Program Bounty

Pakar keamanan, perangkat lunak developers, dan peretas (hackers) yang mendedikasikan waktu dan tenaga untuk meningkatkan platform RSK dihargai. Penentuan kelayakan, skor, dan semua persyaratan yang terkait dengan penghargaan (reward) adalah kebijakan tunggal dan mutlak IOVlabs.

Kirim kerentanan (vulnerability)

Rules and rewards

Kirim temuan Anda dan dapatkan hadiah!

Pengirim harus orang yang telah menemukan kerentanan (vulnerability). Pengajuan kerentanan tidak dapat didelegasikan.
Kami menerima kiriman anonim, tetapi dalam hal ini hadiah bounty akan disumbangkan untuk amal.

Pengirim memberikan hak kepada IOVlabs untuk menggunakan sebagian atau semua laporan yang dikirimkan untuk mengomunikasikan kerentanan kepada publik.

IOVlabs dapat mengutip nama pengirim dan poin yang diperoleh dalam posting blog RSK dan peringkat hadiah online.

Jika Anda memilih untuk tidak diidentifikasi dalam komunikasi IOVlabs dengan nama asli Anda, Anda harus mengklarifikasi ini dan memberikan nama samaran dalam kiriman Anda.

Masalah yang telah dikirimkan oleh pengirim lain atau sudah diketahui oleh tim IOVlabs tidak memenuhi syarat untuk hadiah bounty.

Pengungkapan kerentanan kepada publik membuatnya tidak memenuhi syarat untuk mendapatkan hadiah. Jika pengguna melaporkan kerentanan ke tim keamanan lain (misalnya Ethereum atau ETC) dan kemudian melapor ke IOVlabs dengan penundaan yang cukup lama, maka IOVlabs dapat mengurangi atau membatalkan bounty.

Anda dapat memulai atau memotong rantai pribadi (private chain) untuk bug hunting. Mohon jangan menyerang rantai utama (mainchain) RSK dan jaringan uji. Harap jangan juga menyerang rantai utama ETH atau ETC dan jaringan uji. Serangan akan membuat kerentanan tidak memenuhi syarat untuk hadiah.

Tim pengembangan IOVlabs, karyawan, dan semua orang lain yang dibayar oleh IOVlabs , secara langsung atau tidak langsung, tidak memenuhi syarat untuk mendapatkan hadiah.

Seseorang yang mengirimkan perubahan dalam basis kode RSK tidak memenuhi syarat untuk mendapatkan hadiah atas kerentanan yang berasal atau dipicu oleh perubahan yang dikirimkan.

Situs web, infrastruktur, dan aset IOVlabs BUKAN bagian dari program hadiah IOVlabs.

Tingkat severity hadiah (Reward severity) dan pembayaran

Misalnya nilai hadiah yang dibayarkan akan bervariasi tergantung pada tingkat severity-nya.

Tingkat severity dihitung menurut model peringkat risiko OWASP berdasarkan Dampak dan Kemungkinan.

Bug yang dipicu oleh satu transaksi berbiaya rendah yang membagi blockchain RSK ke beberapa node yang menerima block yang berisi transaksi dan beberapa node yang menolak block itu, umumnya akan dianggap Tinggi (High).

Ini karena sangat mungkin digunakan untuk menyerang tetapi dampaknya sedang, karena serangan double-spend juga harus dilakukan untuk mencuri aset.

Serangan jarak jauh ke node tertentu yang mencuri kunci pribadinya (private key) dengan probabilitas yang sangat rendah umumnya akan dianggap Tinggi.

Ini karena dampaknya tinggi tetapi kemungkinannya sedang, dan banyak node harus diselidiki sampai penyerang menemukan korban yang tepat.

Serangan yang mengirim spam ke blockchain atau negara bagian dengan biaya yang jauh lebih rendah dari yang diharapkan, umumnya akan dianggap Medium.

Serangan remote yang mengungkapkan beberapa informasi pribadi dari sebuah node yang tidak menyebabkan hilangnya dana umumnya akan dianggap Rendah.

Referensi

Memulai dengan RSK

Akses kode RSK @GitHub

Ingin tahu lebih banyak?

Pergi ke FAQ

Berlangganan Newsletter kami