Мы рады объявить о запуске нашей программы вознаграждения за обнаружение ошибок в Blast в партнерстве с Immunefi, ведущей платформой Web3 для поиска ошибок. Пользователи и хакеры могут опробовать все функции, доступные в настоящее время в Blast, и сообщить о любых обнаруженных проблемах через платформу Immunefi.
Основываясь на нашем обещании расширить возможности разработки Web3 и создать высокопроизводительную и безопасную экосистему для разработчиков и пользователей Web3, мы заключили партнерское соглашение с Immunefi, чтобы предложить вознаграждение тем, кто поможет нам выявить любые потенциальные проблемы в Blast. В то время как наши услуги и инфраструктура тщательно тестируются и проверяются внутри компании, наше партнерство с Immunefi укрепит наши усилия по обеспечению качества и безопасности и поможет нам выполнить наше обещание надежности, проложив путь к выпуску Blast V2, который будет децентрализован. .
Bware Labs Bug Bounty от Immunefi
В рамках этого партнерства Bware Labs планирует вознаграждать разработчиков, хакеров и технических специалистов, обнаруживших ошибки и уязвимости в нашей платформе инфраструктуры API. Вознаграждение за ошибку Immunefi охватывает ряд функций и активов, таких как производительность пользовательского интерфейса и безопасность Blastapi.io. Серьезность этих проблем классифицируется по 4-уровневой шкале от «Низкой» до высшей степени «Критической». Вы можете найти более подробную информацию и подробности в обновленной документации Immunefi: https://immunefi.com/severity-updated/ . Вознаграждения распределяются в соответствии с влиянием ошибки на основе системы классификации серьезности уязвимостей Immunefi версии 2.1.
Следующие определения серьезности рассматриваются в рамках кампании Blast bug bounty:
Веб-сайты и приложения
Критический
- Выполнять произвольные системные команды
- Извлечение конфиденциальных данных/файлов с работающего сервера, таких как /etc/shadow, пароли базы данных и ключи блокчейна (это не включает неконфиденциальные переменные среды, открытый исходный код или имена пользователей).
- Удаление приложения / веб-сайта
- Выполнение аутентифицированных действий, изменяющих состояние (с взаимодействием с состоянием блокчейна или без него) от имени других пользователей без какого-либо взаимодействия со стороны этого пользователя, например, изменение регистрационной информации, комментирование, голосование, совершение сделок, снятие средств и т. д.
- Прямая кража средств пользователей
- Злонамеренные взаимодействия с уже подключенным кошельком, такие как изменение аргументов или параметров транзакции, замена адресов контрактов, отправка вредоносных транзакций.
Высокая
- Внедрение/изменение статического содержимого в целевом приложении без Javascript (Persistent), например внедрение HTML без Javascript, замена существующего текста произвольным текстом, загрузка произвольных файлов и т. д.
- Изменение конфиденциальных данных других пользователей (включая изменение локального хранилища браузера) без взаимодействия с уже подключенным кошельком и с помощью взаимодействия с пользователем до одного щелчка, например электронной почты или пароля жертвы и т. д.
- Неправомерное раскрытие конфиденциальной информации о пользователе, такой как адрес электронной почты, номер телефона, физический адрес и т. д.
- Захват субдомена без взаимодействия с уже подключенным кошельком
Середина
- Изменение неконфиденциальных сведений о других пользователях (включая изменение локального хранилища браузера) без взаимодействия с уже подключенным кошельком и с помощью взаимодействия с пользователем до одного щелчка, например, изменение имени/фамилии пользователя или включение/отключение уведомлений
- Внедрение/изменение статического содержимого в целевом приложении без Javascript (Reflected), например, отраженное внедрение HTML или загрузка данных внешнего сайта.
- Перенаправление пользователей на вредоносные веб-сайты (Open Redirect)
Низкий
- Изменение сведений о других пользователях (включая изменение локального хранилища браузера) без взаимодействия с уже подключенным кошельком и со значительным взаимодействием с пользователем, таким как создание iframe, приводящее к изменению состояния серверной части/браузера (должно быть продемонстрировано влияние с PoC)
- Любое воздействие, связанное с общедоступным CVE без работающего PoC.
- Перехват неработающих или просроченных исходящих ссылок, таких как дескрипторы социальных сетей и т. д.
- Временное отключение доступа пользователей к целевому сайту, например, блокировка доступа жертвы к входу в систему, бомбардировка файлов cookie и т. д.
Вне рамок и правил
Следующие уязвимости исключены из вознаграждений по этой программе вознаграждения за обнаружение ошибок:
- Атаки, которые репортер уже использовал сам, что привело к ущербу
- Атаки, требующие доступа к утечкам ключей/учетных данных
- Атаки, требующие доступа к привилегированным адресам (управление, стратег)
Веб-сайты и приложения
- Теоретические уязвимости без каких-либо доказательств или демонстрации
- Проблемы с подделкой контента/вставкой текста
- Самостоятельный XSS
- Обход капчи с помощью OCR
- CSRF без влияния на безопасность (выход из CSRF, изменение языка и т. д.)
- Отсутствуют заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности файлов cookie (например, «только http»)
- Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека.
- Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов.
- Уязвимости, требующие маловероятных действий пользователя
- URL-перенаправления (если только они не объединены с другой уязвимостью для создания более серьезной уязвимости)
- Отсутствие лучших практик SSL/TLS
- DDoS-уязвимости
- Атаки, требующие привилегированного доступа внутри организации
- Запросы функций
- Лучшие практики
- Уязвимости, в основном вызванные дефектами браузера/плагина
- Любая уязвимость, требующая обхода CSP, возникающая из-за ошибки браузера.
- Ошибки, связанные с пользовательским интерфейсом
Эта программа вознаграждения за обнаружение ошибок запрещает следующие действия:
- Любое тестирование с контрактами основной сети или общедоступной тестовой сети; все тестирование должно проводиться в частных тестнетах
- Любое тестирование с ценовыми оракулами или сторонними смарт-контрактами
- Попытки фишинга или других атак социальной инженерии против наших сотрудников и/или клиентов
- Любое тестирование со сторонними системами и приложениями (например, расширениями браузера), а также веб-сайтами (например, провайдерами SSO, рекламными сетями)
- Любые атаки типа «отказ в обслуживании»
- Автоматизированное тестирование сервисов, генерирующих значительные объемы трафика
- Публичное раскрытие неисправленной уязвимости в запрещенной награде
Наша команда твердо верит, что эта кампания улучшит Blast, добавив еще один уровень проверки к нашей уже существующей стратегии тестирования. Кроме того, мы хотели бы отметить, что мы рады сотрудничать с сообществом, чтобы продолжать предоставлять пуленепробиваемые продукты, которые расширят возможности разработки Web3 и ускорят внедрение.
Для получения дополнительной информации о покрытии Blast компанией Immunefi посетите веб-сайт: https://immunefi.com/bounty/bwarelabs/
Immunefi
Immunefi — это ведущая платформа для поиска ошибок для смарт-контрактов и проектов DeFi, где исследователи безопасности просматривают код, раскрывают уязвимости, получают деньги и делают криптовалюту более безопасной. Immunefi устраняет риски безопасности с помощью вознаграждений за обнаружение ошибок и комплексных служб безопасности.
Запущенный 9 декабря 2020 года, Immunefi сосредоточился на блокчейне и безопасности смарт-контрактов. Мы предоставляем хостинг, консультации, сортировку ошибок и услуги по управлению программами для блокчейн-проектов и смарт-контрактов.
Программы Bug Bounty — это открытое приглашение исследователей в области безопасности обнаруживать и раскрывать потенциальные уязвимости в смарт-контрактах и приложениях проектов, тем самым защищая проекты и их пользователей. За хорошую работу исследователи безопасности получают вознаграждение в зависимости от серьезности уязвимости, определяемой затрагиваемым проектом.
Зачем вообще нужна программа Bug Bounty? Только в 2020 году взломы и мошенничество обошлись сообществу DeFi более чем в 238 миллионов долларов, и вознаграждение за обнаружение ошибок может предотвратить такие взломы. Программы Bug Bounty выявляют уязвимости, чтобы их можно было исправить до того, как они будут использованы для злонамеренных взломов, которые уничтожат проекты и подорвут репутацию.
Twitter | Discord | Medium | YouTube | Telegram
Bware Labs
Миссия Bware Labs — создать инфраструктуру и экосистему разработки, которые помогут разработчикам Web3 на протяжении всего их пути к блокчейну. Компания стремится сыграть решающую роль во всемирном внедрении блокчейна.
Доказывая свою приверженность обеспечению подлинной надежности и качества Web3, Bware Labs сотрудничает с некоторыми из величайших имен в отрасли, такими как Polygon, Avalanche, Elrond, Moonbeam и Fantom, для поддержки усилий по разработке блокчейна, предоставляя инфраструктурные услуги высочайшего качества. в криптопространстве.
Первым и основным продуктом, разработанным под эгидой Bware Labs, является Blast, платформа API блокчейна, обеспечивающая легкий доступ блокчейна к наиболее актуальным сетям в космосе. Используя Blast, разработчики могут получить доступ RPC и Websocket к постоянно растущему числу блокчейн-сетей всего за пару простых шагов.
Наряду со своими выделенными конечными точками пользователи Blast также имеют доступ к соответствующим информационным панелям, показывающим тенденции их запросов, могут организовывать свою работу в отдельных проектах и даже тестировать свои запросы внутри самой платформы.
С общей суммой TVL более 40 миллионов долларов, Bware Labs также поддерживает проекты Blockchain в роли валидатора . Используя обширный опыт своей команды инженеров в сфере блокчейн, компании доверяют более 15 сетей блокчейнов для запуска валидаторов для своих проектов.
Blast
Децентрализованная инфраструктура API Bware Labs, Blast, направлена на предоставление наиболее отказоустойчивых инфраструктурных услуг и самого быстрого времени отклика в отрасли.
Blast использует механизмы кластеризации и географическое распределение сторонних узлов, чтобы помочь разработчикам Web3 легко удовлетворить свои потребности в инфраструктуре и позволить им сосредоточиться исключительно на разработке своих приложений.
Подпишитесь на социальные каналы Bware Labs для получения дополнительных обновлений.
Социальные сети:
Сообщество в телеграме:
Для предложений или запросов, стрелять нам по электронной почте.