La fureur éclate suite à une maigre récompense pour les chercheurs en sécurité alors que Circle ouvre les portes du réseau d'essai d'Arc

Circle fait face à des critiques après avoir fixé une récompense maximale de 5 000 $ pour les vulnérabilités critiques de son programme de bug bounty lié à Arc, une blockchain publique de couche 1. Le plafond de paiement a attiré l'attention lorsque la société a ouvert son code testnet et son logiciel de nœud à l'examen public.

Arc est décrit comme un système d'exploitation économique pour Internet. La plate-forme est conçue pour prendre en charge les pièces stables, les actifs tokenisés et les marchés mondiaux sur une infrastructure partagée. Le programme intervient alors qu'Arc se dirige vers le réseau principal.

Arc Bug Bounty de Circle fait face à des critiques concernant le plafond de paiement

L'enquêteur Blockchain ZachXBT a critiqué la structure de paiement dans un article sur X. Il a écrit qu'il pourrait faire correspondre la « blague lowball » d'un programme de bug bounty de Circle avec ses fonds personnels si un chercheur au chapeau gris choisissait de l'exploiter pour lui-même.

Circle a déclaré que la campagne vise à élargir l'examen externe avant le lancement. Il a demandé aux chercheurs de rechercher des résultats reproductibles susceptibles d'affecter la sécurité, la vivacité, l'exactitude ou la fiabilité du réseau.

La réaction la plus vive s’est concentrée sur le niveau de récompense le plus élevé. Le programme offre entre 3 000 et 5 000 dollars pour les découvertes critiques. Les rapports critiques représentent 6,90 % de toutes les soumissions répertoriées dans le tableau des récompenses.

Les problèmes très graves sont éligibles à des paiements allant de 800 $ à 3 000 $. Cette catégorie représente également 6,90 % des soumissions. Le tableau ne répertorie aucune prime moyenne pour les rapports élevés ou critiques.

Les découvertes de gravité moyenne offrent des récompenses allant de 400 $ à 800 $. Il s'agit de la plus grande part des soumissions avec 44,83 %. Les rapports de faible gravité varient de 150 $ à 400 $ et représentent 41,38 % du total des soumissions.

La plate-forme définit les délais et les règles des primes

Circle a déclaré qu'il visait à envoyer une première réponse dans les cinq jours ouvrables suivant le dépôt d'un rapport. Le programme fixe le tri à 10 jours ouvrables à compter de la soumission. Il indique également que les décisions en matière de primes sont prises dans les 10 jours ouvrables suivant le triage.

La société a déclaré que le délai de résolution dépendrait de la gravité et de la complexité de chaque cas. Cela nécessite également une vulnérabilité par rapport, sauf si un chaînage est nécessaire pour montrer l'impact. Si des rapports en double sont déposés, seul le premier entièrement reproductible donnera droit à une récompense.

Circle a déclaré que plusieurs bogues liés à une seule cause seraient traités comme un seul cas de prime. Le programme est limité aux participants âgés de 18 ans ou plus. Cela nécessite également le respect des lois et réglementations applicables.

L'entreprise exclut du programme ses employés et les membres de leur famille immédiate. Il interdit également les résidents des juridictions sous embargo américain et les personnes figurant sur des listes restreintes. En déposant un rapport, les participants accordent à Circle et à ses sociétés affiliées de vastes droits d'utilisation et de partage de la soumission.

En relation: Circle dévoile une feuille de route post-quantique pour Arc Blockchain