본 문서를 전체적으로 이해한 다음 발견한 취약점을 “버그바운티 취약점 보고서 샘플”에 상세히 작성해주시기 바랍니다. 그 뒤 “[email protected]”으로 메일을 전송해주시면 평가 후 개별 연락드리도록 하겠습니다.

위험 평가는 OWASP에서 제시한 방법론을 채택하여 취약점의 영향도와 발생 가능성을 토대로 진행합니다.

보상은 앤드어스체인에서 발행하는 다온 코인으로 지급됩니다.

• Critical : 최대 250,000 코인
• High : 최대 150,000 코인
• Medium : 최대 30,000 코인
• Low : 최대 10,000 코인
• Note : 최대 5,000 코인

인센티브는 위에 정의된 등급 외에도 아래와 같은 사항에 따라 추가적으로 지급될 수 있습니다.

• 깔끔하고 명확한 취약점 설명
• 취약점 조치 방안

버그바운티 대상은 아래와 같습니다.

• Geth (앤드어스체인 수정 영역)
• Fairnode
• Testnet

버그바운티에서 인센티브를 받을 수 있는 취약점은 아래와 같은 형태입니다. 아래 나열된 상황은 예시일 뿐이므로 이에 국한될 필요없이 자유롭게 임해주시기 바랍니다.

• Fairnode를 베재한 합의 성공
• 네트워크 합의 알고리즘 정지
• 유의미한 합의 성공률 도출 등

특정한 상황에 대해선 인센티브가 지급되지 않거나 불이익이 발생될 수 있습니다. 아래의 상황을 잘 숙지하여 불이익을 받지 않도록 해주시기 바랍니다.

• 다른 사용자가 먼저 제출하여 ㈜앤드어스에서 이미 알고 있는 취약점의 경우 인센티브 대상 제외
• 취약점은 보안 패치를 수행한 날로부터 90일(3개월) 간 ㈜앤드어스를 제외한 제 3자에게 공개할 수 없음(공개 시 밝혀진 날로부터 1년 동안 평가 및 인센티브 대상에서 제외)
• 앤드어스 개발팀, 직원 등 직·간접적으로 앤드어스체인과 연계된 인원은 인센티브 대상에서 제외
• 앤드어스체인의 버그바운티 프로그램은 인센티브를 결정할 때 여러 변수를 고려하며 인센티브와 관련된 자격, 점수 및 모든 조건의 결정은 ㈜앤드어스의 재량으로 함
• 이더리움 자체 취약점은 인센티브 지급을 하지 않음

• sample 이하에서 다운로드 가능