Bug bounty
Panoramica
Folks Finance ha sempre considerato la sicurezza dei suoi utenti una priorità. Oltre ai tre audit completati con successo con Runtime Verification, Coinspect e Vantage Point, un programma di ricompense è un passo fondamentale.
Pertanto, Folks Finance ha lanciato un programma Bug Bounty da 200.000 dollari su Immunefi per aumentare la robustezza del protocollo.
Ricompense per livello di minaccia
Le ricompense sono distribuite in base all'impatto della vulnerabilità sulla base del sistema di classificazione delle vulnerabilità V2.2 di Immunefi. Si tratta di una scala semplificata a 5 livelli, con scale separate per siti web/app, smart contract e blockchain/DLT, incentrata sull'impatto della vulnerabilità segnalata.
Tutte le segnalazioni di bug di web/app devono essere corredate da un PoC con un effetto finale che abbia un impatto su un asset-in-scope per poter essere considerate per una ricompensa. Tutte le segnalazioni di bug di Smart Contract di livello alto e critico richiedono un PoC e un suggerimento di correzione per poter essere considerate per una ricompensa. Spiegazioni e dichiarazioni non sono accettate come PoC e codice.
Le vulnerabilità critiche degli smart contract sono limitate al 10% del danno economico, tenendo conto principalmente dei fondi a rischio, ma anche degli aspetti di PR e branding, a discrezione del team. Tuttavia, è prevista una ricompensa minima di 100.000 USD.
La Fondazione Algorand ha accettato di corrispondere il 100% di qualsiasi ricompensa finanziaria offerta da Folks Finance per qualsiasi pagamento di vulnerabilità critiche o ad alto impatto convalidate. In pratica, se un white hat trova una vulnerabilità critica e questa viene convalidata, potrà ricevere 100.000 dollari da Folks Finance e 100.000 dollari dalla Algorand Foundation, per un totale di 200.000 dollari.
Le seguenti vulnerabilità non hanno diritto a una ricompensa:
Tutte le vulnerabilità segnalate nelle revisioni della sicurezza di Runtime Verification non danno diritto a una ricompensa.
Tutte le vulnerabilità segnalate nelle revisioni della sicurezza di Vantage Point non danno diritto a una ricompensa.
Tutte le vulnerabilità segnalate nella revisione della sicurezza di Coinspect non danno diritto a una ricompensa.
Il KYC deve essere completato per i cacciatori di bug bounty che inviano un rapporto di vulnerabilità e richiedono una ricompensa per le vulnerabilità critiche ed elevate degli Smart Contracts e per le vulnerabilità critiche di siti web e applicazioni. Le informazioni di base necessarie sono nome e cognome, indirizzo di residenza e dettagli del passaporto (data di nascita, paese di emissione e numero di passaporto). Sulla base delle informazioni di base inviate, il team di Folks Finance può richiedere ulteriori informazioni a sua esclusiva discrezione per la conformità alle leggi vigenti.
Inoltre, tutti i livelli di cacciatori di bug bounty che inviano una segnalazione di vulnerabilità e richiedono una ricompensa devono certificare che (i) non agiscono, direttamente o indirettamente, per o per conto di persone, gruppi, entità o nazioni indicate da un Ordine Esecutivo o dal Dipartimento del Tesoro degli Stati Uniti come terroristi, "Specially Designated National and Blocked Person" o altre persone, entità, nazioni o transazioni vietate o bloccate ai sensi di leggi, ordini, norme o regolamenti applicati o gestiti dall'Office of Foreign Assets Control; e (ii) non stanno effettuando, istigando o facilitando questa transazione, direttamente o indirettamente, per conto di tali persone, gruppi, entità o nazioni. Inoltre, devono presentare un'attestazione che tutte le informazioni fornite sono vere, corrette, aggiornate e non fuorvianti. La raccolta di queste informazioni sarà effettuata dal team Folks Finance.
I pagamenti sono gestiti direttamente dal team Folks Finance e sono denominati in USD. Tuttavia, i pagamenti vengono effettuati in USDCa.
Smart ContractCritical -> USD 100,000 to USD 200,000
High -> USD 50,000
Medium -> USD 2,000
Low -> USD 1,000
Website and ApplicationCritical -> USD 50,000
Per ulteriori dettagli visita la pagina dedicata su Immunifi.
Last updated