Blockchain0x ত সুৰক্ষা।
এজেন্ট পেমেন্টবোৰ বাস্তৱ পইচা স্থানান্তৰ কৰে। গ্ৰাহকৰ তহবিল সুৰক্ষিত কৰাৰ বাবে স্থাপত্যৰ বাছনি, আজিৰ পৰ্যায়ত অডিটৰ অৱস্থা, আৰু আপোনাৰ যদি কিবা ভুল পোৱা যায় তেন্তে আমালৈ কেনেকৈ যোগাযোগ কৰিব।
আপুনি এই পৃষ্ঠাৰ পৰা কি আশা কৰিব পাৰে।
আমিয়ে এটা প্ৰাৰম্ভিক পৰ্যায়ৰ কোম্পানী, যিয়ে গ্ৰাহকসকলৰ বাবে পেমেন্ট কৰ্তৃত্বৰ সৈতে বিশ্বাসযোগ্য ইনফ্ৰাষ্ট্ৰাক্চাৰ প্ৰেৰণ কৰে। বিশ্বাস হৈছে যি আপুনি নিশ্চিত কৰিব পাৰে, যি আপুনি কোৱা হৈছে তাৰ ওপৰত নহয়। এই পৃষ্ঠাই চাৰিটা বস্তু নথিভুক্ত কৰে যিবোৰ গ্ৰাহক আৰু সুৰক্ষা গৱেষকসকলে নিশ্চিত কৰিব পাৰে বা আমাক ধৰি ৰাখিব পাৰে: স্থাপত্য গাৰাণ্টীসমূহ যি সকলো অন্য বিষয়ত ভুল হ'লেও থাকে, আমাৰ অডিট প'ষ্টাৰৰ বৰ্তমান অৱস্থা (আমিয়ে এতিয়ালৈকে কি কৰা নাই সেয়া অন্তৰ্ভুক্ত), আমাৰ বাগ-বাউণ্টি কাৰ্যসূচীৰ পৰিসৰ আৰু বঁটা, আৰু দায়িত্বশীল প্ৰকাশৰ বাবে যোগাযোগৰ পথ।
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
চাৰিটা গুণ যিয়ে নিৰ্মাণৰ দ্বাৰা ধৰি ৰাখে।
তলত উল্লেখ কৰা গাৰাণ্টীসমূহ স্থাপত্যগত - সিহঁতে কিদৰে ব্যৱস্থাটো নিৰ্মিত হৈছে তাৰ গুণাবলী, কিদৰে ইয়াক চলোৱা হৈছে তাৰ নহয়। কাৰ্য্যকৰী সুৰক্ষা লেপস কৰিব পাৰে (এটা চুৰি হোৱা কী, এটা ভুল কনফিগাৰ কৰা ডিপ্লয়); স্থাপত্য গাৰাণ্টীসমূহৰ ওপৰত দিন-প্ৰতি কাৰ্য্যৰ নিখুঁত হোৱাৰ ওপৰত নিৰ্ভৰ নকৰে। এইবোৰ হৈছে সুৰক্ষা কাহিনীৰ অংশ যিয়ে আপুনি সকলোতকৈ বেয়া সপ্তাহৰ কাৰ্য্যৰ সময়ত বিশ্বাস কৰিব পাৰে।
প্লেটফৰ্ম স্তৰত নন-কাষ্টডিয়েল
Blockchain0x গ্ৰাহকৰ তহবিল ৰাখে নে। ৱালেটসমূহ এজেন্টৰ দ্বাৰা অধিকারিত (অথবা গ্ৰাহকে সংযুক্ত কৰা মূলে হেফাজত প্ৰদানকাৰীৰ দ্বাৰা, যেনে Circle Programmable Wallets বা Coinbase Smart Wallet)। Blockchain0x সেৱাই সেই ৱালেটসমূহৰ ওপৰত ডেভেলপাৰ পৃষ্ঠাৰ ব্যৱহাৰ কৰে - API, ডেছব'ৰ্ড, পৰিচয়, ব্যয় নীতি - আৰু কেতিয়াও বেলেন্সৰ ওপৰত স্বাক্ষৰ কৰাৰ অধিকাৰ নাথাকে।
এজেন্টত নহয়, ছাৰ্ভাৰ-পক্ষত খৰচ নীতি প্ৰয়োগ কৰা হৈছে
দৈনিক কেপসমূহ, প্ৰতি-পেমেন্ট চূড়ান্ত, কণ্টাৰপাৰ্টি অনুমতি তালিকা, আৰু সময়ৰ উইণ্ড'সমূহ Blockchain0x ৱালেট APIৰ দ্বাৰা প্ৰতিটো পেমেন্ট উদ্দেশ্যত চূড়ান্তৰ আগতে মূল্যায়ন কৰা হয়। এজেন্টৰ ৰাণটাইম নীতি সংৰক্ষণলৈ নাপায়; যিজন এজেন্ট প্ৰম্পট-ইঞ্জেক্ট হয় সি নিজৰ সীমা বৃদ্ধি কৰিব নোৱাৰে।
ৰিচিপ্ট-প্ৰমাণীকৃত পেমেন্ট নিশ্চিতকৰণ
API দ্বাৰা প্ৰকাশিত পেমেন্ট ৰিচিপ্টসমূহৰ প্ৰমাণীকৰণ কৰা হয় ছাৰ্ভাৰ-পৰাই জাৰি কৰা লেনদেনৰ বিৰুদ্ধে। এজন ক্লায়েন্ট স্থানীয়ভাৱে এখন ৰিচিপ্ট ভ্ৰষ্ট কৰিব নোৱাৰে আৰু ইয়াক পেমেন্টৰ প্ৰমাণ হিচাপে উপস্থাপন কৰিব নোৱাৰে; ৰিচিপ্ট-প্ৰমাণীকৰণ পদক্ষেপটো সেই একেই বিশ্বাস মডেল যি Stripe webhook স্বাক্ষৰ ব্যৱহাৰ কৰে।
Webhook স্বাক্ষৰ, URLত ভাগ কৰা গোপনীয়তা নহয়
আমাৰ দ্বাৰা নিৰ্গত প্ৰতিটো ৱেবহুক ইভেন্ট HMAC-SHA256 ৰ সৈতে কাঁচা শৰীৰৰ ওপৰত স্বাক্ষৰিত হয় যি প্ৰতি-ভাড়াতীয়াৰ স্বাক্ষৰ গোপন। স্বাক্ষৰ গোপন URL বা অনুসন্ধান শ্ৰেণীত কেতিয়াও পঠিওৱা নহয়। গ্ৰাহকসকলে গ্ৰহণৰ সময়ত স্বাক্ষৰবোৰ প্ৰমাণিত কৰে; আমি ডকসমূহত উল্লেখিত কাৰ্য্যবিধিসমূহ প্ৰদান কৰোঁ।
আজিৰ দিনত আমি ক'ত আছোঁ, সৎভাৱে।
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
তৃতীয়-পক্ষৰ প্ৰৱেশ পৰীক্ষা
Q4 2026 ৰ বাবে পৰিকল্পিতপ্ৰথম বাহ্যিক পেনিট্ৰেচন পৰীক্ষা বৰ্ষৰ দ্বিতীয় ভাগৰ বাবে নিৰ্ধাৰিত হৈছে। পৰিসৰ: ৱেব এপ, জনসাধাৰণ API, ৱেবহুক পৃষ্ঠ, ডেছব’ৰ্ড প্ৰমাণীকৰণ। সম্পূৰ্ণ প্ৰতিবেদনৰ সাৰাংশ ইয়াত প্ৰকাশিত হ'ব যেতিয়া সম্পূৰ্ণ হয়।
SOC 2 টাইপ I
২০২৭ৰ বাবে লক্ষ্য কৰাআমাৰ আজিৰ দিনত SOC 2 পৰীক্ষা কৰা হোৱা নাই। এক প্ৰকাৰ I প্ৰমাণীকৰণৰ বাবে সঠিক আশা কৰা সময় ২০২৭ৰ প্ৰথম অর্ধভাগ; প্ৰকাৰ II ৬ৰ পৰা ১২ মাহৰ পৰ্যবেক্ষণ সময়ৰ পিছত আহে।
চতুৰ্থ-চুক্তিৰ অডিট
উপৰ পৰা উত্তৰাধিকাৰিতআমি বৰ্তমান আমাৰ নিজস্ব smart contracts পৰিচালনা নকৰো। on-chain primitives হৈছে Circle Programmable Wallets, Coinbase Smart Wallet, আৰু underlying Base / USDC contracts, যিবোৰৰ সকলোৰে জাৰি কৰা দলসমূহৰ পৰা নিজা independent audit reports আছে। যদি আৰু যেতিয়া আমি আমাৰ নিজস্ব contracts (account-abstraction features) ship কৰিম, সেয়া mainnet deployment ৰ আগতে audit কৰা হ'ব।
বার্ষিক অভ্যন্তৰীণ সুৰক্ষা পৰ্যালোচনা
চলিতত্ৰৈমাসিক গোপন-ঘূৰণ, নিৰ্ভৰশীলতা-স্কেন পৰ্যালোচনা, আৰু প্ৰৱেশ-নিয়ন্ত্ৰণ অডিট। গ্ৰাহকৰ বাবে আমাৰ [আপোনাৰ এজেন্ট ৱালেট সুৰক্ষিত কৰক গাইড](/learn/guides/secure-your-agent-wallet)ত প্ৰাক-লঞ্চ শক্তিশালীকৰণ চেকলিষ্ট নথিভুক্ত কৰা হৈছে; অভ্যন্তৰীণ সংস্কৰণটো ইয়াক প্ৰতিফলিত কৰে।
আমিয়ে সুৰক্ষা গৱেষণাৰ বাবে পেমেন্ট কৰোঁ।
আমি এটা ব্যক্তিগত বাগ-বাউণ্টি কাৰ্যসূচী চলাও। প্ৰতিবেদনসমূহ সোজাকৈ আমাৰ সুৰক্ষা ইমেইললৈ যায়; আমি দুই ব্যৱসায়িক দিনৰ ভিতৰত ত্ৰিয়াজ কৰোঁ আৰু নিশ্চিত কৰা ফলাফলসমূহৰ বাবে গম্ভীৰতাৰ ভিত্তিত পেমেন্ট কৰোঁ। পেমেন্টসমূহ USDC ত, Base ত, প্ৰতিবেদকৰ পছন্দৰ ৱালেটলৈ। আমি প্ৰতিবেদন দাখিল কৰিবলৈ আইনগত NDAৰ প্ৰয়োজন নকৰোঁ।
সীমাৰ ভিতৰত
- dashboard বা APIত authentication আৰু session management।
- একেখন account-ৰ ভিতৰত workspace বা agent-ৰ মাজত privilege escalation।
- API-ত server-side request forgery, command injection, বা remote code execution।
- Webhook signature bypass বা receipt-validation bypass।
- Spend-policy bypass, যিয়ে agent-এ তাৰ configured cap বা allowlist-ৰ বাহিৰলৈ টকা সৰকাবলৈ দিয়ে।
- গুৰুতৰ data exposure (আন tenant-ৰ transaction, secret, audit log)।
সীমাৰ বাহিৰে
- Self-XSS বা এনে attack য'ত victim-এ নিজৰ console-ত hostile input টাইপ বা paste কৰিব লাগে।
- কৰ্মচাৰী বা contractor-ৰ social engineering-ৰ ওপৰত নিৰ্ভৰ কৰা report।
- Blockchain0x-এ integrate কৰা third-party service (Coinbase, Circle, etc) বিৰুদ্ধে report - সেইবোৰ third-party-ৰ নিজস্ব program-লৈ যাব লাগে।
- test endpoint-সমূহৰ ওপৰত findings (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- প্ৰমাণিত impact নথকা missing security header।
- কাৰ্যকৰী proof-of-concept নথকা তাত্ত্বিক সমস্যা।
| গম্ভীৰতা | উদাহৰণসমূহ | পে-আউট পৰিসৰ |
|---|---|---|
| গম্ভীৰ | ক্রছ-টেণেন্ট ফাণ্ড মুভমেন্ট, খৰচ-নীতি বায়পাছ এট স্কেল, ব্যৱহাৰকাৰীৰ কাৰ্য্য নোহোৱাকৈ একাউণ্ট টেকঅ'ভাৰ। | $5,000 - $25,000 |
| উচ্চ | প্ৰমাণীকৃত বিশেষাধিকাৰ বৃদ্ধি, ৱেবহুক-স্বাক্ষৰ বায়পাছৰ সৈতে মাপযোগ্য প্ৰভাৱ, API ত ছাৰ্ভাৰ-পক্ষৰ অনুৰোধৰ জালিয়াতি। | $1,000 - $5,000 |
| মধ্যম | ডেছব'ৰ্ডত সংৰক্ষিত XSSৰ সৈতে বাস্তৱিক শোষণ পথ, সীমিত প্ৰভাৱৰ সৈতে সংবেদনশীল তথ্য লিক। | $250 - $1,000 |
| নিম্ন | সীমিত শোষণযোগ্যতাৰ সৈতে প্ৰতিফলিত XSS, সামান্য তথ্য লিক, প্ৰমাণিত মূল্যৰ সৈতে শক্তিশালীকৰণৰ সুপারিশ। | $50 - $250 |
পেআউট সিদ্ধান্তসমূহ চূড়ান্ত আৰু ইঞ্জিনিয়াৰিং নেতা আৰু প্ৰতিষ্ঠাপকজনৰ সৈতে আলোচনা কৰি কৰা হয়। বাউণ্টি হৈছে নিশ্চিত, পুনৰ উৎপাদনযোগ্য ফলাফলৰ বাবে; ইতিমধ্যে ৰিপৰ্ট কৰা সমস্যা সমূহৰ ডুপ্লিকেটে কেৱল প্ৰথম ৰিপৰ্টাৰক পেমেন্ট কৰে। আমি সমস্যাটো মুকলি কৰা হলে এই পৃষ্ঠাত ৰিপৰ্টাৰক জনসাধাৰণৰ মাজত কৃতজ্ঞতা জনাইছোঁ।
এখন সুৰক্ষা সমস্যাৰ প্ৰতিবেদন কেনেকৈ কৰিব।
ইস্যুৰ বিৱৰণ, এক পদক্ষেপ-পদক্ষেপ পুনৰ উৎপাদন, প্ৰভাৱিত URL বা এণ্ডপইণ্ট, আপুনি যি প্ৰভাৱ দেখিছে, আৰু বাউণ্টি পেমেন্টৰ বাবে আপোনাৰ যোগাযোগৰ তথ্য (এটা Base ৱালেট ঠিকনা যথেষ্ট; বাস্তৱ নামৰ প্ৰয়োজন নাই) সহ [email protected]লৈ ইমেইল কৰক। সংক্ৰান্ত রিপোর্টসমূহ স্বাগতম - আমাৰ PGP চাবি অনুৰোধত উপলব্ধ।
আমিয়ে আপোনাৰ প্ৰতিবেদনক দুই ব্যৱসায়িক দিনৰ ভিতৰত স্বীকাৰ কৰাৰ প্ৰতিশ্ৰুতি দিছোঁ, পাঁচদিনৰ ভিতৰত ত্ৰিয়াজিং, আৰু নিশ্চিত ফলাফলৰ বাবে ত্ৰিশ দিনৰ ভিতৰত এটা মেরামতি বা ঝুঁকি-গ্ৰহণৰ সিদ্ধান্ত প্ৰেৰণ কৰোঁ (অথবা সংকটজনক সমস্যাৰ বাবে তাড়াতাড়ি)। আমি দায়িত্বশীল প্ৰকাশৰ নীতি অনুসৰণ কৰা ভাল-নিয়মিত সুৰক্ষা গৱেষণাৰ বিৰুদ্ধে আইনী ব্যৱস্থা লোৱাৰ ধমক নিদিওঁ - সমস্যা প্ৰদৰ্শন কৰিবলৈ প্ৰয়োজনৰ পৰা মাত্ৰ ডাটা উলিয়াই, গ্ৰাহক ডাটা উলিয়াই নকৰা, উৎপাদন ব্যৱহাৰকাৰীসকলক প্ৰভাৱিত কৰা বিঘ্নকাৰী পৰীক্ষাসমূহ চলোৱা।
নন-সুৰক্ষা সমস্যাৰ বাবে (সাধাৰণ সহায়, বিলিং, অংশীদাৰিত্ব), ব্যৱহাৰ কৰক /contact। সুৰক্ষা ইমেইল মাত্ৰ সুৰক্ষা প্ৰতিবেদনসমূহৰ বাবে পৰ্যবেক্ষণ কৰা হয়।
যদি কিবা ভুল হয় তেন্তে আমি কি ক'ব।
গ্ৰাহকৰ তহবিল, গ্ৰাহকৰ তথ্য, বা পেমেন্ট APIৰ উপলব্ধতাত প্ৰভাৱ পেলোৱা উৎপাদন ঘটনা সমাধানৰ ত্ৰিশ দিনৰ ভিতৰত এটা জনসাধাৰণ পোষ্ট-মৰ্টেম পায়, গম্ভীৰতাৰ পৰোয়া নকৰাকৈ। সৰু ঘটনা (অবনমিত কাৰ্যক্ষমতা, আংশিক-অঞ্চল বন্ধ) প্ৰভাৱিত গ্ৰাহকলৈ স্থিতি আপডেটৰ জৰিয়তে যোগাযোগ কৰা হয় কিন্তু পোষ্ট-মৰ্টেম নাপায়।
আমিয়ে মৃত্যুৰ পাছত গ্ৰাহকসকলক দোষ নিদিওঁ। যদি মূল কাৰণ আমাৰ হয় তেন্তে আমি তৃতীয়-পক্ষ প্ৰদানকাৰীসকলক দোষ নিদিওঁ। আমি মূল কাৰণসমূহ স্পষ্টভাৱে নাম দিওঁ, ফলস্বৰূপে আমি কি পৰিবৰ্তন কৰিছোঁ সেয়া তালিকাবদ্ধ কৰোঁ, আৰু মৃত্যুৰ পাছত উপলব্ধ ৰাখোঁ। গ্ৰাহকসকলৰ বাবে আশা হৈছে যে আমি আপোনাক কি ঘটিছিল সেয়া কোৱা হ'ব আপোনাৰ সোধাৰ আগতে।
সুৰক্ষা যোগাযোগ
ৰিপৰ্ট আৰু বাউণ্টি জমা: [email protected]. PGP কীৰ্তি অনুৰোধত।