Es gibt zahlreiche Möglichkeiten, im Obyte-Ökosystem zu verdienen, und eine dieser Möglichkeiten könnte erfahrenen Entwicklern eine massive Belohnung bieten. Wir nehmen unsere Sicherheit sehr ernst, daher haben wir ein Bug-Bounty-Programm für Enthusiasten weltweit, um zu überprüfen, ob unser Code und unsere Funktionen anfällig für Bedrohungen sein könnten. Dieses Programm, das von der Plattform Immunefi gehostet wird, bietet bis zu $50.000 für jeden kritischen Bug.
Immunefi fungiert als führendes Bug-Bounty- und Sicherheitsdienstleistungszentrum für Krypto-Projekte und gewährleistet den Schutz von über $60 Milliarden an Benutzerfonds in zahlreichen Projekten. Mit einem inklusiven Ansatz decken sie eine breite Palette von Chains und Netzwerken ab, einschließlich Obyte. Sie klassifizieren die Bugs auf einer 5-stufigen Skala: keine, niedrig, mittel, hoch und kritisch für das Ledger selbst (DLT), ihre Smart Contracts oder ihre Websites und Apps.
Im Fall möglicher Bugs bei Obyte beginnen die Auszahlungen auf einem mittleren Niveau mit 1.000 USD pro gemeldeter Bedrohung auf Websites, Anwendungen und Smart Contracts. Bedrohungen mit hoher Schwere erhalten 2.500 USD, und kritische Bugs im Ledger oder seinen Smart Contracts haben die maximale Zuteilung (50.000 USD). All dies könnte in GBYTE, BTC oder OUSD (einem Stablecoin auf Obyte) ausgezahlt werden.
Welche Arten von Bugs zählen für Belohnungen?
Das Obyte Bug-Bounty-Belohnungsprogramm umfasst spezifische Auswirkungen in verschiedenen Bereichen. Für die DLT-Kategorie sind kritische Auswirkungen wie Netzwerkabschaltungen, unbeabsichtigte Kettensplitterungen, die Hard Forks erfordern, und direkter Verlust oder Einfrieren von Benutzerfonds berechtigt. Kritische und hohe Auswirkungen beinhalten auch Bedenken hinsichtlich der Netzwerkstabilität, einschließlich RPC-API-Abstürzen und Konsensfehlern. Mittlere und niedrige Auswirkungen decken Szenarien ab, wie übermäßigen Ressourcenverbrauch von Knoten und Unterbewertung von Transaktionsgebühren.
Im Bereich der Smart Contracts erstrecken sich kritische Auswirkungen auf direkten Diebstahl oder das Einfrieren von Benutzerfonds sowie die Manipulation von Ergebnissen bei Governance-Abstimmungen. Hohe Auswirkungen umfassen den Diebstahl oder das Einfrieren von nicht beanspruchten Erträgen, während mittlere Auswirkungen Fälle wie die Störung des Smart Contract-Betriebs und Griefing-Angriffe betreffen. Niedrigere Auswirkungen betreffen Fälle, in denen Verträge ihre Rückzahlungsverpflichtungen nicht einhalten, ohne an Wert zu verlieren.
Im Bereich Websites und Anwendungen umfassen kritische Auswirkungen schwerwiegende Aktionen wie das Ausführen von Systembefehlen, das Stehlen sensibler Daten und die Störung von Anwendungen. Hohe Auswirkungen beinhalten Aktionen wie das Spoofen von Inhalten oder die Offenlegung vertraulicher Informationen, während mittlere Auswirkungen mit der Eskalation von Berechtigungen und dem Leck von API-Schlüsseln zusammenhängen.
Bestimmte Schwachstellen und Aktivitäten sind ausgeschlossen, wie Angriffe, bei denen sich eine Person selbst ausnutzt, und theoretische Schwachstellen ohne Beweis. Tests auf Mainnet oder öffentlichen Testnet-Verträgen, Phishing-Versuche und DDoS-Angriffe sind untersagt. Automatisierte Tests, die erheblichen Verkehr erzeugen, sind ebenfalls nicht erlaubt, und die öffentliche Offenlegung von ungepatchten Schwachstellen unter Embargo ist nicht gestattet.
Wie meldet man Bugs?
Der erste Schritt ist, sich bei Immunefi anzumelden und im persönlichen Dashboard auf "Bericht einreichen" zu klicken. Dann wählst du das betroffene Asset (Obyte in diesem Fall), das GitHub-Repository, in dem du den Bug gefunden hast, und die Auswirkungen, die dieser Bug verursachen kann – beispielsweise den direkten Diebstahl von Benutzerfonds. Der nächste Schritt besteht darin, die Schweregradstufe gemäß der Immunefi-Skala auszuwählen.
Der Bericht selbst kommt danach und muss Details wie Beschreibung, Auswirkungen, Risikoanalyse, Empfehlungen und Referenzen enthalten. Im Fall von Obyte müssen alle Web- und App-Bugberichte mit einem Proof-of-Concept (PoC) oder detaillierten Schritten zur Reproduktion des Problems einhergehen. Bugberichte, die ohne PoC eingereicht werden, werden mit der Aufforderung abgelehnt, einen einzureichen. Du kannst eine geheime Gist-Umgebung hinzufügen, um dein PoC zu unterstützen.
Wenn du für eine Belohnung berechtigt bist, musst du deine Wallet-Adresse teilen, um sie zu erhalten. Ein Überprüfungsprozess wird von dort aus durch das Obyte-Entwicklungsteam gestartet, und du kannst den Status deiner Einreichung in deinem Immunefi-Dashboard überprüfen. Es könnte neun Bedingungen geben: Gemeldet, In Überprüfung, Benötigt mehr Informationen, Kategorisiert, Eskaliert, Bestätigt, Gemindert, Bezahlt und Geschlossen. Und das war's!
Obyte hat bereits rund 47.800 USD an White Hats über Immunefi gezahlt – und rund 10.000 USD für Bugberichte vor diesem Programm. Wenn du bereit bist, uns zu helfen, das Obyte-Ökosystem zu verbessern, kannst du auch unsere Ressourcen für Entwickler und unsere GitHub-Repositories überprüfen. Viel Spaß beim Coden!
*
Vorgestelltes Vektorbild von storyset / Freepik
Ursprünglich veröffentlicht auf Hackernoon