Оголошення програми Aleo Bug Bounty

Aleo прагне підтримувати безпеку на першому місці. Ось чому ми раді запустити програму Aleo Bug Bounty, призначену для винагороди дослідників безпеки та хакерів, які допомагають нам виявляти вразливості в основному протоколі Aleo та повідомляти про них. У співпраці з нашими партнерами в HackerOne і BugCrowd ми прагнемо заохотити кваліфікованих розробників у всьому світі для зміцнення мережі Aleo. У нас є початковий пул винагород у розмірі 500 000 доларів США для тих, хто хоче прийняти виклик!

У цій першій програмі винагород за помилки ми зосередимося на помилках, пов’язаних з нашим основним протоколом, зокрема репозиторіями snarkOS і snarkVM GitHub. Оскільки Aleo зараз знаходиться в тестовій мережі, ми хочемо виявити та усунути серйозні вразливості, які можуть суттєво вплинути на мережу Aleo. Вирішення цих проблем до основної мережі гарантує, що ми проактивно підтримуємо найвищі стандарти безпеки. Згодом масштаби цієї програми розширяться й стануть більш узагальненими, забезпечуючи постійну безпеку та вдосконалення екосистеми Aleo.

Ми закликаємо дослідників безпеки та хакерів із білими капелюхами приєднатися до нашої місії із захисту екосистеми Aleo в очікуванні запуску основної мережі. Беручи участь у програмі Aleo Bug Bounty, ви можете допомогти зробити значний вплив на загальну безпеку платформи, здобувши визнання та винагороду за ваш цінний внесок.

Огляд

Ця програма винагород за помилки запускається як на HackerOne, так і на BugCrowd. Ми співпрацюємо з цими платформами, щоб розширити коло дослідників безпеки та хакерів, які можуть захотіти взяти участь у цій програмі. Зосереджуючись на вразливостях у репозиторіях snarkOS і snarkVM GitHub, учасники можуть надсилати звіти про помилки через сторінку нашої програми винагород за помилки на платформах HackerOne або BugCrowd. Ви самі вирішуєте, на яку платформу ви хочете надіслати звіт про помилку, оскільки обсяг програми ідентичний. Для цієї програми ми маємо початковий пул винагород на загальну суму 500 000 доларів США. Сума грошей, яку ви можете отримати за поданий звіт про помилку, змінюватиметься залежно від серйозності виявленої вразливості та її впливу на основний протокол Aleo.

Коротка інформація про програму

Програма Aleo Bug Bounty розроблена, щоб заохочувати виявлення вразливостей і повідомлення про них ЛИШЕ в таких репозиторіях AleoHQ GitHub:

snarkOSsnarkVM

Надіслані звіти про помилки вважаються такими, що входять до сфери дії, якщо вони створюють уразливість, яка впливає на будь-яке з цих двох сховищ. Загалом обсяг нашої програми досить великий. Учасники, які подадуть прийнятий звіт про помилку, отримають винагороду в доларах США відповідно до серйозності проблеми, як визначено таксономією оцінки вразливості BugCrowd або загальною системою оцінки вразливостей HackerOne (CVSS). Будь ласка, зверніть увагу, що пріоритети/рейтинги можуть відрізнятися від будь-якої з цих систем оцінки. На кожній сторінці програми ми наводимо конкретні приклади того, що є критичною, високою, середньою або низькою серйозністю помилок. Для отримання додаткової інформації перегляньте відповідні сторінки на HackerOne або BugCrowd.

Нижче наведено таблицю з описом різних рівнів серйозності помилок цієї програми разом із пов’язаними діапазонами винагород. Основна команда Aleo залишає за собою право присуджувати додатковий бонус за виняткові повідомлення незалежно від серйозності помилки.

Також можливо, що надзвичайно серйозні проблеми або проблеми з непропорційним впливом можуть отримати винагороду понад 25 000 доларів США. Сума, яка може бути присуджена в цьому випадку, не обмежена. Визначати суму на розсуд основної команди Aleo.

Ось як взяти участь
Щоб взяти участь у програмі Aleo Bug Bounty, виконайте такі дії:

Визначте вразливість, яка впливає на репозиторії snarkOS і/або snarkVM GitHub.Надішліть звіт про помилку на сторінці програми Aleo через HackerOne або BugCrowd.
a. Для будь-якої платформи ви повинні створити обліковий запис і дотримуватися їх правил і вказівок.
b. На кожній сторінці програми є інформація про те, що потрібно для подання дійсного звіту про помилку. Обов’язково дотримуйтеся цих інструкцій.Очікуйте перевірки нашої команди сортування. Ми повідомимо вам про нашу оцінку, як тільки зможемо. Залежно від складності звіту про помилку це може зайняти деякий час.Якщо повідомлення про помилку буде визнано дійсним, вам буде повідомлено суму винагороди та виплачено за допомогою банківської інформації, яку ви надали під час реєстрації на H1 або BC.

Початкова перевірка надісланих звітів про помилки буде проведена командою сортування наших партнерів по платформі. Після цього первинного перегляду члени основної команди Aleo проведуть поглиблену оцінку та визначатимуть відповідну винагороду залежно від її серйозності. У разі повторного повідомлення про помилку винагороду отримає той, хто першим повідомив про проблему. Не забувайте дотримуватися обсягу програми, зазначеного на HackerOne та BugCrowd, оскільки будь-які подання поза цим обсягом не розглядатимуться.

Релевантні посилання

Документація для розробників Aleo
snarkOS Github Repo
snarkVM GitHub Repo
Сторінка звіту про помилку HackerOne

Успіх Aleo залежить від пильності та досвіду кваліфікованих учасників. Ця програма винагороди за помилки є свідченням нашого прагнення винагороджувати тих, хто допомагає нам забезпечити найвищий рівень безпеки для наших користувачів.

Не чекайте — перейдіть на сторінку програми винагороди за помилки Aleo на HackerOne або BugCrowd, щоб дізнатися більше про обсяг програми, правила та процес подання. Разом ми можемо створити більш безпечну та надійну екосистему Aleo.

Правила та умови

Щоб отримати винагороду, ви повинні пройти перевірку KYC/AML і перевірку OFAC відповідно до внутрішньої політики Aleo. Якщо вам не вдасться успішно завершити процес KYC/AML, вас буде автоматично дискваліфіковано. Коли ви реєструєтеся в HackerOne або BugCrowd, вам автоматично потрібно буде завершити цей процес.

Ви також зобов’язані дотримуватися всіх положень та умов, викладених HackerOne та/або BugCrowd, а також Умов використання програми Aleo Ecosystem Contributor.

*Зарепортити баг прямо зараз*