Protocollo Haven – Programma Bug Bounty $100.000

Contesto

Storicamente, il team del protocollo Haven ha utilizzato i bug bounty su base ad hoc per premiare gli sviluppatori che segnalano problemi critici. Dopo gli exploit del giugno 2021, il team ha annunciato rapidamente un aumento delle dimensioni di queste taglie per incentivare un maggiore supporto.

Sulla base di questo ulteriore, stiamo ora lanciando un programma Bug Bounty più formale, per rendere più facile che mai per gli sviluppatori esperti supportare il progetto e guadagnare xUSD.

Obiettivi del programma

  • Costruisci una più ampia comunità di esperti con conoscenza del protocollo 
  • Incoraggiare un controllo regolare e proattivo del codice da parte di terzi
  • Definire un processo di ricompensa e una struttura di ricompensa per dare chiarezza su ciò che può essere guadagnato

Come funzionerà il processo del bug bounty?

Abbiamo riassunto di seguito gli elementi chiave del processo di reporting del protocollo Haven:

  1. Cosa costituisce un problema di qualificazione
  2. Come devono essere segnalati i problemi
  3. Come verranno elaborati i problemi
  4. La struttura della ricompensa in taglie

Che cosa costituisce un problema di qualificazione?

GRUPPO MUSICALE PARTICOLARI
1 Bug minori UX/UI o problemi che altrimenti causerebbero pochi danni alla rete o problemi per gli utenti
2 Bug o problemi della rete o dell'infrastruttura che, se non risolti, potrebbero portare a problemi di sicurezza, stabilità o affidabilità del servizio. Potrebbe non essere sensibile al tempo.
3 Bug o problemi della rete o dell'infrastruttura che potrebbero comportare il furto di monete dai portafogli degli utenti, dati non validi sulla catena, manipolazione delle commissioni o tx non valido.
4 Bug o problemi critici della rete o dell'infrastruttura sensibili al tempo che, se lasciati irrisolti, potrebbero portare a un'interruzione della rete su larga scala e/o al conio illegale di monete che causano inflazione.

Questo programma di ricompensa si applica a qualsiasi problema riscontrato in un ramo/tag di ultima versione o in un HEAD di master o ramo di sviluppo dei seguenti repository Github.

Inoltre, problemi non critici (banda 1) potrebbero essere trovati in 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Eventuali altri problemi segnalati, al di fuori delle definizioni di cui sopra, saranno considerati nel loro impatto sul progetto e premiati di conseguenza.

Come segnalare un problema

Problemi critici

I problemi critici o urgenti devono essere segnalati via e-mail a tutti i destinatari nell'elenco di seguito. In caso di dettagli sensibili che potrebbero essere utilizzati per hackerare o sabotare la rete, utilizzare la crittografia PGP. Chiave pubblica:

----BEGIN PGP PUBLIC KEY BLOCK-----
Version: BCPG C# v1.6.1.0

mQENBGFRonEBCACQ19Qm3jgcbGl6sckFcANrrVcHzlhooFVKWdem/aLZ7e5hmZYS
1jhGTinuGnMNn2KDsMjYZWO5vGdB+IkRK2XxKtFUkj9Ip/kA7wDoAX5RUiNA1TOy
qTK7vuIwHV6AvrQx0vC492acxWpbVK2S8T5pkYHTaz7LwZMbcKcGgw8K5k0JrNRX
Tho4ZYd17Lrinl6O9xG7Sq+a9cw6Yi2xTi5A7nrTlgrQT6yLrTU4q91P+YBsPCEc
BYSp7sWoc0A2fssrAHXQvHAu1tjIBpMbFkAc6Zo4i4QRb3QZfMdOff/dY3YIWJeA
Cth0fyUQog9l2VXdoK+giPAVkwi6YvtgYqb9ABEBAAG0FmJ1Z3NAaGF2ZW5wcm90
b2NvbC5vcmeJARwEEAECAAYFAmFRonEACgkQaKVP4GAdnU+g1Af8DrxJHozMCMdN
bn1osfwgCO5lt9iKk06S6XNnaoZhB4luamNE/aJxwyqFwZ+YvkPPO1+aanXDth/t
6vihPUrXTGQZVz8oCZWm8G1rmbwtaphh5kmFsV1STKe3TNv8anb9JuX2liEOCpjS
Uk2VEmAreZMrThoXA7L0ST9XV/iw5IyvOFK9jMXj/0nPGUYMvF7FahnbGhepLBCG
Vy2TiVgiHwMqAehPtqpLcZgeilL4+REq6hy8JruD0wq9kntnQlGuDUzRLSeiRC1E
hAxRjfU+uWHzmtl8P2evEKv7BXP8mr97/ipbA4WWI4w9z7NoJJgDIkVKuejnhgcz
iCh5G0hKfA==
=EH5K

-----END PGP PUBLIC KEY BLOCK-----

Invia email a: bugs@havenprotocol.org

Queste e-mail vengono inoltrate automaticamente ai membri chiave del team principale.

Problemi non critici

Finché non vi è alcun rischio per la rete, i problemi non critici possono essere segnalati ai membri del team principale tramite messaggio diretto nei nostri soliti canali di comunicazione:

Discordia: https://discordapp.com/invite/CCtNxfG

Telegramma: https://t.me/XHVHavenProtocol

Cinguettio: https://twitter.com/HavenXHV

GitHub


Tieni presente che i problemi segnalati tramite Github possono essere visualizzabili pubblicamente e non devono essere utilizzati per bug critici a meno che non vengano fatti in privato:

https://github.com/haven-protocol-org

Rapporti multipli

Nel caso in cui più di una persona segnali un problema identico, verrà presa in considerazione per la ricompensa la prima che lo riporterà nel formato corretto. 

Laddove un problema venga segnalato in collaborazione con un'altra persona, il premio verrà suddiviso in base ai desideri comuni delle persone coinvolte.

Problemi noti

Se una persona segnala un problema già noto, non sarà corrisposta una ricompensa.

Come verranno elaborati i problemi?

Una volta registrati, tutti i problemi verranno elaborati dal responsabile del progetto, dal responsabile del progetto o dal responsabile del protocollo e assegnati alla persona o alle persone interessate per l'indagine. 

Laddove il problema sia ritenuto abbastanza serio, verrà convocata una riunione per tutti i membri del team principale (team di risposta) per coordinare una risposta.

Il pagamento della taglia avverrà entro 30 giorni.

Struttura della ricompensa delle taglie

La struttura qui delineata è quella di fornire un livello di trasparenza per i pagamenti delle taglie. 

A causa della complessità del codice e delle infrastrutture coinvolte, ci saranno occasioni in cui i pagamenti potrebbero non rientrare nelle bande sopra elencate. 

La qualità della presentazione sarà un fattore nel livello del compenso considerato.

Si prega di includere quanto segue nella presentazione:

  • descrizione del problema
  • Descrizione del potenziale impatto sulla sicurezza del problema
  • La risorsa interessata. ad es. URL, snippet di codice GitHub, tipo di transazione ecc
  • Qualsiasi altra informazione pertinente

NOTA: Si prega di non rivelare eventuali problemi riscontrati a nessuno, in nessuna forma, al di fuori del team principale. Questo darà al progetto un tempo appropriato per rispondere. La divulgazione a terze parti può squalificare l'idoneità al bug bounty.

Le indagini e le segnalazioni responsabili includono, a titolo esemplificativo, quanto segue:

  • Non violare la privacy di altri utenti, distruggere dati, ecc.
  • Non frodare o danneggiare la rete del protocollo Haven o i suoi utenti durante la tua ricerca; dovresti fare uno sforzo in buona fede per non interrompere o degradare i nostri servizi.
  • Non prendere di mira le misure di sicurezza della rete o tentare di utilizzare ingegneria sociale, spam, attacchi DDoS (Distributed Denial of Service), ecc.
  • Il problema dovrebbe essere segnalato solo ai membri del team principale di Haven e non a nessun altro.
  • Dacci un ragionevole lasso di tempo per correggere il bug prima di rivelarlo a chiunque altro e dacci un adeguato avvertimento scritto prima di rivelarlo a chiunque altro.
  • In generale, si prega di indagare e segnalare i bug in modo tale da fare uno sforzo ragionevole e in buona fede per non essere distruttivi o dannosi per il protocollo o i suoi utenti, altrimenti le tue azioni potrebbero essere interpretate come un attacco piuttosto che uno sforzo per essere utile .

I pagamenti delle taglie saranno amministrati dal team del protocollo Haven e saranno in xUSD. Ciò consente la certezza del valore per coloro che segnalano/risolvono i problemi e avvantaggia la tesoreria del progetto rendendo il budget e la contabilità un processo più semplice.

In caso di controversie con pagamento di indennità, il team di risposta determinerà il livello (fascia) di gravità.

Bande di pagamento delle taglie

GRUPPO MUSICALE PAGAMENTI INFERIORI PAGAMENTI SUPERIORI  
1 $50 $500  
2 $1,000 $5,000  
3 $10,000 $50,000  
4 $25,000 $100,000  

Tieni presente che il team principale prenderà la decisione in merito all'ammissibilità della richiesta di taglia. Questo non può essere contestato ed è definitivo. 

Questa è la prima iterazione del programma Bug Bounty Haven. Attualmente stiamo parlando con varie piattaforme di bug bounty di terze parti.

it_ITItaliano