← Powrót do domu

Program bug bounty

Aperture strzeże prawdziwych pieniędzy. Jeśli znajdziesz sposób, by go złamać, chcemy to usłyszeć — i zapłacimy ci za to.

Krytyczny
$50,000
Wydobycie klucza/seedu, zdalna kradzież środków
Wysoki
$15,000
Nieautoryzowane podpisywanie, obejście uwierzytelniania
Średni
$4,000
Ujawnienie danych wrażliwych, spoofing
Niski
$500
Drobne wycieki, problemy z utwardzaniem

W zakresie

  • Aplikacja Aperture na iOS i jej opublikowany kod źródłowy.
  • Generowanie kluczy, przechowywanie, szyfrowanie i przepływy podpisywania.
  • Konstrukcja transakcji, obsługa adresów, podpisywanie i logika rozgłaszania.
  • Tworzenie sieci, tworzenie kopii zapasowych i przywracanie, importowanie i eksportowanie oraz lokalne szyfrowane powierzchnie magazynowe.

Poza zakresem

  • Problemy w sieciach stron trzecich, węzłach RPC, eksploratorach, dostawcach rynku lub FX, GitHub, Apple lub innych usługach zewnętrznych.
  • Inżynieria społeczna, phishing lub fizyczne ataki na użytkowników.
  • Zgłoszenia wymagające urządzenia z jailbreakiem/naruszonego lub skradzionego odblokowanego telefonu.
  • Teoretyczne problemy bez działającego proof-of-concept.

Zasady zaangażowania

  • Testuj tylko na własnych portfelach i środkach. Nigdy nie dotykaj aktywów innego użytkownika.
  • Zgłaszaj prywatnie i daj nam rozsądny czas na naprawę przed jakimkolwiek ujawnieniem.
  • Jedno zgłoszenie na problem, z jasnymi krokami odtworzenia i proof-of-concept.
  • Nagrody są według naszego uznania, na podstawie wagi, wpływu i jakości zgłoszenia.

Jak zgłaszać

Napisz na care@aperturex.io z pełnymi szczegółami. W przypadku zgłoszeń wrażliwych poproś o nasz klucz PGP w pierwszej wiadomości. Dążymy do potwierdzenia w ciągu 48 godzin i selekcji w ciągu 5 dni roboczych. Nigdy nie podejmiemy kroków prawnych przeciwko badaniom prowadzonym w dobrej wierze, które przestrzegają tych zasad.