Uncategorized

Programa de recompensas por vulnerabilidades Zcoin

By July 15, 2018 No Comments

Nos complace anunciar el programa oficial de recompensas por vulnerabilidades de Zcoin para animar a la comunidad de desarrolladores e investigadores a revisar y contribuir con nuestro código.

Solo aceptamos reportes relacionados con nuestro master branch. Para evitar dudas, no aceptamos entregas para vulnerabilidades de sitios web o ataques que requieran más del 50% del poder de hash.

Los informes de vulnerabilidad deben seguir las pautas de divulgación de HackerOne. El no seguir estas pautas y las reglas a continuación puede resultar en que la recompensa no sea cumplida.

Las vulnerabilidades están organizadas en tres categorías.

SeveridadDescripciónEjemploRecompensa (USD) en un equivalente de XZC
CríticaUna vulnerabilidad crítica es tal que afecta a la red de Zcoin en su conjunto, tiene el potencial de romper toda la red de Zcoin, elimina por completo el anonimato de Zerocoin, provoca la pérdida de Zcoin o está en una escala de gran catástrofe. Una vulnerabilidad que permita a Zerocoins forjadas ser gastadas para inflar el suministro.10,000 hasta 50,000
MayorUna vulnerabilidad mayor es tal que afecta a nodos individuales, routers, wallets, reduce el anonimato de Zerocoin de forma significativa (excluidos los ataques de tiempo) o debe ser explotada con cuidado. Por ejemplo, el artículo "Burning Zerocoins for fun and profit" (Quemar Zerocoins por diversión y beneficio) https://www.chaac.tf.fau.de/files/2018/04/attack-cryptocur.pdf
1,000 hasta 10,000
MenorUna vulnerabilidad menor es aquella que tiene un bajo impacto o que no puede ser explotada fácilmente.100 hasta 1,000

Si hay una disputa sobre la gravedad de una vulnerabilidad, la evaluación del equipo de Zcoin será definitiva.

Procedimiento de envío

Las presentaciones deben enviarse a

Si la vulnerabilidad es importante o crítica, el envío debe enviarse por correo electrónico con cifrado PGP a la siguiente dirección:

Por favor, recuerde incluir su clave pública PGP para que podamos tener comunicaciones cifradas.

Preguntas Frecuentes

¿En cuánto tiempo recibiré una respuesta?

Nuestro objetivo es responder a todos los informes de vulnerabilidad en un plazo de 3 días laborables. Al responder, haremos averiguaciones para confirmar si la presentación es realmente una vulnerabilidad. En cualquier caso, responderemos para confirmar la vulnerabilidad o dar una razón de por qué no es una vulnerabilidad.

¿Cómo se solucionaría la vulnerabilidad?

Una vez confirmada la vulnerabilidad, se abrirá un repositorio privado de GitHub donde se trabajará en el parche junto con el investigador. Una vez que esto se haya completado, se redactará la divulgación de la vulnerabilidad y se discutirá la fecha de publicación.

He informado de una vulnerabilidad pero no he recibido respuesta!

Por favor, espere hasta 3 días hábiles para recibir una respuesta inicial. Además, tenga en cuenta que los filtros de spam y el correo electrónico, en general, a veces pueden ser problemáticos. Si alguna vez siente que no nos estamos comunicando de manera oportuna, definitivamente háganoslo saber.

¿Recibiré crédito por el envío?

Por defecto, revelaremos el investigador que encontró la vulnerabilidad junto con la cantidad otorgada. Si desea que esta información se mantenga privada, por favor háganoslo saber y aceptaremos su solicitud.

¿Cómo se realizan los pagos de las recompensas?

Todas las recompensas se pagarán en Zcoin sobre la base de la tarifa vigente en USD, determinada por el precio medio de Coingecko en el momento de la publicación del parche.

¿Cuál es la clave pública PGP?

—–BEGIN PGP PUBLIC KEY BLOCK—–
Comment: Fingerprint: 96D83C503C974E59C79B15F0FE90742A2CEB91F1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=GGFJ
—–END PGP PUBLIC KEY BLOCK—–