Fireblocks MPC _ Política de Programa de Recompensa de Bug _ HackerOne

Prévia do material em texto

Fireblocks MPC
https://www.fireblocks.com/
@fireblockshq
Fireblocks is an enterprise platform to manage digital asset operations and build innovative
businesses on the blockchain
Bug Bounty Program launched in Aug 2023
Response efficiency: 80%
Rewards
Stats
Program guidelines
Submit report
low
50% submissions
$300–$5,000
medium
0% submissions
$5,000–$40,000
high
50% submissions
$40,000–$100,000
critical
0% submissions
$100,000–$250,000
Severity Rewards
Saiba mais sobre o HackerOne Entrar
13/11/2024, 16:35 Fireblocks MPC | Política de Programa de Recompensa de Bug | HackerOne
https://hackerone.com/fireblocks_mpc 1/6
https://www.fireblocks.com/
https://twitter.com/fireblockshq
https://hackerone.com/fireblocks_mpc/reports/new?type=team&report_type=vulnerability
https://www.hackerone.com/
https://hackerone.com/users/sign_in
https://hackerone.com/
https://hackerone.com/hacktivity/overview
https://hackerone.com/opportunities/all
https://hackerone.com/directory/programs
https://hackerone.com/leaderboard
Total bounties paid $31,150
Average bounty $300
Top bounty $30,000
Bounties paid | 90 days $30,800
Reports received | 90 days 55
Last report resolved 4 months ago
Reports resolved 2
Hackers thanked 8
Assets In Scope 1
Destaques do programa
Padrão Ouro
Adere ao Gold Standard Safe Harbor. 
Padrões de Plataforma
Totalmente compatível com os Padrões da Plataforma. 
Colaboração Ativada Inclui Reteste
2 Dias, 16 horas
Tempo médio para a primeira
resposta
2 Dias, 10 horas
Tempo médio para triagem
N/A
Tempo médio para
recompensa
2 Dias, 10 horas
Tempo médio de submissão a recompensa
N/A
Tempo médio para resolução
Saiba mais sobre o HackerOne Entrar
13/11/2024, 16:35 Fireblocks MPC | Política de Programa de Recompensa de Bug | HackerOne
https://hackerone.com/fireblocks_mpc 2/6
https://docs.hackerone.com/en/articles/8494525-gold-standard-safe-harbor-statement
https://docs.hackerone.com/en/articles/8494525-gold-standard-safe-harbor-statement
https://docs.hackerone.com/en/articles/8494525-gold-standard-safe-harbor-statement
https://docs.hackerone.com/en/articles/8494525-gold-standard-safe-harbor-statement
https://docs.hackerone.com/en/articles/8369826-detailed-platform-standards#h_e01bc643a8
https://docs.hackerone.com/en/articles/8369826-detailed-platform-standards#h_e01bc643a8
https://docs.hackerone.com/en/articles/8369826-detailed-platform-standards#h_e01bc643a8
https://docs.hackerone.com/en/articles/8369826-detailed-platform-standards#h_e01bc643a8
https://www.hackerone.com/
https://hackerone.com/users/sign_in
https://hackerone.com/
https://hackerone.com/hacktivity/overview
https://hackerone.com/opportunities/all
https://hackerone.com/directory/programs
https://hackerone.com/leaderboard
Resumo das
recompensas
Última atualização em 31 de julho de 2023. Ver
alterações 
Cada gravidade lista a recompensa média de 90 dias e a porcentagem do total de relatórios
resolvidos, se aplicável.
Exclusões de escopo
Principais Descobertas Inelegíveis estão fora do escopo e serão recompensados. 
Saiba mais 
Visão geral Última atualização em 3 de novembro de 2024. Ver alterações 
$300–$5,000 $5,000–
$40,000
$40,000–
$100,000
$100,000–
$250,000
Programa de Recompensa de Bugs MPC
Este programa é apenas para a divulgação de vulnerabilidades de segurança de
software.
O programa cobre apenas o código encontrado no repositório mpc-lib
(https://github.com/fireblocks/mpc-lib).
Esta política rege o Programa de Recompensa de Bugs MPC (o “Program”)
Nota: Os Fireblocks têm programas adicionais de recompensas de bugs, como o
Programa de Recompensa de Bugs Fireblocks, que serão regidos por suas próprias
políticas separadas.
Introdução
Os pesquisadores de segurança desempenham um papel crucial na garantia da
segurança da indústria de blockchain à medida que construímos em direção a um
objetivo comum. A Fireblocks incentiva ativamente a divulgação responsável de
vulnerabilidades de segurança por meio do nosso Programa de Recompensa de
Bugs, para que possamos permitir que todas as empresas gerenciem suas
operações de ativos digitais e construam negócios inovadores no blockchain.
Baixo
50% de submissões
Médio
0% de submissões
Alto
50% d
Saiba mais sobre o HackerOne Entrar
13/11/2024, 16:35 Fireblocks MPC | Política de Programa de Recompensa de Bug | HackerOne
https://hackerone.com/fireblocks_mpc 3/6
https://hackerone.com/fireblocks_mpc/bounty_table_versions
https://hackerone.com/fireblocks_mpc/bounty_table_versions
https://hackerone.com/fireblocks_mpc/bounty_table_versions
https://hackerone.com/fireblocks_mpc/bounty_table_versions
https://hackerone.com/fireblocks_mpc/bounty_table_versions
https://docs.hackerone.com/en/articles/8494488-core-ineligible-findings
https://hackerone.com/fireblocks_mpc/policy_versions
https://hackerone.com/fireblocks_mpc/policy_versions
https://hackerone.com/fireblocks_mpc/policy_versions
https://hackerone.com/fireblocks_mpc/policy_versions
https://github.com/fireblocks/mpc-lib
https://hackerone.com/fireblocks
https://www.hackerone.com/
https://hackerone.com/users/sign_in
https://hackerone.com/
https://hackerone.com/hacktivity/overview
https://hackerone.com/opportunities/all
https://hackerone.com/directory/programs
https://hackerone.com/leaderboard
Com o objetivo de garantir os protocolos e esquemas de assinatura mais
amplamente utilizados, este programa se concentra no esquema de assinatura de
maior prioridade, o protocolo MPC para assinaturas ECDSA usadas em Bitcoin,
Ethereum e blockchains adicionais, além do protocolo para EdDSA.
Para se qualificar para uma recompensa, um relatório deve demonstrar claramente
uma vulnerabilidade de software que prejudica a Fireblocks e seus clientes. Tal
relatório é considerado um relatório válido, dentro do escopo. A Fireblocks
determinará, a seu exclusivo critério, se um relatório atende aos critérios de
elegibilidade para uma recompensa e o valor da recompensa.
Regras do Programa
Faça um esforço de boa fé para evitar violações de privacidade, destruição de
dados, interrupção ou degradação de nossos negócios. Interaja apenas com
contas que você possui ou com a permissão explícita do titular da conta.
Não use a vulnerabilidade para qualquer finalidade, como divulgar publicamente
ou obter lucro, além de receber uma recompensa por meio deste Programa.
Seguir Diretrizes de divulgação do HackerOne
Qualquer divulgação pública de quaisquer vulnerabilidades é proibida sem o
nosso consentimento. Não aprovaremos solicitações de divulgação pública até
que a vulnerabilidade seja resolvida.
Forneça relatórios detalhados com etapas reproduzíveis. Se o relatório não for
detalhado o suficiente para reproduzir o problema, o problema não será elegível
para uma recompensa.
Envie apenas uma vulnerabilidade por envio, a menos que você precise
encadear vulnerabilidades para fornecer impacto em relação a qualquer uma das
vulnerabilidades.
No caso de recebermos relatórios duplicados de uma vulnerabilidade específica,
apenas o primeiro relatório é elegível para uma recompensa.
Ao enviar um relatório, você concorda em ficar vinculado a essas regras.
Avaliação de Relatórios
Para que um relatório seja considerado válido, um relatório deve demonstrar uma
vulnerabilidade dentro do escopo.
Um relatório deve ser um relatório válido, no escopo, a fim de se qualificar para uma
recompensa.
Se o Relatório não incluir uma Prova de Conceito válida, a qualificação das
recompensas será decidida de acordo com a reprodutibilidade e gravidade da
vulnerabilidade, e o valor da recompensa poderá ser reduzido.
As recompensas de prêmios são baseadas na gravidade da vulnerabilidade.
Para que sua vulnerabilidade relatada seja elegível, você deve:
Saiba mais sobre o HackerOne Entrar
13/11/2024, 16:35 Fireblocks MPC | Política de Programa de Recompensa de Bug | HackerOne
https://hackerone.com/fireblocks_mpc 4/6
https://www.hackerone.com/disclosure-guidelines
https://www.hackerone.com/
https://hackerone.com/users/sign_inhttps://hackerone.com/
https://hackerone.com/hacktivity/overview
https://hackerone.com/opportunities/all
https://hackerone.com/directory/programs
https://hackerone.com/leaderboard
Descubra uma vulnerabilidade não pública não declarada anteriormente
Fornecer informações suficientes para permitir que a equipa Fireblocks’
reproduza e corrija a vulnerabilidade.
Enviar uma vulnerabilidade sobre um problema que ainda não foi recompensado
no âmbito deste Programa.
Nível de
Vulnerabilidade
Exemplo de Vulnerabilidade
Crítico
Recuperar a chave ou a assinatura desonesta sem
desencadear falhas ou abortes, independentemente do
número de transações envolvidas. Obter a assinatura
chave/rogue causando menos de 1000 falhas/abortes.
Alto
Obter a assinatura chave/rogue causando menos de 1 bilhão
de falhas/abortes.
Médio
Vazando bits da chave privada ou causando corrupção de
memória.
Baixo
Explorar a exposição a um subconjunto menor de sistemas
e/ou dados não críticos
Nível de Vulnerabilidade Recompensa
Crítico Até 250000$
Alto Até 100000$
Médio Até 40000$
Baixo Até 5,000$
As recompensas listadas ao lado de cada camada são recompensas máximas para
cada camada. A quantidade específica do bug varia de acordo com:
O impacto do bug.
A causa do bug.
Se o relatório enviado sugere ou não uma solução para o bug ou ajuda na sua
resolução.
O processo pelo qual o bug foi descoberto.
Relatório de Encerramento
Fireblocks reviews all findings that are reported via this Program. Each report
submission is reviewed and evaluated to ensure validity. If the description in the
report is unclear, Fireblocks may request additional information from the reporter.
Saiba mais sobre o HackerOne Entrar
13/11/2024, 16:35 Fireblocks MPC | Política de Programa de Recompensa de Bug | HackerOne
https://hackerone.com/fireblocks_mpc 5/6
https://www.hackerone.com/
https://hackerone.com/users/sign_in
https://hackerone.com/
https://hackerone.com/hacktivity/overview
https://hackerone.com/opportunities/all
https://hackerone.com/directory/programs
https://hackerone.com/leaderboard
After all information is aggregated; the report submission goes through an internal
review and scoring process. After the internal review process is complete, any bugs
that are not reproducible, invalid or informative will be closed.
PLEASE NOTE: It is up to the researcher to provide detailed information and
supporting evidence to support all reports. Failure to provide a detailed report will
result in delayed triage and/or ticket closure. Additionally, report disclosed or
submitted outside of the HackerOne platform will not be considered for bounty and
are strictly prohibited.
Scope
Only the MPC is eligible for this Program (https://github.com/fireblocks/mpc-
lib).
Only an issue identified within the scope qualifies for the Program. Once the
report has been triaged as valid, it’s considered for the bug bounty.
Non-Qualifying Vulnerabilities
Unexploitable hypothetical side-channel attack
Vulnerability discovered in a third party library that is utilized in the MPC
cryptography source code
Qualifying Vulnerabilities
We are looking to find security issues affecting our blockchain protocol such as:
Bugs in our implementation of the cryptographic primitives
Bugs in our implementation of the cryptographic protocol
Remote Code Execution
Vulnerabilities that disrupt the consensus result and performance
Vulnerabilities that affect the stability, connectivity, or availability of the whole
network,individual node, or the reference wallet implementation
Vulnerabilities in a dependent 3rd party library (openssl)
Participation Eligibility
Please review the following participation eligibility criteria before participating in
the Program:
Participants must be at least 14 years old and have the legal capacity to agree to
these terms and participate in the Bug Bounty Program
Participants must not be residents of any country under U.S. sanctions or any
country that does not allow participation in these types of programs are
prohibited from participating in this Program
Fireblocks employee, family member of a Fireblocks employee, Fireblocks
contractor, Fireblocks partners or Fireblocks service provider are prohibited
from participating in this Program
Saiba mais sobre o HackerOne Entrar
13/11/2024, 16:35 Fireblocks MPC | Política de Programa de Recompensa de Bug | HackerOne
https://hackerone.com/fireblocks_mpc 6/6
https://github.com/fireblocks/mpc-lib
https://github.com/fireblocks/mpc-lib
https://www.hackerone.com/
https://hackerone.com/users/sign_in
https://hackerone.com/
https://hackerone.com/hacktivity/overview
https://hackerone.com/opportunities/all
https://hackerone.com/directory/programs
https://hackerone.com/leaderboard