Компания EOS раздала $348 тыс. по программе Bug Bounties всего за пять недель

94
4
Саша Добрый

С момента объявления своей новой программы «Баунти баги»  в начале июня компания EOS уже выплатила $348 тыс. этическим хакерам в качестве награды за  42 обнаруженные уязвимости в своем программном обеспечении.

EOS присоединилась к HackerOne  – сервису исправления ошибок, которая является партнером глобального сообщества хакеров, после того, как китайская компания  по кибербезопасности нашла «эпические уязвимости» в коде платформы. Представители EOS приняли во внимание предоставленную информацию и заявили, что большинство зарегистрированных ошибок уже исправлены.

EOS выплачивает награды в размере от $5 тыс. до $10 тыс. за обнаружение критических ошибок. Оплата за ошибки другого уровня варьируется от $100 до $5 тыс. за более простые ошибки.

Награда EOS

Заявки, которые могут быть вознаграждены, должны касаться решения одной  из приведенных ниже проблем:

  1. Причина сбоя nodeos через плагины P2P (net_plugin или bnet_plugin).
  2. Причина nodeos  краха с помощью http API-интерфейс RPC (http_plugin) с защитой Patroneos.
  3. Отправка контракта в бесконечный цикл.
  4. Заставить контракт использовать большой объем памяти (более 64 МБ).
  5. Аварии nodeos с контрактом.
  6. Инициировать несанкционированные действия с учетными записями.
  7. Заставить контракт выполняться более чем за 10 мс.

Если вы хотите представить информацию о потенциальной проблеме и получить вознаграждение, в тексте должна присутствовать следующая информация:

  •    Активы. С каким программным активом связана уязвимость (например, основное программное обеспечение EOSIO / eosjs).
  •    Серьезность. Ваше мнение о серьезности проблемы (например:  высокая, умеренная, низкая).
  •    Резюме. Добавить резюме об уязвимости.
  •    Описание. Любые дополнительные сведения об этой уязвимости.
  •    Шаги. Действия, необходимые для исправления ошибки.
  •    Поддерживающий материал \ ссылки \ исходный код для репликации. Перечислите любые дополнительные материалы (например, скриншоты, журналы и т. д.).
  •    Воздействие. Последствия, которых может достичь атакующий.
  •    Ваше имя и страна.

Больше узнать о программе «Баунти ошибки» можно здесь.

Ранее мы рассказывали о критике проекта EOS от известных экспертов Эмина гюн Сирера и Ника Сабо.