মূল বিষয়বস্তুতে যান
নিরাপত্তা

Blockchain0x-এ নিরাপত্তা।

এজেন্টের অর্থপ্রদান বাস্তব অর্থ স্থানান্তর করে। গ্রাহকের তহবিল সুরক্ষিত করার জন্য আর্কিটেকচারাল পছন্দগুলি, আজকের মতো অডিট অবস্থান, এবং আপনি যদি কিছু ভুল পান তবে আমাদের সাথে যোগাযোগ করার উপায়।

সীমা

আপনি এই পৃষ্ঠাটি থেকে কী আশা করতে পারেন।

আমরা একটি প্রাথমিক পর্যায়ের কোম্পানি যা অবকাঠামো সরবরাহ করছে যা গ্রাহকরা পেমেন্ট কর্তৃত্বের সাথে বিশ্বাস করবে। বিশ্বাস নির্মিত হয় যা আপনি যাচাই করতে পারেন তার উপর, যা আপনাকে বলা হয় তার উপর নয়। এই পৃষ্ঠা চারটি বিষয় নথিভুক্ত করে যা গ্রাহক এবং নিরাপত্তা গবেষকরা যাচাই করতে পারেন বা আমাদের কাছে রাখতে পারেন: স্থাপত্যের গ্যারান্টি যা ধরে রাখে এমনকি যদি আমরা অন্য সবকিছুতে ভুল হয়ে থাকি, আমাদের অডিট অবস্থানের বর্তমান অবস্থা (যা আমরা এখনও করিনি), আমাদের বাগ-বাউন্টি প্রোগ্রামের পরিধি এবং পুরস্কার, এবং দায়িত্বশীল প্রকাশের জন্য যোগাযোগের পথ।

What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.

স্থাপত্য গ্যারান্টি

চারটি বৈশিষ্ট্য যা নির্মাণ দ্বারা ধরে রাখা হয়।

নীচের গ্যারান্টিগুলি আর্কিটেকচারাল - এগুলি সিস্টেমটি কিভাবে নির্মিত হয়েছে তার বৈশিষ্ট্য, এটি কিভাবে পরিচালিত হয় তার নয়। অপারেশনাল সিকিউরিটি ল্যাপস করতে পারে (একটি লিক করা কী, একটি ভুল কনফিগার করা ডিপ্লয়); আর্কিটেকচারাল গ্যারান্টিগুলি দৈনিক অপারেশনগুলি নিখুঁত হওয়ার উপর নির্ভর করে না। এগুলি নিরাপত্তার গল্পের অংশ যা আপনি সবচেয়ে খারাপ অপারেশন সপ্তাহেও নির্ভর করতে পারেন।

প্ল্যাটফর্ম স্তরে অ-নিয়ন্ত্রিত

Blockchain0x গ্রাহকের তহবিল ধারণ করে না। ওয়ালেটগুলি এজেন্টের মালিকানাধীন (অথবা গ্রাহক যে সংযুক্ত করেছে তার ভিত্তিতে হেফাজতকারী প্রদানকারী, যেমন সার্কেল প্রোগ্রামেবল ওয়ালেট বা কোইনবেস স্মার্ট ওয়ালেট)। Blockchain0x পরিষেবাটি সেই ওয়ালেটগুলির উপর ডেভেলপার পৃষ্ঠাটি পরিচালনা করে - API, ড্যাশবোর্ড, পরিচয়, ব্যয় নীতি - এবং কখনও ব্যালেন্সের উপর স্বাক্ষরকারী কর্তৃত্ব থাকে না।

ব্যয় নীতি সার্ভার-সাইডে কার্যকর, এজেন্টে নয়

দৈনিক ক্যাপ, প্রতি-পেমেন্ট সিলিং, কাউন্টারপার্টি অ্যালাওলিস্ট, এবং সময়ের জানালাগুলি Blockchain0x ওয়ালেট API দ্বারা প্রতিটি পেমেন্ট উদ্দেশ্যের উপর মূল্যায়ন করা হয় সেটেলমেন্টের আগে। এজেন্ট রানটাইম নীতির স্টোরেজে পৌঁছাতে পারে না; একটি এজেন্ট যা প্রম্পট-ইনজেক্ট করা হয় তাও তার নিজস্ব সীমা বাড়াতে পারে না।

রসিদ-যাচাইকৃত পেমেন্ট নিশ্চিতকরণ

API দ্বারা প্রকাশিত পেমেন্ট রসিদগুলি সার্ভার-সাইডে ইস্যু করা লেনদেনের বিরুদ্ধে যাচাই করা হয় আগে তারা নিশ্চিত করে। একটি ক্লায়েন্ট স্থানীয়ভাবে একটি রসিদ জাল করতে পারে না এবং এটি পেমেন্টের প্রমাণ হিসেবে উপস্থাপন করতে পারে না; রসিদ-যাচাইকরণ পদক্ষেপটি Stripe ওয়েবহুক স্বাক্ষরের ব্যবহৃত একই বিশ্বাস মডেল।

ওয়েবহুক স্বাক্ষর, URL তে শেয়ার করা গোপনীয়তা নয়

আমরা যে প্রতিটি ওয়েবহুক ইভেন্ট নির্গত করি তা একটি পার-টেন্যান্ট সাইনিং সিক্রেট ব্যবহার করে কাঁচা শরীরে HMAC-SHA256 দিয়ে স্বাক্ষরিত হয়। সাইনিং সিক্রেট কখনও URL বা কোয়েরি স্ট্রিংয়ে পাঠানো হয় না। গ্রাহকরা প্রাপ্তিতে স্বাক্ষর যাচাই করেন; আমরা ডকসে রেফারেন্স বাস্তবায়ন সরবরাহ করি।

অডিট অবস্থান

আজ আমরা কোথায় আছি, সত্যি বলতে।

The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.

তৃতীয়-পক্ষ প্রবেশের পরীক্ষা

Q4 2026 এর জন্য পরিকল্পিত

প্রথম বাইরের পেনিট্রেশন পরীক্ষা বছরের দ্বিতীয়ার্ধে নির্ধারিত। পরিধি: ওয়েব অ্যাপ, পাবলিক API, ওয়েবহুক পৃষ্ঠ, ড্যাশবোর্ড প্রমাণীকরণ। সম্পূর্ণ রিপোর্টের সারসংক্ষেপ এখানে প্রকাশিত হবে যখন এটি সম্পন্ন হবে।

SOC 2 টাইপ I

২০২৭ সালের জন্য লক্ষ্য করা হয়েছে

আমরা আজ SOC 2 অডিটেড নই। একটি টাইপ I প্রত্যয়নের জন্য সৎ প্রত্যাশিত সময়সীমা ২০২৭ সালের প্রথমার্ধ; টাইপ II ৬ থেকে ১২ মাসের পর্যবেক্ষণ সময়ের পরে আসে।

স্মার্ট-চুক্তির অডিট

আপস্ট্রিম থেকে উত্তরাধিকারসূত্রে প্রাপ্ত

আজ আমরা নিজেদের smart contract চালাই না। on-chain primitive হলো Circle Programmable Wallets, Coinbase Smart Wallet, এবং underlying Base / USDC contracts, যেগুলোর প্রত্যেকটিরই issuing team-এর নিজস্ব independent audit report আছে। যদি এবং যখন আমরা নিজেদের contract (account-abstraction features) শিপ করি, mainnet deployment-এর আগে সেগুলো audit করা হবে।

বার্ষিক অভ্যন্তরীণ নিরাপত্তা পর্যালোচনা

চলমান

ত্রৈমাসিক গোপনীয়তা-রোটেশন, নির্ভরতা-স্ক্যান পর্যালোচনা এবং অ্যাক্সেস-নিয়ন্ত্রণ অডিট। গ্রাহকদের জন্য আমাদের [secure-your-agent-wallet guide](/learn/guides/secure-your-agent-wallet) এ প্রাক-লঞ্চ হার্ডেনিং চেকলিস্ট নথিভুক্ত করা হয়েছে; অভ্যন্তরীণ সংস্করণ এটি প্রতিফলিত করে।

বাগ বাউন্টি

আমরা নিরাপত্তা গবেষণার জন্য অর্থ প্রদান করি।

আমরা একটি ব্যক্তিগত বাগ-বাউন্টি প্রোগ্রাম পরিচালনা করি। রিপোর্টগুলি আমাদের নিরাপত্তা ইমেইলে সরাসরি যায়; আমরা দুই ব্যবসায়িক দিনের মধ্যে ট্রায়েজ করি এবং নিশ্চিতকৃত ফলাফলের জন্য গুরুতরতার ভিত্তিতে অর্থ প্রদান করি। পেমেন্টগুলি USDC-তে, Base-এ, রিপোর্টার পছন্দের ওয়ালেটে হয়। রিপোর্ট দাখিল করতে আমরা আইনগত NDA প্রয়োজন হয় না।

পরিধিতে

  • Dashboard বা API-তে authentication এবং session management।
  • একই account-এর মধ্যে workspace বা agent-এর মধ্যে privilege escalation।
  • API-তে server-side request forgery, command injection, অথবা remote code execution।
  • Webhook signature bypass বা receipt-validation bypass।
  • Spend-policy bypass, যা এজেন্টকে তার configured cap বা allowlist-এর বাইরে টাকা move করতে দেয়।
  • গুরুত্বপূর্ণ data exposure (অন্যান্য tenant-এর transaction, secret, audit log)।

সীমার বাইরে

  • Self-XSS বা এমন আক্রমণ, যেখানে victim-কে নিজের console-এ hostile input টাইপ বা paste করতে হয়।
  • স্টাফ বা contractor-দের social-engineering-এর ওপর নির্ভরশীল রিপোর্ট।
  • Blockchain0x যে third-party পরিষেবাগুলোর সাথে integrate করে (Coinbase, Circle, etc) সেগুলোর বিরুদ্ধে রিপোর্ট সেই third-party-এর নিজস্ব program-এ পাঠাতে হবে।
  • test endpoint-এর বিরুদ্ধে findings (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
  • প্রমাণিত impact ছাড়া অনুপস্থিত security header।
  • একটি working proof-of-concept ছাড়া তাত্ত্বিক সমস্যা।
গুরুত্বউদাহরণপেমেন্ট পরিসীমা
গুরুতরক্রস-টেন্যান্ট তহবিল আন্দোলন, ব্যয়-নীতি বাইপাস স্কেলে, ব্যবহারকারীর ক্রিয়াকলাপ ছাড়াই অ্যাকাউন্ট দখল।$5,000 - $25,000
উচ্চপ্রমাণীকৃত প্রিভিলেজ বৃদ্ধি, পরিমাপযোগ্য প্রভাব সহ ওয়েবহুক-স্বাক্ষর বাইপাস, API-তে সার্ভার-সাইড রিকোয়েস্ট জালিয়াতি।$1,000 - $5,000
মাঝারিড্যাশবোর্ডে সংরক্ষিত XSS বাস্তবসম্মত শোষণের পথ সহ, সীমিত প্রভাব সহ সংবেদনশীল তথ্য লিক।$250 - $1,000
নিম্নসীমিত শোষণযোগ্যতা সহ প্রতিফলিত XSS, ছোট তথ্য লিক, প্রদর্শিত মান সহ হার্ডেনিং সুপারিশ।$50 - $250

পে-আউট সিদ্ধান্তগুলি চূড়ান্ত এবং প্রকৌশল প্রধানের দ্বারা প্রতিষ্ঠাতার সাথে কথোপকথনের মাধ্যমে নেওয়া হয়। বাউন্টিটি নিশ্চিত, পুনরুত্পাদনযোগ্য ফলাফলের জন্য; ইতিমধ্যে রিপোর্ট করা সমস্যার ডুপ্লিকেটগুলি কেবল প্রথম প্রতিবেদককে অর্থ প্রদান করে। আমরা সমস্যাটি সমাধান হওয়ার পরে অনুরোধের ভিত্তিতে এই পৃষ্ঠায় প্রকাশ্যে প্রতিবেদকদের ক্রেডিট করি।

দায়িত্বশীল প্রকাশ

একটি নিরাপত্তা সমস্যা কীভাবে রিপোর্ট করবেন।

ইস্যুর একটি বর্ণনা, একটি ধাপে ধাপে পুনরুত্পাদন, প্রভাবিত URL বা এন্ডপয়েন্ট, আপনি যে প্রভাব লক্ষ্য করেছেন এবং বাউন্টি পেমেন্টের জন্য আপনার যোগাযোগের তথ্য (একটি বেস ওয়ালেট ঠিকানা যথেষ্ট; কোন বাস্তব নাম প্রয়োজন নেই) সহ [email protected] এ ইমেল করুন। এনক্রিপ্টেড রিপোর্ট স্বাগতম - আমাদের PGP কী অনুরোধে উপলব্ধ।

আমরা আপনার রিপোর্টের স্বীকৃতি দেওয়ার জন্য দুই ব্যবসায়িক দিনের মধ্যে, পাঁচ দিনের মধ্যে ট্রায়েজ করার এবং নিশ্চিত ফলাফলের জন্য ত্রুটি সংশোধন বা ঝুঁকি-গ্রহণের সিদ্ধান্ত পাঠানোর জন্য তিরিশ দিনের মধ্যে প্রতিশ্রুতিবদ্ধ। আমরা দায়িত্বশীল প্রকাশের নীতিগুলি অনুসরণ করা সদিচ্ছার নিরাপত্তা গবেষণার বিরুদ্ধে আইনি পদক্ষেপের হুমকি দিই না - সমস্যা প্রদর্শন করতে প্রয়োজনের তুলনায় বেশি ডেটা প্রকাশ করা, গ্রাহকের ডেটা বের করা নয়, উৎপাদন ব্যবহারকারীদের প্রভাবিত করে এমন ব্যাঘাতমূলক পরীক্ষাগুলি চালানো নয়।

নন-সিকিউরিটি সমস্যার জন্য (সাধারণ সহায়তা, বিলিং, অংশীদারিত্ব), ব্যবহার করুন /contact। সিকিউরিটি ইমেল শুধুমাত্র সিকিউরিটি রিপোর্টের জন্য পর্যবেক্ষণ করা হয়।

ঘটনার যোগাযোগ

যদি কিছু ভুল হয় তবে আমরা কী বলি।

যে উৎপাদন ঘটনা গ্রাহকের তহবিল, গ্রাহকের তথ্য বা পেমেন্ট API-এর প্রাপ্যতাকে প্রভাবিত করে সেগুলোর জন্য সমাধানের ত্রিশ দিনের মধ্যে একটি পাবলিক পোস্ট-মর্টেম হয়, Severity নির্বিশেষে। ছোট ছোট ঘটনা (অবনমিত কর্মক্ষমতা, আংশিক-অঞ্চল আউটেজ) প্রভাবিত গ্রাহকদের কাছে স্থিতি আপডেটের মাধ্যমে যোগাযোগ করা হয় কিন্তু প্রয়োজনীয়ভাবে পোস্ট-মর্টেম পায় না।

আমরা পোস্ট-মর্টেমে গ্রাহকদের দোষারোপ করি না। যদি মূল কারণ আমাদের হয় তবে আমরা তৃতীয়-পক্ষ সরবরাহকারীদের দোষারোপ করি না। আমরা মূল কারণগুলি স্পষ্টভাবে নামকরণ করি, ফলস্বরূপ আমরা কী পরিবর্তন করছি তা তালিকাভুক্ত করি এবং পোস্ট-মর্টেমকে অনির্দিষ্টকালের জন্য উপলব্ধ রাখি। গ্রাহকদের যে প্রত্যাশা থাকতে হবে তা হল আমরা আপনাকে বলব কী ঘটেছে আগে আপনাকে জিজ্ঞাসা করতে হবে।

নিরাপত্তা যোগাযোগ

রিপোর্ট এবং বাউন্টি জমা: [email protected]. PGP কী অনুরোধে।