Seguridad en Blockchain0x.
Los pagos de agentes mueven dinero real. Las decisiones arquitectónicas que protegen los fondos de los clientes, la postura de auditoría tal como está hoy y cómo contactarnos si encuentras algo incorrecto.
Lo que puede esperar de esta página.
Somos una empresa en etapa temprana que envía infraestructura en la que los clientes confiarán con la autoridad de pago. La confianza se basa en lo que puedes verificar, no en lo que te dicen. Esta página documenta cuatro cosas que los clientes e investigadores de seguridad pueden verificar o exigirnos: las garantías arquitectónicas que se mantienen incluso si estamos equivocados sobre todo lo demás, el estado actual de nuestra postura de auditoría (incluyendo lo que aún no hemos hecho), el alcance y las recompensas de nuestro programa de recompensas por errores, y el camino de contacto para la divulgación responsable.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
Cuatro propiedades que se mantienen por construcción.
Las garantías a continuación son arquitectónicas: son propiedades de cómo se construye el sistema, no de cómo se opera. La seguridad operativa puede fallar (una clave filtrada, un despliegue mal configurado); las garantías arquitectónicas no dependen de que las operaciones diarias sean perfectas. Estas son las partes de la historia de seguridad en las que puedes confiar incluso en la peor semana de operaciones.
No custodial a nivel de plataforma
Blockchain0x no retiene fondos de clientes. Las billeteras son propiedad del agente (o del proveedor de custodia subyacente que el cliente ha conectado, como las Billeteras Programables de Circle o la Coinbase Smart Wallet). El servicio de Blockchain0x opera la superficie de desarrollo sobre esas billeteras - APIs, panel, identidad, política de gasto - y nunca tiene autoridad de firma sobre los saldos.
Política de gasto aplicada del lado del servidor, no en el agente
Los límites diarios, los techos por pago, las listas de permitidos de contrapartes y las ventanas de tiempo son evaluados por la API de billetera Blockchain0x en cada intención de pago antes de la liquidación. El tiempo de ejecución del agente no puede acceder al almacenamiento de políticas; un agente que recibe inyecciones de prompt aún no puede aumentar sus propios límites.
Confirmación de pago validada por recibo
Los recibos de pago presentados por la API son validados del lado del servidor contra la transacción emisora antes de que confirmen. Un cliente no puede falsificar un recibo localmente y presentarlo como prueba de pago; el paso de validación del recibo es el mismo modelo de confianza que utilizan las firmas de webhook de Stripe.
Firmas de webhook, no secretos compartidos en URLs
Cada evento de webhook que emitimos está firmado con HMAC-SHA256 sobre el cuerpo sin procesar utilizando un secreto de firma por inquilino. El secreto de firma nunca se envía en la URL o en la cadena de consulta. Los clientes verifican las firmas al recibirlas; proporcionamos implementaciones de referencia en la documentación.
Dónde estamos hoy, honestamente.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
Prueba de penetración de terceros
Planificado para el cuarto trimestre de 2026La primera prueba de penetración externa está programada para la segunda mitad del año. Alcance: aplicación web, APIs públicas, superficie de webhook, autenticación del panel. El resumen del informe completo se publicará aquí cuando esté completo.
SOC 2 Tipo I
Objetivo para 2027No estamos auditados por SOC 2 hoy. La ventana esperada honesta para una atestación de Tipo I es la primera mitad de 2027; el Tipo II sigue después de un período de observación de 6 a 12 meses.
Auditorías de contratos inteligentes
Hereditado de upstreamHoy no operamos nuestros propios smart contracts. Las primitivas on-chain son Circle Programmable Wallets, Coinbase Smart Wallet y los contratos subyacentes de Base / USDC, todos los cuales cuentan con sus propios informes de auditoría independientes emitidos por los equipos correspondientes. Si en el futuro lanzamos nuestros propios contratos (funciones de account-abstraction), serán auditados antes del despliegue en mainnet.
Revisión de seguridad interna anual
En cursoRotación de secretos trimestral, revisión de escaneo de dependencias y auditoría de control de acceso. Lista de verificación de endurecimiento previa al lanzamiento documentada en nuestra [guía de asegurar tu billetera de agente](/learn/guides/secure-your-agent-wallet) para clientes; la versión interna la refleja.
Pagamos por investigación de seguridad.
Llevamos a cabo un programa privado de recompensas por errores. Los informes van directamente a nuestro correo electrónico de seguridad; triamos dentro de dos días hábiles y pagamos los hallazgos confirmados según su gravedad. Los pagos se realizan en USDC, en Base, a la billetera de elección del reportero. No requerimos NDAs legales para presentar un informe.
En alcance
- Autenticación y gestión de sesión en el dashboard o API.
- Escalada de privilegios entre workspaces o agentes de la misma cuenta.
- Server-side request forgery, inyección de comandos o ejecución remota de código en la API.
- Bypass de la firma del webhook o bypass de la validación del recibo.
- Bypass de la política de gasto que permite a un agente mover dinero fuera de sus límites configurados o allowlist.
- Exposición significativa de datos (transacciones de otros tenants, secretos, registros de auditoría).
Fuera de alcance
- Self-XSS o ataques que requieren que la víctima escriba o pegue entrada maliciosa en su propia consola.
- Informes que dependen de ingeniería social a personal o contratistas.
- Los reportes contra servicios de terceros con los que Blockchain0x se integra (Coinbase, Circle, etc) - deben dirigirse al programa propio del tercero.
- Hallazgos sobre endpoints de prueba (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- Faltan encabezados de seguridad sin un impacto demostrado.
- Problemas teóricos sin una prueba de concepto funcional.
| Severidad | Ejemplos | Rango de pago |
|---|---|---|
| Crítico | Movimiento de fondos entre inquilinos, eludir políticas de gasto a gran escala, toma de control de cuentas sin acción del usuario. | $5,000 - $25,000 |
| Alto | Escalación de privilegios autenticada, eludir la firma del webhook con impacto medible, falsificación de solicitudes del lado del servidor en la API. | $1,000 - $5,000 |
| Medio | XSS almacenado en el panel con un camino de explotación realista, filtración de información sensible con impacto limitado. | $250 - $1,000 |
| Bajo | XSS reflejado con explotabilidad limitada, filtraciones de información menores, recomendaciones de endurecimiento con valor demostrado. | $50 - $250 |
Las decisiones de pago son finales y las toma el líder de ingeniería en conversación con el fundador. La recompensa es por hallazgos confirmados y reproducibles dentro del alcance; los duplicados de un problema ya reportado solo pagan al primer reportero. Acreditamos a los reporteros públicamente en esta página a pedido una vez que se soluciona el problema.
Cómo reportar un problema de seguridad.
Envía un correo a [email protected] con: una descripción del problema, una reproducción paso a paso, la URL o endpoint afectado, el impacto que observaste y tu información de contacto para el pago de la recompensa (una dirección de billetera Base es suficiente; no se requiere nombre real). Se aceptan informes cifrados - nuestra clave PGP está disponible a solicitud.
Nos comprometemos a reconocer tu informe dentro de dos días hábiles, clasificar dentro de cinco y enviar una solución o decisión de aceptación de riesgo dentro de los treinta días para hallazgos confirmados (o antes para problemas críticos). No amenazamos con acciones legales contra investigaciones de seguridad de buena fe que sigan las normas de divulgación responsable - exponiendo datos solo en la medida necesaria para demostrar el problema, no extrayendo datos de clientes, no realizando pruebas disruptivas que afecten a los usuarios en producción.
Para problemas que no son de seguridad (soporte general, facturación, asociaciones), utiliza /contact. El correo de seguridad se monitorea solo para informes de seguridad.
Lo que decimos si algo sale mal.
Los incidentes de producción que afectan los fondos de los clientes, los datos de los clientes o la disponibilidad de la API de pago reciben un análisis post-mortem público dentro de los treinta días posteriores a la resolución, independientemente de la gravedad. Los incidentes más pequeños (rendimiento degradado, interrupciones parciales en la región) se comunican a través de actualizaciones de estado a los clientes afectados, pero no necesariamente reciben un análisis post-mortem.
No culpamos a los clientes en los análisis post-mortem. No culpamos a proveedores externos si la causa raíz fue nuestra. Nombramos las causas raíz de manera clara, enumeramos lo que estamos cambiando como resultado y mantenemos el análisis post-mortem disponible indefinidamente. La expectativa que los clientes deben tener es que les diremos lo que sucedió antes de que tengan que preguntar.
Contacto de seguridad
Informes y envíos de recompensas: [email protected]. Clave PGP a solicitud.