Компания EOS раздала $348 тыс. по программе Bug Bounties всего за пять недель

С момента объявления своей новой программы «Баунти баги»  в начале июня компания EOS уже выплатила $348 тыс. этическим хакерам в качестве награды за  42 обнаруженные уязвимости в своем программном обеспечении.

EOS присоединилась к HackerOne  – сервису исправления ошибок, которая является партнером глобального сообщества хакеров, после того, как китайская компания  по кибербезопасности нашла «эпические уязвимости» в коде платформы. Представители EOS приняли во внимание предоставленную информацию и заявили, что большинство зарегистрированных ошибок уже исправлены.

EOS выплачивает награды в размере от $5 тыс. до $10 тыс. за обнаружение критических ошибок. Оплата за ошибки другого уровня варьируется от $100 до $5 тыс. за более простые ошибки.

Заявки, которые могут быть вознаграждены, должны касаться решения одной  из приведенных ниже проблем:

1. Причина сбоя nodeos через плагины P2P (net_plugin или bnet_plugin).
2. Причина nodeos  краха с помощью http API-интерфейс RPC (http_plugin) с защитой Patroneos.
3. Отправка контракта в бесконечный цикл.
4. Заставить контракт использовать большой объем памяти (более 64 МБ).
5. Аварии nodeos с контрактом.
6. Инициировать несанкционированные действия с учетными записями.
7. Заставить контракт выполняться более чем за 10 мс.

Если вы хотите представить информацию о потенциальной проблеме и получить вознаграждение, в тексте должна присутствовать следующая информация:

•    Активы. С каким программным активом связана уязвимость (например, основное программное обеспечение EOSIO / eosjs).
•    Серьезность. Ваше мнение о серьезности проблемы (например:  высокая, умеренная, низкая).
•    Резюме. Добавить резюме об уязвимости.
•    Описание. Любые дополнительные сведения об этой уязвимости.
•    Шаги. Действия, необходимые для исправления ошибки.
•    Поддерживающий материал \ ссылки \ исходный код для репликации. Перечислите любые дополнительные материалы (например, скриншоты, журналы и т. д.).
•    Воздействие. Последствия, которых может достичь атакующий.
•    Ваше имя и страна.

Больше узнать о программе «Баунти ошибки» можно здесь.

Ранее мы рассказывали о критике проекта EOS от известных экспертов Эмина гюн Сирера и Ника Сабо.