top of page

Баг Баунти


Dark Fusion Баг Баунти



Программа Dark Fusion Баг Боунти позволяет членам сообщества и внешним участникам получать вознаграждение за сообщения об ошибках в протоколе, приложении и смарт-контрактах Dark Fusion. Ниже приводится необходимый обзор, правила, исключения и область применения Баг Баунти.


Обзор:


Программа Dark Fusion Баг Баунти (далее "Программа") направлена на стимулирование ответственного раскрытия ошибок в программном обеспечении Dark Fusion.

$DFG из казны Dark Fusion будут использоваться в качестве вознаграждения для пользователей, которые раскрывают соответствующие ошибки в технологии Dark Fusion и которые соответствуют правилам, приведенным ниже.


Общие правила и рекомендации:


  1. Решения о правомочности и размере награды принимаются исключительно по усмотрению команды Dark Fusion и выбранных членов сообщества и/или аудиторов.

  2. Уязвимость не должна быть раскрыта публично или другим лицам, организациям или адресам электронной почты до того, как команда Dark Fusion будет уведомлена, исправит проблему и даст разрешение на публичное раскрытие. Кроме того, раскрытие должно быть сделано в течение 24 часов после обнаружения уязвимости.

  3. Предоставьте нам не менее 5 рабочих дней для расследования проблемы и ответа вам.

  4. Любые уязвимости следует отправлять по электронной почте на адрес: bugbounty@darkfusion.tech, и/или обращаться к администраторам в официальном канале Telegram.

  5. Проблемы, не требующие действий по воспроизведению, не имеют права на вознаграждение за обнаружение ошибок.

  6. Проблемы должны быть новыми для команды. Они не могут быть уже выявлены другим пользователем или нашим аудитом.

  7. По возможности избегайте нарушений конфиденциальности, ухудшения пользовательского опыта, нарушения работы производственных систем или данных во время тестирования безопасности.

  8. Ни сотрудники, ни подрядчики, ни другие лица, имеющие текущие или предыдущие коммерческие отношения с Dark Fusion или любой из ее холдинговых или операционных компаний, не имеют права на вознаграждение.

  9. Для участия в процессе требуются технические знания.

  10. Присылаемые материалы должны быть связаны со сферой применения Баунти. Материалы, не относящиеся к теме Баунти, не будут иметь права на вознаграждение.

  11. Любая деятельность, осуществляемая в соответствии с правилами и рекомендациями, будет считаться санкционированной, и не будет приводить к возбуждению против вас (Баунтихантерс) судебных дел.


Приоритетные уязвимости:


Мы особенно заинтересованы в получении и вознаграждении уязвимостей следующих типов:


Смарт-контракты/блокчейн:

  • Re-entrancy

  • Логические ошибки

  • включая ошибки аутентификации пользователей

Уязвимости доверия/зависимости:

  • включая уязвимости композитности

Сбой/манипуляция Оракула:

  • исключая реальную рыночную активность

  • исключая внешние манипуляции с оракулом


Новые атаки на управление:

Перегруженность и масштабируемость

  • включая истечение газа

  • включая набивку блоков

  • включая восприимчивость к опережению

Сбои консенсуса:


Проблемы криптографии


  • Искажение подписи

  • Восприимчивость к атакам повторного воспроизведения

  • Слабая рандомность

  • Слабое шифрование


Восприимчивость к манипуляциям с временной меткой блока:

Отсутствие контроля доступа / незащищенные внутренние или отладочные интерфейсы


Web/App:


Для веб-уязвимостей Dark Fusion интересуют только те, которые приводят к прямой и однозначной потере или постоянной блокировке средств пользователей.

Примером может служить уязвимость, позволяющая злоумышленнику подделать транзакции в веб-приложениях Dark Fusion, что приведет к краже средств.


Как отправить сообщение об ошибке:


Пожалуйста, отправьте сообщение об ошибке на адрес bugbounty@darkfusion.tech



5 просмотров0 комментариев
bottom of page