Bholdus luôn coi trọng và đặt ưu tiên hàng đầu cho chất lượng & tính bảo mật của mạng lưới, nhằm đảm bảo an toàn cao nhất cho cộng đồng và các nhà đầu tư. Do vậy, chúng tôi khuyến khích người dùng tích cực chia sẻ về các lỗi kĩ thuật hoặc lỗ hổng bảo mật trên giao diện Testnet thông qua Cuộc thi Bug Bounty.

Dù đã tự quét hệ thống và kiểm tra nội bộ thông qua quy trình QA, nhưng Bholdus nhận thức được rõ 01 đội ngũ không thể tự phát hiện được mọi sai sót. Đó là lý do chúng tôi mong muốn được kết hợp cùng sự trợ giúp từ đông đảo cộng đồng người dùng, từ đó củng cố mạng lưới của mình trở nên tốt hơn.

Lưu ý: Sự kiện Bug Bounty này chỉ phục vụ việc tìm kiếm các lỗ hổng bảo mật phần mềm (nếu có) trên mạng Bholdus Testnet trong thời gian từ ngày 1/12/2021 tới hết ngày 15/12/2021.

TỔNG GIÁ TRỊ GIẢI THƯỞNG LÊN TỚI 10,000 USDT!

Mức độ nghiêm trọng được chia thành nhiều mức độ khác nhau (bảng bên dưới), với mức tiền thưởng được quyết định dựa trên mức độ nghiêm trọng của lỗi được báo cáo:

LƯU Ý: Nếu báo cáo (report) không bao gồm đủ bằng chứng hợp lệ (Proof-of-Concept), mức phần thưởng sẽ được quyết định tùy theo khả năng tái tạo và mức độ nghiêm trọng của lỗ hổng bảo mật đó.

Độ nghiêm trọng của lỗi kĩ thuật (bug) sẽ được đánh giá qua:

  • Độ ảnh hưởng của lỗi kĩ thuật
  • Nguyên nhân dẫn đến lỗi kĩ thuật
  • Người báo cáo có thể đề xuất giải pháp giúp giải quyết lỗi
  • Quá trình phát hiện ra lỗi kĩ thuật.

THỂ LỆ CUỘC THI:

  • Tránh mọi vi phạm về quyền riêng tư, phá hủy dữ liệu, gián đoạn hoặc làm ảnh hưởng tới hoạt động kinh doanh của Bholdus.
  • KHÔNG chủ động khai thác lỗ hổng bảo mật dưới bất kì hình thức nào, bao gồm thông qua việc công khai trên mạng xã hội cá nhân hoặc tạo ra lợi nhuận (ngoài phần thưởng nhận được từ cuộc thi).
  • KHÔNG tiết lộ công khai bất kì lỗi kĩ thuật nào trước khi nhận được sự đồng ý chính thức từ phía Bholdus. Bholdus sẽ KHÔNG phê duyệt các yêu cầu về Tiết lộ Công khai cho đến khi lỗi kĩ thuật đã được giải quyết.
  • KHÔNG thực hiện các cuộc tấn công hoặc hình thức khác từ hệ thống để lừa đảo hoặc tấn công chống lại nhân viên, người dùng hoặc cơ sở hạ tầng của Bholdus.
  • Chỉ báo cáo 01 lỗi với mỗi lần gửi, trừ khi bạn cần xâu chuỗi các lỗi này để chứng minh tác động liên quan đến bất kỳ lỗ hổng kĩ thuật nào.
  • Nếu Bholdus nhận được nhiều báo trùng giống nhau lặp lại về một lỗi cụ thể, thì chỉ người báo cáo đầu tiên mới đủ điều kiện nhận phần thưởng.
  • Bholdus nắm quyền quyết định cuối cùng với việc xét liệu lỗi đó có đủ điều kiện nhận phần thưởng hay không, và lỗi đó nằm ở mức độ nghiêm trọng nào.
  • Bằng cách báo cáo lỗi, người tham gia đồng ý bị ràng buộc bởi các quy tắc nêu trên.

NHỮNG LỖI ĐƯỢC ƯU TIÊN:

  • Bug trong việc triển khai các mật mã nguyên bản của Bholdus.
  • Bug có khả năng làm gián đoạn kết quả và hiệu suất đồng thuận.
  • Chuyển tiền trái phép, truy cập vào các khóa riêng.
  • Các lỗ hổng ảnh hưởng đến tính ổn định, kết nối hoặc tính khả dụng của toàn mạng lưới nói chung.
  • Giả mạo nguồn gốc giao dịch.
  • Bug có khả năng ảnh hưởng đến tính ổn định hoặc tính khả dụng của Bholdus Chain (BHC20).
  • Thao tác tác động xấu tới số dư tài khoản.
  • Tình trạng rò rỉ dữ liệu.
  • XSS / CSRF / Clickjacking.
  • Đánh cắp thông tin đặc quyền.
  • Lỗi bỏ qua xác thực.
  • Lỗ hổng bảo mật có thể dẫn tới mất mát tài chính hoặc dữ liệu không rõ ràng.

NHỮNG LỖI KHÔNG HỢP LỆ:

  • Bug trong bất kỳ hợp đồng hoặc nền tảng của bên thứ ba nào khác tương tác với Bholdus Chain.
  • Lỗ hổng trên các trang web do bên thứ ba bất kì lưu trữ, trừ khi chúng dẫn đến lỗ hổng trên website chính chủ của Bholdus.
  • Báo cáo dựa trên thông tin được lấy hoặc có được thông qua việc truy cập bất hợp pháp vào thông tin mật của dự án.

Chủ đề liên quan