Программа поощрения IOVlabs

Эксперты по безопасности, разработчики программного обеспечения и хакеры, которые посвящают время и силы улучшению платформы rsk, получают вознаграждение. Определение права на участие, проведение оценки и определение условий вознаграждения осуществляются исключительно IOVlabs.

Отправить информацию об уязвимости

Правила и вознаграждения

Присылайте свои
находки и получайте вознаграждения!

Отправителем сообщения должен быть тот, кто нашел уязвимость. Уведомление об уязвимости нельзя отправлять от чужого имени.

Мы принимаем и анонимные заявки, но в этом случае вознаграждение будет пожертвовано на благотворительность.

Отправитель дает IOVlabs право использовать весь предоставленный отчет или его фрагменты для информирования общественности об этой уязвимости.

IOVlabs может указывать имя отправителя и баллы, которые он заработал за сообщения в блогах rsk, а также онлайн-рейтинги программы поощрений.

Если вы не хотите, чтобы в сообщениях IOVlabs было указано ваше настоящее имя, этот момент необходимо уточнить и в своем сообщении указать псевдоним.

Вознаграждение не начисляется за сообщение о проблемах, о которых уже сообщили другие лица или о которых уже известно сотрудникам IOVlabs.

Публичное раскрытие информации об уязвимости лишает заявителя права на вознаграждение. Если пользователь сообщает об этой уязвимости другим службам безопасности (например, Ethereum или ETC), а затем сообщает в IOVlabs со значительной задержкой, IOVlabs имеет право уменьшить или отменить вознаграждение.

Вы можете запустить или развивать частную цепочку для поиска ошибок.
Мы просим вас воздержаться от атак на главную цепочку и тестовые сети rsk. Мы также просим вас воздержаться от атак на главные цепочки и тестовые сети ETH и ETC.
При использовании атаки вознаграждение за обнаружение уязвимости не начисляется

Команда разработчиков и сотрудники IOVlabs, а также все прочие лица, работа которых прямо или косвенно оплачивается IOVlabs, не имеют права на вознаграждение.

Лицо, представившее изменение в кодовой базе rsk, не имеет права на вознаграждение за сообщение об уязвимости, которая возникла в результате представленного им изменения или была инициирована таким изменением.

Веб-сайты, инфраструктура и активы IOVlabs НЕ являются частью программы поощрения.

Программа поощрения IOVlabs учитывает ряд переменных при определении размера вознаграждения.

Определение права на участие, проведение оценки и определение условий вознаграждения осуществляются исключительно IOVlabs.

Вознаграждение за степень серьезности обнаруженной уязвимости и выплаты

Например, размер выплачиваемого вознаграждения зависит от степени серьезности обнаруженной уязвимости.

Степень серьезности рассчитывается с помощью модели оценки рисков OWASP, в основе которой лежит оценка воздействия и вероятности.

Ошибке, вызванной единственной недорогой транзакцией, которая разветвляет rsk blockchain на несколько узлов, которые принимают блок, содержащий транзакцию, и несколько узлов, которые отклоняют этот блок, обычно присваивается высокая степень серьезности.

Это связано с тем, что высока вероятность того, что она будет использована для атаки, хотя воздействие будет средним, поскольку для кражи активов необходимо осуществить атаку с двойной тратой средств.

Удаленной атаке на конкретный узел, при которой с некоторой очень низкой вероятностью похищаются частные ключи, обычно присваивается высокая степень серьезности.

Это связано с тем, что несмотря на высокое воздействие, такая атака имеет среднюю степень вероятности, поэтому проверяется много узлов, пока злоумышленник не найдет нужную жертву.

Атаке, которая засыпает блокчейн спамом, или состоянию, стоимость которого значительно ниже ожидаемого, обычно присваивается средняя степень серьезности.

Удаленной атаке, при которой раскрывается личная информация узла, не приводящая к потере средств, обычно присваивается низкая степень серьезности.

Программа поощрения IOVlabs учитывает ряд переменных при определении вознаграждения.

Определение права на участие, проведение оценки и определение условий вознаграждения осуществляются исключительно IOVlabs.

Подписаться на нашу рассылку