MMS

Мы рады объявить о запуске нашей программы вознаграждения за обнаружение ошибок в Blast в партнерстве с Immunefi, ведущей платформой Web3 для поиска ошибок. Пользователи и хакеры могут опробовать все функции, доступные в настоящее время в Blast, и сообщить о любых обнаруженных проблемах через платформу Immunefi.

 

Основываясь на нашем обещании расширить возможности разработки Web3 и создать высокопроизводительную и безопасную экосистему для разработчиков и пользователей Web3, мы заключили партнерское соглашение с Immunefi, чтобы предложить вознаграждение тем, кто поможет нам выявить любые потенциальные проблемы в Blast. В то время как наши услуги и инфраструктура тщательно тестируются и проверяются внутри компании, наше партнерство с Immunefi укрепит наши усилия по обеспечению качества и безопасности и поможет нам выполнить наше обещание надежности, проложив путь к выпуску Blast V2, который будет децентрализован. .

Bware Labs Bug Bounty от Immunefi

В рамках этого партнерства Bware Labs планирует вознаграждать разработчиков, хакеров и технических специалистов, обнаруживших ошибки и уязвимости в нашей платформе инфраструктуры API. Вознаграждение за ошибку Immunefi охватывает ряд функций и активов, таких как производительность пользовательского интерфейса и безопасность Blastapi.io. Серьезность этих проблем классифицируется по 4-уровневой шкале от «Низкой» до высшей степени «Критической». Вы можете найти более подробную информацию и подробности в обновленной документации Immunefi: https://immunefi.com/severity-updated/ . Вознаграждения распределяются в соответствии с влиянием ошибки на основе системы классификации серьезности уязвимостей Immunefi версии 2.1.

Следующие определения серьезности рассматриваются в рамках кампании Blast bug bounty:

Веб-сайты и приложения

Критический

  • Выполнять произвольные системные команды
  • Извлечение конфиденциальных данных/файлов с работающего сервера, таких как /etc/shadow, пароли базы данных и ключи блокчейна (это не включает неконфиденциальные переменные среды, открытый исходный код или имена пользователей).
  • Удаление приложения / веб-сайта
  • Выполнение аутентифицированных действий, изменяющих состояние (с взаимодействием с состоянием блокчейна или без него) от имени других пользователей без какого-либо взаимодействия со стороны этого пользователя, например, изменение регистрационной информации, комментирование, голосование, совершение сделок, снятие средств и т. д.
  • Прямая кража средств пользователей
  • Злонамеренные взаимодействия с уже подключенным кошельком, такие как изменение аргументов или параметров транзакции, замена адресов контрактов, отправка вредоносных транзакций.

Высокая

  • Внедрение/изменение статического содержимого в целевом приложении без Javascript (Persistent), например внедрение HTML без Javascript, замена существующего текста произвольным текстом, загрузка произвольных файлов и т. д.
  • Изменение конфиденциальных данных других пользователей (включая изменение локального хранилища браузера) без взаимодействия с уже подключенным кошельком и с помощью взаимодействия с пользователем до одного щелчка, например электронной почты или пароля жертвы и т. д.
  • Неправомерное раскрытие конфиденциальной информации о пользователе, такой как адрес электронной почты, номер телефона, физический адрес и т. д.
  • Захват субдомена без взаимодействия с уже подключенным кошельком

Середина

  • Изменение неконфиденциальных сведений о других пользователях (включая изменение локального хранилища браузера) без взаимодействия с уже подключенным кошельком и с помощью взаимодействия с пользователем до одного щелчка, например, изменение имени/фамилии пользователя или включение/отключение уведомлений
  • Внедрение/изменение статического содержимого в целевом приложении без Javascript (Reflected), например, отраженное внедрение HTML или загрузка данных внешнего сайта.
  • Перенаправление пользователей на вредоносные веб-сайты (Open Redirect)

Низкий

  • Изменение сведений о других пользователях (включая изменение локального хранилища браузера) без взаимодействия с уже подключенным кошельком и со значительным взаимодействием с пользователем, таким как создание iframe, приводящее к изменению состояния серверной части/браузера (должно быть продемонстрировано влияние с PoC)
  • Любое воздействие, связанное с общедоступным CVE без работающего PoC.
  • Перехват неработающих или просроченных исходящих ссылок, таких как дескрипторы социальных сетей и т. д.
  • Временное отключение доступа пользователей к целевому сайту, например, блокировка доступа жертвы к входу в систему, бомбардировка файлов cookie и т. д.

Вне рамок и правил

Следующие уязвимости исключены из вознаграждений по этой программе вознаграждения за обнаружение ошибок:

  • Атаки, которые репортер уже использовал сам, что привело к ущербу
  • Атаки, требующие доступа к утечкам ключей/учетных данных
  • Атаки, требующие доступа к привилегированным адресам (управление, стратег)

Веб-сайты и приложения

  • Теоретические уязвимости без каких-либо доказательств или демонстрации
  • Проблемы с подделкой контента/вставкой текста
  • Самостоятельный XSS
  • Обход капчи с помощью OCR
  • CSRF без влияния на безопасность (выход из CSRF, изменение языка и т. д.)
  • Отсутствуют заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности файлов cookie (например, «только http»)
  • Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека.
  • Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов.
  • Уязвимости, требующие маловероятных действий пользователя
  • URL-перенаправления (если только они не объединены с другой уязвимостью для создания более серьезной уязвимости)
  • Отсутствие лучших практик SSL/TLS
  • DDoS-уязвимости
  • Атаки, требующие привилегированного доступа внутри организации
  • Запросы функций
  • Лучшие практики
  • Уязвимости, в основном вызванные дефектами браузера/плагина
  • Любая уязвимость, требующая обхода CSP, возникающая из-за ошибки браузера.
  • Ошибки, связанные с пользовательским интерфейсом

Эта программа вознаграждения за обнаружение ошибок запрещает следующие действия:

  • Любое тестирование с контрактами основной сети или общедоступной тестовой сети; все тестирование должно проводиться в частных тестнетах
  • Любое тестирование с ценовыми оракулами или сторонними смарт-контрактами
  • Попытки фишинга или других атак социальной инженерии против наших сотрудников и/или клиентов
  • Любое тестирование со сторонними системами и приложениями (например, расширениями браузера), а также веб-сайтами (например, провайдерами SSO, рекламными сетями)
  • Любые атаки типа «отказ в обслуживании»
  • Автоматизированное тестирование сервисов, генерирующих значительные объемы трафика
  • Публичное раскрытие неисправленной уязвимости в запрещенной награде

Наша команда твердо верит, что эта кампания улучшит Blast, добавив еще один уровень проверки к нашей уже существующей стратегии тестирования. Кроме того, мы хотели бы отметить, что мы рады сотрудничать с сообществом, чтобы продолжать предоставлять пуленепробиваемые продукты, которые расширят возможности разработки Web3 и ускорят внедрение.

Для получения дополнительной информации о покрытии Blast компанией Immunefi посетите веб-сайт: https://immunefi.com/bounty/bwarelabs/

Immunefi

Immunefi — это ведущая платформа для поиска ошибок для смарт-контрактов и проектов DeFi, где исследователи безопасности просматривают код, раскрывают уязвимости, получают деньги и делают криптовалюту более безопасной. Immunefi устраняет риски безопасности с помощью вознаграждений за обнаружение ошибок и комплексных служб безопасности.

Запущенный 9 декабря 2020 года, Immunefi сосредоточился на блокчейне и безопасности смарт-контрактов. Мы предоставляем хостинг, консультации, сортировку ошибок и услуги по управлению программами для блокчейн-проектов и смарт-контрактов.

Программы Bug Bounty — это открытое приглашение исследователей в области безопасности обнаруживать и раскрывать потенциальные уязвимости в смарт-контрактах и ​​приложениях проектов, тем самым защищая проекты и их пользователей. За хорошую работу исследователи безопасности получают вознаграждение в зависимости от серьезности уязвимости, определяемой затрагиваемым проектом.

 

Зачем вообще нужна программа Bug Bounty? Только в 2020 году взломы и мошенничество обошлись сообществу DeFi более чем в 238 миллионов долларов, и вознаграждение за обнаружение ошибок может предотвратить такие взломы. Программы Bug Bounty выявляют уязвимости, чтобы их можно было исправить до того, как они будут использованы для злонамеренных взломов, которые уничтожат проекты и подорвут репутацию.

Twitter | Discord | Medium | YouTube | Telegram

Bware Labs

Миссия Bware Labs — создать инфраструктуру и экосистему разработки, которые помогут разработчикам Web3 на протяжении всего их пути к блокчейну. Компания стремится сыграть решающую роль во всемирном внедрении блокчейна.

Доказывая свою приверженность обеспечению подлинной надежности и качества Web3, Bware Labs сотрудничает с некоторыми из величайших имен в отрасли, такими как Polygon, Avalanche, Elrond, Moonbeam и Fantom, для поддержки усилий по разработке блокчейна, предоставляя инфраструктурные услуги высочайшего качества. в криптопространстве.

Первым и основным продуктом, разработанным под эгидой Bware Labs, является Blast, платформа API блокчейна, обеспечивающая легкий доступ блокчейна к наиболее актуальным сетям в космосе. Используя Blast, разработчики могут получить доступ RPC и Websocket к постоянно растущему числу блокчейн-сетей всего за пару простых шагов.

Наряду со своими выделенными конечными точками пользователи Blast также имеют доступ к соответствующим информационным панелям, показывающим тенденции их запросов, могут организовывать свою работу в отдельных проектах и ​​даже тестировать свои запросы внутри самой платформы.

С общей суммой TVL более 40 миллионов долларов, Bware Labs также поддерживает проекты Blockchain в роли валидатора . Используя обширный опыт своей команды инженеров в сфере блокчейн, компании доверяют более 15 сетей блокчейнов для запуска валидаторов для своих проектов.

Blast

Децентрализованная инфраструктура API Bware Labs, Blast, направлена ​​на предоставление наиболее отказоустойчивых инфраструктурных услуг и самого быстрого времени отклика в отрасли.

Blast использует механизмы кластеризации и географическое распределение сторонних узлов, чтобы помочь разработчикам Web3 легко удовлетворить свои потребности в инфраструктуре и позволить им сосредоточиться исключительно на разработке своих приложений.

Подпишитесь на социальные каналы Bware Labs для получения дополнительных обновлений.

Социальные сети:

Сообщество в телеграме:

Для предложений или запросов, стрелять нам по электронной почте.

Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *