Haven-protocol – $100,000 Bug Bounty-programma

Context

Historisch gezien heeft het Haven Protocol-team op ad-hocbasis bugpremies gebruikt om ontwikkelaars te belonen die kritieke problemen signaleren. Na de exploits van juni 2021 kondigde het team snel een verhoging van deze premies aan om meer ondersteuning te stimuleren.

Hierop voortbouwend lanceren we nu een formeler Bug Bounty-programma, om het voor ervaren ontwikkelaars gemakkelijker dan ooit te maken om het project te ondersteunen en xUSD te verdienen.

Doelstellingen van het programma

  • Bouw een bredere gemeenschap van experts op met kennis van het protocol 
  • Stimuleer regelmatige en proactieve controle van de code door derden
  • Definieer een premieproces en een beloningsstructuur om duidelijkheid te geven over wat er verdiend kan worden

Hoe werkt het bug bounty-proces?

We hebben hieronder de belangrijkste elementen van het Haven-protocolrapportageproces samengevat:

  1. Wat is een kwalificatieprobleem?
  2. Hoe problemen moeten worden gemeld
  3. Hoe problemen worden verwerkt
  4. De bounty-beloningsstructuur

Wat is een kwalificatieprobleem?

BAND DETAILS
1 Kleine UX/UI-bugs of problemen die anders weinig schade aan het netwerk of problemen voor gebruikers zouden veroorzaken
2 Netwerk- of infrastructuurbugs of problemen die, indien niet opgelost, kunnen leiden tot beveiligings-, stabiliteits- of servicebetrouwbaarheidsproblemen. Misschien niet tijdgevoelig.
3 Netwerk- of infrastructuurbugs of problemen die kunnen leiden tot diefstal van munten uit portefeuilles van gebruikers, ongeldige gegevens over de keten, manipulatie van vergoedingen of ongeldige tx.
4 Tijdgevoelige kritieke netwerk- of infrastructuurbugs of problemen die, indien onopgelost, waarschijnlijk zouden leiden tot een grootschalige netwerkstoring en/of het illegaal slaan van munten die inflatie veroorzaken.

Dit premieprogramma is van toepassing op elk probleem dat wordt gevonden in een branch/tag van de laatste release, of een HEAD of master of development branch van de volgende Github-repositories.

Bovendien konden niet-kritieke (band 1) problemen worden gevonden in: 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Alle andere gemelde problemen, buiten de bovenstaande definities, zullen worden beoordeeld op hun impact op het project en dienovereenkomstig worden beloond.

Een probleem melden

Kritieke problemen

Kritieke of tijdgevoelige problemen moeten via e-mail worden gemeld aan alle ontvangers in de onderstaande lijst. In het geval van gevoelige details die kunnen worden gebruikt om het netwerk te hacken of te saboteren, gebruik dan PGP-codering. Publieke sleutel:

----BEGIN PGP PUBLIC KEY BLOCK-----
Version: BCPG C# v1.6.1.0
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=EH5K

-----END PGP PUBLIC KEY BLOCK-----

E-mails sturen naar: bugs@havenprotocol.org

Deze e-mails worden automatisch doorgestuurd naar de belangrijkste leden van het kernteam.

Niet-kritieke problemen

Zolang er geen risico is voor het netwerk, kunnen niet-kritieke problemen worden gemeld aan de kernteamleden via een direct bericht in onze gebruikelijke communicatiekanalen:

Onenigheid: https://discordapp.com/invite/CCtNxfG

Telegram: https://t.me/XHVHavenProtocol

Twitter: https://twitter.com/HavenXHV

GitHub


Houd er rekening mee dat problemen die via Github worden gemeld, openbaar zichtbaar kunnen zijn en niet mogen worden gebruikt voor kritieke bugs, tenzij dit privé wordt gedaan:

https://github.com/haven-protocol-org

Meerdere rapporten

In het geval dat meer dan één persoon een identiek probleem meldt, komt de eerste die dit in het juiste formaat meldt in aanmerking voor de premie. 

Wanneer een probleem wordt gemeld in samenwerking met een andere persoon, wordt de beloning verdeeld volgens de gezamenlijke wensen van de betrokkenen.

Bekende problemen

Als een persoon een probleem meldt dat al bekend is, wordt er geen premie uitbetaald.

Hoe worden problemen verwerkt?

Eenmaal geregistreerd, worden alle problemen verwerkt door de projectleider, projectmanager of protocolleider en toegewezen aan de relevante persoon/personen voor onderzoek. 

Als wordt vastgesteld dat het probleem ernstig genoeg is, wordt er een vergadering gehouden voor alle leden van het kernteam (responsteam) om een reactie te coördineren.

Bounty-betalingen zullen binnen 30 dagen plaatsvinden.

Bounty-beloningsstructuur

De hier geschetste structuur is bedoeld om een niveau van transparantie te bieden voor premiebetalingen. 

Vanwege de complexiteit van de code en de infrastructuur die ermee gemoeid is, zal het voorkomen dat betalingen buiten de hierboven genoemde bandbreedtes vallen. 

De kwaliteit van de indiening zal een factor zijn in de hoogte van de overwogen vergoeding.

Vermeld in uw inzending het volgende:

  • beschrijving van het probleem
  • Beschrijving van de potentiële beveiligingsimpact van het probleem
  • De getroffen bron. bijv. URL, GitHub-codefragment, transactietype enz.
  • Alle andere relevante informatie

NOTITIE: Maak a.u.b. geen gevonden problemen bekend aan iemand, in welke vorm dan ook, buiten het kernteam. Dit geeft het project voldoende tijd om te reageren. Openbaarmaking aan derden kan de geschiktheid van bug bounty's diskwalificeren.

Verantwoordelijk onderzoek en rapportage omvatten, maar zijn niet beperkt tot, het volgende:

  • Schend de privacy van andere gebruikers niet, vernietig geen gegevens, etc.
  • Bedrieg of beschadig het Haven Protocol-netwerk of zijn gebruikers niet tijdens uw onderzoek; u dient zich te goeder trouw in te spannen om onze diensten niet te onderbreken of te verslechteren.
  • Richt u niet op de beveiligingsmaatregelen van het netwerk en probeer geen gebruik te maken van social engineering, spam, gedistribueerde denial of service (DDoS)-aanvallen, enz.
  • Het probleem mag alleen worden gemeld aan leden van het Haven-kernteam en niet aan iemand anders.
  • Geef ons een redelijke hoeveelheid tijd om de bug te verhelpen voordat u deze aan iemand anders bekendmaakt, en geef ons een adequate schriftelijke waarschuwing voordat u deze aan iemand anders bekendmaakt.
  • In het algemeen, onderzoek en rapporteer bugs op een manier die een redelijke, te goeder trouw inspanning levert om niet storend of schadelijk te zijn voor het protocol of zijn gebruikers, anders kunnen uw acties worden geïnterpreteerd als een aanval in plaats van als een poging om behulpzaam te zijn .

Bountybetalingen worden beheerd door het Haven Protocol Team en zijn in xUSD. Dit zorgt voor zekerheid van waarde voor degenen die problemen rapporteren/oplossen en komt de projectkas ten goede door budgettering en boekhouding een eenvoudiger proces te maken.

In het geval van geschillen met premiebetalingen, zal het responsteam de mate (band) van ernst bepalen.

Bounty-betalingsbanden

BAND LAGERE BETALINGEN BOVENSTE BETALINGEN  
1 $50 $500  
2 $1,000 $5,000  
3 $10,000 $50,000  
4 $25,000 $100,000  

Houd er rekening mee dat het kernteam de beslissing zal nemen over de geschiktheid van de premieclaim. Dit kan niet worden betwist en is definitief. 

Dit is de eerste versie van het Haven Bug Bounty-programma. We zijn momenteel in gesprek met verschillende bug bounty-platforms van derden.

nl_NL_formalNederlands (Formeel)