← Powrót do domu
Program bug bounty
Aperture strzeże prawdziwych pieniędzy. Jeśli znajdziesz sposób, by go złamać, chcemy to usłyszeć — i zapłacimy ci za to.
Krytyczny
$50,000
Wydobycie klucza/seedu, zdalna kradzież środków
Wysoki
$15,000
Nieautoryzowane podpisywanie, obejście uwierzytelniania
Średni
$4,000
Ujawnienie danych wrażliwych, spoofing
Niski
$500
Drobne wycieki, problemy z utwardzaniem
W zakresie
- Aplikacja Aperture na iOS i jej opublikowany kod źródłowy.
- Generowanie kluczy, przechowywanie, szyfrowanie i przepływy podpisywania.
- Konstrukcja transakcji, obsługa adresów, podpisywanie i logika rozgłaszania.
- Tworzenie sieci, tworzenie kopii zapasowych i przywracanie, importowanie i eksportowanie oraz lokalne szyfrowane powierzchnie magazynowe.
Poza zakresem
- Problemy w sieciach stron trzecich, węzłach RPC, eksploratorach, dostawcach rynku lub FX, GitHub, Apple lub innych usługach zewnętrznych.
- Inżynieria społeczna, phishing lub fizyczne ataki na użytkowników.
- Zgłoszenia wymagające urządzenia z jailbreakiem/naruszonego lub skradzionego odblokowanego telefonu.
- Teoretyczne problemy bez działającego proof-of-concept.
Zasady zaangażowania
- Testuj tylko na własnych portfelach i środkach. Nigdy nie dotykaj aktywów innego użytkownika.
- Zgłaszaj prywatnie i daj nam rozsądny czas na naprawę przed jakimkolwiek ujawnieniem.
- Jedno zgłoszenie na problem, z jasnymi krokami odtworzenia i proof-of-concept.
- Nagrody są według naszego uznania, na podstawie wagi, wpływu i jakości zgłoszenia.
Jak zgłaszać
Napisz na care@aperturex.io z pełnymi szczegółami. W przypadku zgłoszeń wrażliwych poproś o nasz klucz PGP w pierwszej wiadomości. Dążymy do potwierdzenia w ciągu 48 godzin i selekcji w ciągu 5 dni roboczych. Nigdy nie podejmiemy kroków prawnych przeciwko badaniom prowadzonym w dobrej wierze, które przestrzegają tych zasad.