Crossfire Mainnet Dry Run – Programme de récompenses


Crypto.com invite les testeurs à découvrir les bogues ou les risques de sécurité pour notre Crossfire Mainnet Dry-Run. Ce programme de prime de bogue attribuera des récompenses en fonction de la gravité du risque, les testeurs pouvant recevoir 5 000 USD ou plus pour des problèmes critiques.

Public objectif
Ouvert au public

Période du programme
Le programme Crypto.com Chain Crossfire Mainnet Dry-Run – Bug Bounty commence le 18 janvier 2021 à 04h00 UTC et se termine le 22 février 2021 à 03h59 UTC.

Niveau de gravité et montant de la récompense
La récompense sera proportionnelle à la gravité du problème, qui est déterminée en fonction de la définition du risque et du calcul du score à partir du Common Vulnerability Scoring System version 3.1 (CVSS v3.1) (lien vers la norme CVSS). Il sera payé en CRO selon le schéma de paiement des récompenses «Mainnet Dry-Run – Crossfire» ci-dessous.

Degré de gravité

Score CVSS

Récompense (USD)

bas

0,1 à 3,9

De 100 $ à 300 $

Moyens, moyen

4,0 – 6,9

De 400 $ à 700 $

Haute

7,0 – 8,9

De 2500 $ à 5000 $

Critique

9,0 – 10,0

À partir de 5000 $ et plus

Composants dans le champ d'application
Tout nœud qui exécute nos binaires officiels sans aucune modification de code. Le code source de Mainnet peut être trouvé ici.

Envois éligibles aux récompenses
Découvrez une erreur qui représente un risque important pour:

  • La robustesse du protocole;
  • Mise en œuvre de la sécurité du réseau / conformité du protocole;
  • Sécurité client classique et
  • La sécurité des primitives cryptographiques.

Attaquez le réseau principal en:

  • Spécifiez une attaque qui affecte potentiellement la vie et la sécurité du réseau;
  • Éclipser un nœud particulier et exécuter une attaque à double dépense;
  • Modifier l'historique de la blockchain pour invalider les transactions;
  • Empêcher d'autres nœuds d'accéder au réseau et
  • Arrêt de Mainnet.

Envois non éligibles aux récompenses
Les cas d'expédition suivants ne seront pas acceptés:

  • Toute vulnérabilité ou limitation déjà connue de Crypto.com;
  • Toute erreur trouvée sur le site Web Crypto.com et sur tous les sites Web de troisième niveau sur des domaines connexes;
  • Toute erreur trouvée dans nos autres produits;
  • Tous les bogues trouvés dans les bibliothèques tierces utilisées par Mainnet, en particulier Cosmos SDK et Tendermint Core;
  • Les bogues qui ont déjà été soumis par un autre testeur, qui sont déjà connus de l'équipe Mainnet ou qui ont déjà été divulgués publiquement;
  • Toute autre erreur que Crypto.com juge non pertinente ou insignifiante;
  • Les attaques qui nécessitent un accès physique à l'appareil d'un utilisateur, et
  • Problèmes nécessitant une interaction utilisateur improbable.

Signaler les vulnérabilités
Envoyez votre rapport à security@crypto.com et incluez les informations suivantes:

  • Ton nom;
  • Votre adresse Mainnet et votre chemin HD;
  • Description de l'erreur ou de l'attaque;
  • Niveau de gravité des erreurs (selon les directives CVSS);
  • Description de la scène de l'attaque;
  • Liste des composants concernés;
  • Signaler comment reproduire le bogue ou l'attaque, et
  • Tout autre détail.

Utilisez le format suivant pour la ligne d'objet de l'e-mail: "Crypto.com Mainnet – BUG / ATTACK[SEVERITY LEVEL]".

Le niveau de gravité dépend de votre compréhension du problème, que nous examinerons en détail plus tard. Soumettez un seul rapport pour chaque numéro car nous n'accepterons pas les soumissions doubles.

Veuillez nous accorder 10 jours ouvrables pour répondre avant de prendre toute autre mesure.

Politique de divulgation
Comme il s'agit d'un programme privé, veuillez ne pas discuter des rapports ou des vulnérabilités (même ceux résolus) à des tiers sans le consentement exprès de Crypto.com.

Comportement interdit
L'exploitation des bogues au niveau du protocole et de l'application est interdite sur le réseau principal de Crypto.com. Tous les bogues découverts doivent être signalés directement à security@crypto.com.

Cours Crypto
Logo
Enable registration in settings - general