セントリックバグバウンティプログラム

業界をリードする報酬を獲得

バグバウンティ

バグバウンティは現在閉じられています。

バグバウンティ

私たちのチームは、システム内のすべてのバグを取り除くためにあらゆる努力をしてきましたが、重大な脆弱性を引き起こすバグを逃した可能性は常にあります。 バグを発見した場合は、お客様の努力に感謝し、できるだけ早く修正できるように報告してください。 重大なバグについては、以下に概説する報酬を提供します。

責任ある調査と報告

責任ある調査と報告には、以下が含まれますが、これらに限定されません。 

  • 他のユーザーのプライバシーを侵害したり、データを破壊したり、サービスを中断したりしないでください。
  • バグの調査の過程で自分のアカウントのみをターゲットにします。 他のユーザーのアカウントをターゲットにしたり、アクセスを試みたり、中断したりしないでください。
  • 物理的なセキュリティ対策を実施したり、ソーシャル エンジニアリング、スパム、分散型サービス拒否 (DDOS) 攻撃などを使用しようとしないでください。
  • 最初はバグを私たちに報告するだけで、他の誰にも報告しません。
  • バグを他の誰かに開示する前に修正する時間を与え、他の誰かに開示する前に十分な書面による警告を与えてください。

一般的に、当社またはユーザーに破壊的または有害な作業を行わないよう、合理的で誠実な努力をする方法でバグを調査し、報告してください。 そうしないと、役に立つためではなく、攻撃として解釈される可能性があります。

資格

一般的に言えば、当社のサイトまたはウォレットのセキュリティに重大な脆弱性をもたらすバグは、報酬の対象となる可能性があります。 しかし、バグが報酬の対象となるほど重要であるかどうかを判断するのは、完全に私たちの裁量です。

通常、対象となるセキュリティの問題は次のとおりです (ただし、すべての場合に必ずしも適用されません)。

  • クロスサイトリクエストフォージェリ(CSRF)
  • クロスサイト スクリプティング (XSS)
  • コードインジェクション
  • リモートコード実行
  • 特権エスカレーション
  • 認証バイパス
  • クリックジャッキング
  • 機密データの漏えい

不適格

報酬の対象外となるものは次のとおりです。

  • 第三者がホストするサイトの脆弱性(メインウェブサイト上の脆弱性につながる場合を除く)。
  • セントリックブログの脆弱性とバグ。
  • 物理的な攻撃、ソーシャル エンジニアリング、スパム、DDOS 攻撃などに関する脆弱性
  • 古いブラウザやパッチが適用されていないブラウザに影響を及ぼす脆弱性。
  • CentricのAPIを利用するサードパーティ製アプリケーションの脆弱性。
  • 責任を持って調査され、報告されていないバグ。
  • すでに私たちに知られているバグ、またはすでに他の誰かによって報告されている(報酬は最初の記者に行きます)。
  • 再現できない問題。
  • 私たちが合理的に何かをすることが期待できない問題。

報酬

  • 対象となるバグに対する最低報酬は、ビットコインで100米ドルに相当します。
  • 最低限の報酬は当社の裁量ですが、特に深刻な問題に対して大幅に多くを支払います。
  • バグごとに報酬は1つだけ。

バグを報告する方法

  • バグレポートをbugbounty@centricfoundation.comに送信する
  • バグの説明、潜在的な影響、再現手順や概念実証など、できるだけ多くの情報をレポートに含めてみてください。
  • 開発チームが詳細情報を求める必要がある場合は、名前と連絡を取り戻す最善の方法を含めてください。
  • BTC アドレスを含めてお支払いください。
  • 別のメールを送信する前に、2営業日の対応をしてください。