Se você puder doar e contribuir para o projeto Haven, por favor Clique aqui. Obrigado.
Programa Bug Bounty
Objetivos do Programa
- Construa uma comunidade mais ampla de especialistas com conhecimento do protocolo
- Incentive a auditoria regular e pró-ativa do código por terceiros
- Defina um processo de recompensa e uma estrutura de recompensa para dar clareza ao que pode ser ganho
Como funcionará o processo de recompensa por bug?
Resumimos abaixo os principais elementos do processo de relatório do protocolo Haven:
- O que constitui um problema de qualificação
- Como os problemas devem ser relatados
- Como os problemas serão processados
- A estrutura de recompensa de recompensa
O que constitui um problema de qualificação?
| Banda | Detalhes |
| 1 | Pequenos bugs de UX / UI ou problemas que, de outra forma, causariam poucos danos à rede ou problemas para os usuários |
| 2 | Bugs ou problemas de rede ou infraestrutura que, se não resolvidos, podem levar a problemas de segurança, estabilidade ou confiabilidade do serviço. Pode não ser sensível ao tempo. |
| 3 | Bugs ou problemas de rede ou infraestrutura que podem resultar no roubo de moedas das carteiras dos usuários, dados inválidos na cadeia, manipulação de taxas ou tx inválido. |
| 4 | Bugs ou problemas críticos de rede ou infraestrutura que, se não forem resolvidos, provavelmente levarão a uma interrupção da rede em grande escala e / ou à cunhagem ilegal de moedas que causam inflação. |
Este programa de recompensa se aplica a qualquer problema encontrado em um branch / tag de lançamento mais recente, ou um HEAD do master ou build branch dos seguintes repositórios Github.
- https://github.com/haven-protocol-org/haven-main
- https://github.com/haven-protocol-org/haven-web-core
- https://github.com/haven-protocol-org/haven-web-app
- https://github.com/haven-protocol-org/haven-web-cpp
- https://github.com/haven-protocol-org/node-cryptoforknote-util
Além disso, problemas não críticos (banda 1) podem ser encontrados em
https://github.com/haven-protocol-org/haven-blockchain-explorer
Quaisquer outros problemas relatados, fora das definições acima, serão considerados em seu impacto no projeto e recompensados de acordo.
Como relatar um problema
Questões críticas
Problemas críticos ou urgentes devem ser relatados por e-mail a todos os destinatários da lista abaixo. No caso de detalhes confidenciais que podem ser usados para hackear ou sabotar a rede, use a criptografia PGP. Chave pública:
-----BEGIN PGP PUBLIC KEY BLOCK-----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=g/J8
-----END PGP PUBLIC KEY BLOCK-----Envie e-mails para: [email protected]
Esses e-mails são encaminhados automaticamente para os principais membros da equipe principal.
Problemas não críticos
Contanto que não haja risco para a rede, problemas não críticos podem ser relatados aos membros da equipe principal por meio de mensagem direta em nossos canais de comunicação usuais:
Discórdia: https://discordapp.com/invite/CCtNxfG
Telegrama: https://t.me/XHVHavenProtocol
Twitter: https://twitter.com/HavenXHV
GitHub
Lembre-se de que os problemas relatados por meio do Github podem ser visualizados publicamente e não devem ser usados para bugs críticos, a menos que seja feito em particular:
https://github.com/haven-protocol-org
Vários relatórios
No caso de mais de uma pessoa relatar um problema idêntico, o primeiro a relatar no formato correto será considerado para o prêmio de recompensa.
Quando um problema é relatado em colaboração com outra pessoa, a recompensa será dividida de acordo com os desejos conjuntos dos envolvidos.
Problemas conhecidos
Quando uma pessoa relata um problema que já é conhecido, uma recompensa de recompensa não será paga.
Como os problemas serão processados?
Depois de registrados, todos os problemas serão processados pelo líder do projeto, gerente do projeto ou líder do protocolo e atribuídos à (s) pessoa (s) relevante (s) para investigação.
Quando for determinado que o problema é sério o suficiente, haverá uma reunião convocada para todos os membros da equipe principal (equipe de resposta) para coordenar uma resposta.
Os pagamentos de recompensa serão feitos em até 30 dias.
Estrutura de recompensa de recompensa
A estrutura descrita aqui é fornecer um nível de transparência para pagamentos de recompensas.
Devido à complexidade do código e da infraestrutura envolvida, haverá ocasiões em que os pagamentos podem cair fora das faixas listadas acima.
A qualidade da inscrição será um fator no nível de remuneração considerada.
Inclua o seguinte em seu envio:
- descrição do assunto
- Descrição do possível impacto de segurança do problema
- O recurso afetado. por exemplo, URL, snippet de código GitHub, tipo de transação etc.
- Qualquer outra informação relevante
NOTA: Por favor, não divulgue nenhum problema encontrado a ninguém, de qualquer forma, fora da equipe principal. Isso dará ao projeto um tempo apropriado para responder. A divulgação a terceiros pode desqualificar a elegibilidade para recompensa por bug.
Investigação e relatórios responsáveis incluem, mas não se limitam a, o seguinte:
- Não viole a privacidade de outros usuários, destrua dados, etc.
- Não defraude ou prejudique a rede do protocolo Haven ou seus usuários durante sua pesquisa; você deve fazer um esforço de boa fé para não interromper ou degradar nossos serviços.
- Não almeje as medidas de segurança da rede, nem tente usar engenharia social, spam, ataques de negação de serviço distribuída (DDoS), etc.
- O problema deve ser relatado apenas aos membros da equipe principal do Haven e a ninguém mais.
- Dê-nos um tempo razoável para corrigir o bug antes de divulgá-lo a qualquer outra pessoa e avise-nos por escrito antes de divulgá-lo a qualquer outra pessoa.
- Em geral, investigue e relate os bugs de uma forma que faça um esforço razoável e de boa fé para não perturbar ou prejudicar o protocolo ou seus usuários, caso contrário, suas ações podem ser interpretadas como um ataque, em vez de um esforço para ser útil .
Os pagamentos de recompensa serão administrados pela equipe do protocolo Haven e serão em xUSD. Isso permite a certeza do valor para aqueles que relatam / corrigem problemas e beneficia a tesouraria do projeto, tornando o orçamento e a contabilidade um processo mais simples.
No caso de disputas com pagamentos de recompensa, a equipe de resposta deve determinar o nível (faixa) de gravidade.
Bandas de pagamento de recompensa
| Banda | Pagamentos mais baixos | Pagamentos superiores |
| 1 | $50 | $250 |
| 2 | $250 | $2,500 |
| 3 | $2,500 | $10,000 |
| 4 | $10,000 | $50,000 |
Observe que os desenvolvedores / contribuidores principais tomarão a decisão quanto à elegibilidade da reivindicação de recompensa. Isso não pode ser contestado e é definitivo.
Esta é a primeira iteração do programa de recompensa por bug Haven e, como tal, será revisado regularmente para garantir que permanece adequado para o propósito.
Português 
English (UK) 
简体中文 
Nederlands (Formeel) 
Français 
Deutsch (Sie) 
Español 
Italiano 
Bahasa Indonesia