← Retour à l'accueil
Bug bounty
Aperture protège de l’argent réel. Si vous trouvez un moyen de le casser, nous voulons le savoir — et nous vous paierons pour cela.
Critique
$50,000
Extraction de clé/seed, vol de fonds à distance
Élevé
$15,000
Signature non autorisée, contournement de l’authentification
Moyen
$4,000
Exposition de données sensibles, usurpation
Faible
$500
Fuites mineures, problèmes de durcissement
Dans le périmètre
- L’application iOS Aperture et son code source publié.
- Les flux de génération, stockage, chiffrement et signature des clés.
- Construction de transactions, gestion des adresses, signature et logique de diffusion.
- Mise en réseau, sauvegarde et restauration, importation et exportation, et surfaces de stockage cryptées locales.
Hors périmètre
- Problèmes dans les chaînes tierces, les nœuds RPC, les explorateurs, les fournisseurs de marché ou FX, GitHub, Apple ou d'autres services externes.
- L’ingénierie sociale, le phishing ou les attaques physiques sur les utilisateurs.
- Les rapports nécessitant un appareil jailbreaké/compromis ou un téléphone déverrouillé volé.
- Les problèmes théoriques sans preuve de concept fonctionnelle.
Règles d’engagement
- Testez uniquement sur vos propres portefeuilles et fonds. Ne touchez jamais aux actifs d’un autre utilisateur.
- Signalez en privé et donnez-nous un délai raisonnable pour corriger avant toute divulgation.
- Un rapport par problème, avec des étapes de reproduction claires et une preuve de concept.
- Les récompenses sont à notre discrétion, selon la gravité, l’impact et la qualité du rapport.
Comment signaler
Écrivez à care@aperturex.io avec tous les détails. Pour les rapports sensibles, demandez notre clé PGP dans votre premier message. Nous visons à accuser réception sous 48 heures et à trier sous 5 jours ouvrés. Nous n’engagerons jamais de poursuites contre une recherche de bonne foi qui respecte ces règles.