← Retour à l'accueil

Bug bounty

Aperture protège de l’argent réel. Si vous trouvez un moyen de le casser, nous voulons le savoir — et nous vous paierons pour cela.

Critique
$50,000
Extraction de clé/seed, vol de fonds à distance
Élevé
$15,000
Signature non autorisée, contournement de l’authentification
Moyen
$4,000
Exposition de données sensibles, usurpation
Faible
$500
Fuites mineures, problèmes de durcissement

Dans le périmètre

  • L’application iOS Aperture et son code source publié.
  • Les flux de génération, stockage, chiffrement et signature des clés.
  • Construction de transactions, gestion des adresses, signature et logique de diffusion.
  • Mise en réseau, sauvegarde et restauration, importation et exportation, et surfaces de stockage cryptées locales.

Hors périmètre

  • Problèmes dans les chaînes tierces, les nœuds RPC, les explorateurs, les fournisseurs de marché ou FX, GitHub, Apple ou d'autres services externes.
  • L’ingénierie sociale, le phishing ou les attaques physiques sur les utilisateurs.
  • Les rapports nécessitant un appareil jailbreaké/compromis ou un téléphone déverrouillé volé.
  • Les problèmes théoriques sans preuve de concept fonctionnelle.

Règles d’engagement

  • Testez uniquement sur vos propres portefeuilles et fonds. Ne touchez jamais aux actifs d’un autre utilisateur.
  • Signalez en privé et donnez-nous un délai raisonnable pour corriger avant toute divulgation.
  • Un rapport par problème, avec des étapes de reproduction claires et une preuve de concept.
  • Les récompenses sont à notre discrétion, selon la gravité, l’impact et la qualité du rapport.

Comment signaler

Écrivez à care@aperturex.io avec tous les détails. Pour les rapports sensibles, demandez notre clé PGP dans votre premier message. Nous visons à accuser réception sous 48 heures et à trier sous 5 jours ouvrés. Nous n’engagerons jamais de poursuites contre une recherche de bonne foi qui respecte ces règles.