavenProtocol

Gorjeo: https://twitter.com/HavenXHV

GitHub


Tenga en cuenta que los problemas informados a través de Github pueden ser visibles públicamente y no deben usarse para errores críticos a menos que se haga de forma privada:

https://github.com/haven-protocol-org

Varios informes

En el caso de que más de una persona informe un problema idéntico, el primero en informarlo en el formato correcto será considerado para la recompensa. 

Cuando se informa de un problema en colaboración con otra persona, la recompensa se dividirá de acuerdo con los deseos conjuntos de los involucrados.

Problemas conocidos

Cuando una persona informa un problema que ya se conoce, no se pagará una recompensa.

¿Cómo se procesarán los problemas?

Una vez registrados, todos los problemas serán procesados por el líder del proyecto, el gerente del proyecto o el líder del protocolo y asignados a las personas relevantes para su investigación. 

Cuando se determine que el problema es lo suficientemente grave, se convocará una reunión para todos los miembros del equipo central (equipo de respuesta) para coordinar una respuesta.

Los pagos de la recompensa se realizarán en un plazo de 30 días.

Estructura de recompensa de recompensa

La estructura que se describe aquí es para proporcionar un nivel de transparencia para los pagos de recompensas. 

Debido a la complejidad del código y la infraestructura involucrados, habrá ocasiones en las que los pagos pueden quedar fuera de las bandas enumeradas anteriormente. 

La calidad de la presentación será un factor en el nivel de compensación considerada.

Incluya lo siguiente en su envío:

  • Descripción del problema
  • Descripción del posible impacto en la seguridad del problema
  • El recurso afectado. por ejemplo, URL, fragmento de código de GitHub, tipo de transacción, etc.
  • Cualquier otra información relevante

NOTA: No revele ningún problema encontrado a nadie, de ninguna forma, fuera del equipo principal. Esto le dará al proyecto el tiempo apropiado para responder. La divulgación a terceros puede descalificar la elegibilidad para recompensas por errores.

La investigación y los informes responsables incluyen, entre otros, los siguientes:

  • No viole la privacidad de otros usuarios, destruya datos, etc.
  • No defraude ni dañe a la red del Protocolo Haven ni a sus usuarios durante su investigación; debe hacer un esfuerzo de buena fe para no interrumpir o degradar nuestros servicios.
  • No apunte a las medidas de seguridad de la red, ni intente utilizar ingeniería social, spam, ataques distribuidos de denegación de servicio (DDoS), etc.
  • El problema solo debe informarse a los miembros del equipo central de Haven y no a nadie más.
  • Danos una cantidad de tiempo razonable para corregir el error antes de divulgarlo a cualquier otra persona, y danos una advertencia por escrito adecuada antes de divulgarlo a cualquier otra persona.
  • En general, investigue e informe los errores de una manera que haga un esfuerzo razonable y de buena fe para no interrumpir o dañar el protocolo o sus usuarios; de lo contrario, sus acciones podrían interpretarse como un ataque en lugar de un esfuerzo por ser útil. .

Los pagos de recompensas serán administrados por el Equipo de Protocolo Haven y estarán en xUSD. Esto permite la certeza del valor para aquellos que informan / solucionan problemas y beneficia a la tesorería del proyecto al hacer que la presupuestación y la contabilidad sean un proceso más simple.

En el caso de disputas con pagos de recompensas, el equipo de respuesta determinará el nivel (banda) de gravedad.

Bandas de pago de recompensas

BandaPagos más bajosPagos superiores
1$50$250
2$250$2,500
3$2,500$10,000
4$10,000$50,000

Tenga en cuenta que los desarrolladores / contribuyentes principales tomarán la decisión sobre la elegibilidad del reclamo de recompensa. Esto no se puede discutir y es definitivo. 

Esta es la primera iteración del programa de recompensas de errores Haven y, como tal, se revisará regularmente para garantizar que siga siendo adecuado para su propósito.

es_ESEspañol