← De volta para casa

Bug bounty

O Aperture protege dinheiro real. Se você encontrar um jeito de quebrá-lo, queremos saber — e vamos pagar por isso.

Crítico
$50,000
Extração de chave/seed, roubo remoto de fundos
Alto
$15,000
Assinatura não autorizada, contorno de autenticação
Médio
$4,000
Exposição de dados sensíveis, falsificação
Baixo
$500
Vazamentos menores, problemas de fortalecimento

No escopo

  • O aplicativo iOS da Aperture e seu código-fonte publicado.
  • Fluxos de geração, armazenamento, criptografia e assinatura de chaves.
  • Construção de transações, manipulação de endereços, assinatura e lógica de transmissão.
  • Rede, backup e restauração, importação e exportação e superfícies de armazenamento criptografadas locais.

Fora do escopo

  • Problemas em cadeias de terceiros, nós RPC, exploradores, fornecedores de mercado ou FX, GitHub, Apple ou outros serviços externos.
  • Engenharia social, phishing ou ataques físicos a usuários.
  • Relatórios que exijam um dispositivo com jailbreak/comprometido ou telefone roubado e desbloqueado.
  • Problemas teóricos sem uma prova de conceito funcional.

Regras de participação

  • Teste apenas contra suas próprias carteiras e fundos. Nunca toque nos ativos de outro usuário.
  • Relate de forma privada e nos dê um tempo razoável para corrigir antes de qualquer divulgação.
  • Um relatório por problema, com etapas de reprodução claras e uma prova de conceito.
  • As recompensas ficam a nosso critério, com base na gravidade, no impacto e na qualidade do relatório.

Como relatar

Envie um e-mail para cuidado@aperturex.io com todos os detalhes. Para relatórios sensíveis, solicite nossa chave PGP na sua primeira mensagem. Pretendemos confirmar o recebimento em até 48 horas e triar em até 5 dias úteis. Nunca tomaremos medidas legais contra pesquisas de boa-fé que sigam estas regras.