Protocolo Haven - Programa de recompensa de bug $100.000

Contexto

Historicamente, a equipe do protocolo Haven tem usado recompensas por bugs em uma base ad hoc para recompensar os desenvolvedores que sinalizam problemas críticos. Após as explorações de junho de 2021, a equipe anunciou rapidamente um aumento no tamanho dessas recompensas para incentivar mais suporte.

Com base nisso, agora estamos lançando um programa Bug Bounty mais formal, para tornar mais fácil do que nunca para desenvolvedores qualificados apoiar o projeto e ganhar xUSD.

Objetivos do Programa

  • Construa uma comunidade mais ampla de especialistas com conhecimento do protocolo 
  • Incentive a auditoria regular e pró-ativa do código por terceiros
  • Defina um processo de recompensa e uma estrutura de recompensa para dar clareza ao que pode ser ganho

Como funcionará o processo de recompensa por bug?

Resumimos abaixo os principais elementos do processo de relatório do protocolo Haven:

  1. O que constitui um problema de qualificação
  2. Como os problemas devem ser relatados
  3. Como os problemas serão processados
  4. A estrutura de recompensa de recompensa

O que constitui um problema de qualificação?

BANDA DETALHES
1 Pequenos bugs de UX / UI ou problemas que, de outra forma, causariam poucos danos à rede ou problemas para os usuários
2 Bugs ou problemas de rede ou infraestrutura que, se não resolvidos, podem levar a problemas de segurança, estabilidade ou confiabilidade do serviço. Pode não ser sensível ao tempo.
3 Bugs ou problemas de rede ou infraestrutura que podem resultar no roubo de moedas das carteiras dos usuários, dados inválidos na cadeia, manipulação de taxas ou tx inválido.
4 Bugs ou problemas críticos de rede ou infraestrutura que, se não forem resolvidos, provavelmente levarão a uma interrupção da rede em grande escala e / ou à cunhagem ilegal de moedas que causam inflação.

Este programa de recompensa se aplica a qualquer problema encontrado em um branch / tag de lançamento mais recente, ou um HEAD do master ou build branch dos seguintes repositórios Github.

Além disso, problemas não críticos (banda 1) podem ser encontrados em 

https://github.com/haven-protocol-org/haven-blockchain-explorer

Quaisquer outros problemas relatados, fora das definições acima, serão considerados em seu impacto no projeto e recompensados de acordo.

Como relatar um problema

Questões críticas

Problemas críticos ou urgentes devem ser relatados por e-mail a todos os destinatários da lista abaixo. No caso de detalhes confidenciais que podem ser usados para hackear ou sabotar a rede, use a criptografia PGP. Chave pública:

----BEGIN PGP PUBLIC KEY BLOCK-----
Version: BCPG C# v1.6.1.0
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=EH5K

-----END PGP PUBLIC KEY BLOCK-----

Envie e-mails para: bugs@havenprotocol.org

Esses e-mails são encaminhados automaticamente para os principais membros da equipe principal.

Problemas não críticos

Contanto que não haja risco para a rede, problemas não críticos podem ser relatados aos membros da equipe principal por meio de mensagem direta em nossos canais de comunicação usuais:

Discórdia: https://discordapp.com/invite/CCtNxfG

Telegrama: https://t.me/XHVHavenProtocol

Twitter: https://twitter.com/HavenXHV

GitHub


Lembre-se de que os problemas relatados por meio do Github podem ser visualizados publicamente e não devem ser usados para bugs críticos, a menos que seja feito em particular:

https://github.com/haven-protocol-org

Vários relatórios

No caso de mais de uma pessoa relatar um problema idêntico, o primeiro a relatar no formato correto será considerado para o prêmio de recompensa. 

Quando um problema é relatado em colaboração com outra pessoa, a recompensa será dividida de acordo com os desejos conjuntos dos envolvidos.

Problemas conhecidos

Quando uma pessoa relata um problema que já é conhecido, uma recompensa de recompensa não será paga.

Como os problemas serão processados?

Depois de registrados, todos os problemas serão processados pelo líder do projeto, gerente do projeto ou líder do protocolo e atribuídos à (s) pessoa (s) relevante (s) para investigação. 

Quando for determinado que o problema é sério o suficiente, haverá uma reunião convocada para todos os membros da equipe principal (equipe de resposta) para coordenar uma resposta.

Os pagamentos de recompensa serão feitos em até 30 dias.

Estrutura de recompensa de recompensa

A estrutura descrita aqui é fornecer um nível de transparência para pagamentos de recompensas. 

Devido à complexidade do código e da infraestrutura envolvida, haverá ocasiões em que os pagamentos podem cair fora das faixas listadas acima. 

A qualidade da inscrição será um fator no nível de remuneração considerada.

Inclua o seguinte em seu envio:

  • descrição do assunto
  • Descrição do possível impacto de segurança do problema
  • O recurso afetado. por exemplo, URL, snippet de código GitHub, tipo de transação etc.
  • Qualquer outra informação relevante

NOTA: Por favor, não divulgue nenhum problema encontrado a ninguém, de qualquer forma, fora da equipe principal. Isso dará ao projeto um tempo apropriado para responder. A divulgação a terceiros pode desqualificar a elegibilidade para recompensa por bug.

Investigação e relatórios responsáveis incluem, mas não se limitam a, o seguinte:

  • Não viole a privacidade de outros usuários, destrua dados, etc.
  • Não defraude ou prejudique a rede do protocolo Haven ou seus usuários durante sua pesquisa; você deve fazer um esforço de boa fé para não interromper ou degradar nossos serviços.
  • Não almeje as medidas de segurança da rede, nem tente usar engenharia social, spam, ataques de negação de serviço distribuída (DDoS), etc.
  • O problema deve ser relatado apenas aos membros da equipe principal do Haven e a ninguém mais.
  • Dê-nos um tempo razoável para corrigir o bug antes de divulgá-lo a qualquer outra pessoa e avise-nos por escrito antes de divulgá-lo a qualquer outra pessoa.
  • Em geral, investigue e relate os bugs de uma forma que faça um esforço razoável e de boa fé para não perturbar ou prejudicar o protocolo ou seus usuários, caso contrário, suas ações podem ser interpretadas como um ataque, em vez de um esforço para ser útil .

Os pagamentos de recompensa serão administrados pela equipe do protocolo Haven e serão em xUSD. Isso permite a certeza do valor para aqueles que relatam / corrigem problemas e beneficia a tesouraria do projeto, tornando o orçamento e a contabilidade um processo mais simples.

No caso de disputas com pagamentos de recompensa, a equipe de resposta deve determinar o nível (faixa) de gravidade.

Bandas de pagamento de recompensa

BANDA MENORES PAGAMENTOS PAGAMENTOS SUPERIORES  
1 $50 $500  
2 $1,000 $5,000  
3 $10,000 $50,000  
4 $25,000 $100,000  

Observe que a equipe principal tomará a decisão quanto à elegibilidade da reivindicação de recompensa. Isso não pode ser contestado e é definitivo. 

Esta é a primeira iteração do programa Haven Bug Bounty. No momento, estamos conversando com várias plataformas de recompensa de bug de terceiros.

pt_PTPortuguês