Protocole Haven - $100,000 Bug Bounty Program

Le contexte

Historiquement, l'équipe du protocole Haven a utilisé des primes de bogue sur une base ad hoc pour récompenser les développeurs qui signalent des problèmes critiques. À la suite des exploits de juin 2021, l'équipe a rapidement annoncé une augmentation de la taille de ces primes pour inciter à davantage de soutien.

Sur cette base, nous lançons maintenant un programme Bug Bounty plus formel, pour permettre aux développeurs qualifiés de soutenir le projet plus facilement que jamais et de gagner xUSD.

Objectifs du programme

  • Construire une communauté plus large d'experts connaissant le protocole 
  • Encourager un audit régulier et proactif du code par des tiers
  • Définir un processus de primes et une structure de récompense pour clarifier ce qui peut être gagné

Comment le processus de bug bounty fonctionnera-t-il ?

Nous avons résumé ci-dessous les éléments clés du processus de rapport du protocole Haven :

  1. Qu'est-ce qui constitue une question admissible
  2. Comment les problèmes doivent être signalés
  3. Comment les problèmes seront traités
  4. La structure de récompense des primes

Qu'est-ce qui constitue un problème de qualification?

BANDE DES DÉTAILS
1 Bugs ou problèmes mineurs d'UX/UI qui causeraient autrement peu de dommages au réseau ou de problèmes pour les utilisateurs
2 Des bogues ou des problèmes de réseau ou d'infrastructure qui, s'ils ne sont pas résolus, pourraient entraîner des problèmes de sécurité, de stabilité ou de fiabilité du service. Peut ne pas être sensible au temps.
3 Bogues ou problèmes de réseau ou d'infrastructure pouvant entraîner le vol de pièces dans les portefeuilles des utilisateurs, des données invalides sur la chaîne, une manipulation des frais ou des tx invalides.
4 Des bogues ou des problèmes critiques de réseau ou d'infrastructure qui, s'ils ne sont pas résolus, entraîneraient probablement une panne de réseau à grande échelle et/ou la frappe illégale de pièces qui causent l'inflation.

Ce programme de primes s'applique à tout problème trouvé dans une branche/étiquette de dernière version, ou un HEAD de master ou de développer une branche des référentiels Github suivants.

De plus, des problèmes non critiques (bande 1) pourraient être trouvés dans 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Tout autre problème signalé, en dehors des définitions ci-dessus, sera pris en compte en fonction de son impact sur le projet et récompensé en conséquence.

Comment signaler un problème

Des problèmes critiques

Les problèmes critiques ou urgents doivent être signalés par e-mail à tous les destinataires de la liste ci-dessous. Dans le cas de détails sensibles qui pourraient être utilisés pour pirater ou saboter le réseau, veuillez utiliser le cryptage PGP. Clé publique:

----BEGIN PGP PUBLIC KEY BLOCK-----
Version: BCPG C# v1.6.1.0
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=EH5K

-----END PGP PUBLIC KEY BLOCK-----

Envoyez des e-mails à : bugs@havenprotocol.org

Ces e-mails sont transmis automatiquement aux membres clés de l'équipe principale.

Problèmes non critiques

Tant qu'il n'y a aucun risque pour le réseau, les problèmes non critiques peuvent être signalés aux membres de l'équipe principale via un message direct dans nos canaux de communication habituels :

Discorde: https://discordapp.com/invite/CCtNxfG

Télégramme: https://t.me/XHVHavenProtocol

Twitter: https://twitter.com/HavenXHV

GitHub


Veuillez garder à l'esprit que les problèmes signalés via Github peuvent être visibles publiquement et ne doivent pas être utilisés pour les bogues critiques, sauf si cela est fait en privé :

https://github.com/haven-protocol-org

Rapports multiples

Dans le cas où plus d'une personne signale un problème identique, la première à le signaler dans le bon format sera prise en compte pour la récompense de prime. 

Lorsqu'un problème est signalé en collaboration avec une autre personne, la récompense sera répartie selon les souhaits communs des personnes concernées.

Problèmes connus

Lorsqu'une personne signale un problème déjà connu, une récompense de prime ne sera pas payable.

Comment les problèmes seront-ils traités ?

Une fois enregistrés, tous les problèmes seront traités par le chef de projet, le chef de projet ou le responsable du protocole et assignés à la ou aux personnes concernées pour enquête. 

Lorsque le problème est jugé suffisamment grave, une réunion sera convoquée pour tous les membres de l'équipe principale (équipe d'intervention) afin de coordonner une intervention.

Le paiement des primes se fera dans les 30 jours.

Structure de récompense de prime

La structure décrite ici est de fournir un niveau de transparence pour les paiements de primes. 

En raison de la complexité du code et de l'infrastructure impliqués, il y aura des occasions où les paiements peuvent tomber en dehors des bandes énumérées ci-dessus. 

La qualité de la soumission sera un facteur dans le niveau de rémunération envisagée.

Veuillez inclure les éléments suivants dans votre soumission :

  • Description du problème
  • Description de l'impact potentiel du problème sur la sécurité
  • La ressource affectée. par exemple URL, extrait de code GitHub, type de transaction, etc.
  • Toute autre information pertinente

REMARQUE: Veuillez ne pas divulguer les problèmes trouvés à qui que ce soit, sous quelque forme que ce soit, en dehors de l'équipe principale. Cela donnera au projet un délai approprié pour réagir. La divulgation à des tiers peut disqualifier l'éligibilité au bug bounty.

Les enquêtes et les rapports responsables incluent, sans s'y limiter, les éléments suivants :

  • Ne pas violer la vie privée des autres utilisateurs, détruire les données, etc.
  • Ne pas frauder ou nuire au réseau du protocole Haven ou à ses utilisateurs pendant votre recherche ; vous devez faire un effort de bonne foi pour ne pas interrompre ou dégrader nos services.
  • Ne ciblez pas les mesures de sécurité du réseau et ne tentez pas d'utiliser l'ingénierie sociale, le spam, les attaques par déni de service distribué (DDoS), etc.
  • Le problème ne doit être signalé qu'aux membres de l'équipe principale Haven et à personne d'autre.
  • Donnez-nous un délai raisonnable pour corriger le bogue avant de le divulguer à quelqu'un d'autre, et donnez-nous un avertissement écrit adéquat avant de le divulguer à quelqu'un d'autre.
  • En général, veuillez enquêter et signaler les bogues d'une manière qui fait un effort raisonnable et de bonne foi pour ne pas perturber ou nuire au protocole ou à ses utilisateurs, sinon vos actions pourraient être interprétées comme une attaque plutôt que comme un effort pour être utile .

Les paiements des primes seront administrés par l'équipe du protocole Haven et seront en xUSD. Cela permet d'avoir une valeur sûre pour ceux qui signalent/résolvent des problèmes et profite à la trésorerie du projet en simplifiant le processus de budgétisation et de comptabilité.

En cas de litige avec le paiement des primes, l'équipe d'intervention déterminera le niveau (bande) de gravité.

Bandes de paiement des primes

BANDE PAIEMENTS PLUS BAS PAIEMENTS SUPÉRIEURS  
1 $50 $500  
2 $1,000 $5,000  
3 $10,000 $50,000  
4 $25,000 $100,000  

Veuillez noter que l'équipe principale prendra la décision quant à l'éligibilité de la demande de prime. Ceci ne peut être contesté et est définitif. 

Il s'agit de la première itération du programme Bug Bounty Haven. Nous discutons actuellement avec diverses plateformes tierces de bug bounty.

fr_FRFrançais