Sécurité chez Blockchain0x.
Les paiements d'agents déplacent de l'argent réel. Les choix architecturaux qui protègent les fonds des clients, la posture d'audit telle qu'elle est aujourd'hui, et comment nous contacter si vous trouvez quelque chose de mal.
Ce à quoi vous pouvez vous attendre de cette page.
Nous sommes une entreprise en phase de démarrage livrant une infrastructure que les clients feront confiance pour l'autorité de paiement. La confiance se construit sur ce que vous pouvez vérifier, pas sur ce qu'on vous dit. Cette page documente quatre choses que les clients et les chercheurs en sécurité peuvent vérifier ou auxquelles ils peuvent nous tenir : les garanties architecturales qui tiennent même si nous avons tort sur tout le reste, l'état actuel de notre posture d'audit (y compris ce que nous n'avons pas encore fait), le périmètre et les récompenses de notre programme de bug bounty, et le chemin de contact pour la divulgation responsable.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
Quatre propriétés qui tiennent par construction.
Les garanties ci-dessous sont architecturales - ce sont des propriétés de la façon dont le système est construit, pas de la façon dont il est exploité. La sécurité opérationnelle peut faillir (une clé divulguée, un déploiement mal configuré) ; les garanties architecturales ne dépendent pas du bon fonctionnement des opérations quotidiennes. Ce sont les parties de l'histoire de la sécurité sur lesquelles vous pouvez compter même lors de la pire semaine d'opérations.
Non-custodial au niveau de la plateforme
Blockchain0x ne détient pas les fonds des clients. Les portefeuilles appartiennent à l'agent (ou au fournisseur de garde sous-jacent que le client a connecté, comme les portefeuilles programmables Circle ou le portefeuille intelligent Coinbase). Le service Blockchain0x opère la surface développeur au-dessus de ces portefeuilles - APIs, tableau de bord, identité, politique de dépense - et n'a jamais d'autorité de signature sur les soldes.
Politique de dépense appliquée côté serveur, pas dans l'agent
Les plafonds quotidiens, les plafonds par paiement, les listes blanches des contreparties et les fenêtres temporelles sont évalués par l'API de portefeuille Blockchain0x sur chaque intention de paiement avant le règlement. Le runtime de l'agent ne peut pas accéder au stockage des politiques ; un agent qui subit une injection de prompt ne peut toujours pas augmenter ses propres limites.
Confirmation de paiement validée par reçu
Les reçus de paiement affichés par l'API sont validés côté serveur par rapport à la transaction émettrice avant qu'ils ne soient confirmés. Un client ne peut pas falsifier un reçu localement et le présenter comme preuve de paiement ; l'étape de validation du reçu est le même modèle de confiance que les signatures de webhook de Stripe utilisent.
Signatures de webhook, pas de secrets partagés dans les URL
Chaque événement webhook que nous émettons est signé avec HMAC-SHA256 sur le corps brut en utilisant un secret de signature par locataire. Le secret de signature n'est jamais envoyé dans l'URL ou la chaîne de requête. Les clients vérifient les signatures à la réception ; nous fournissons des implémentations de référence dans la documentation.
Où nous en sommes aujourd'hui, honnêtement.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
Test de pénétration par un tiers
Prévu pour le T4 2026Le premier test de pénétration externe est prévu pour la deuxième moitié de l'année. Portée : application web, API publiques, surface webhook, authentification du tableau de bord. Un résumé complet du rapport sera publié ici une fois terminé.
SOC 2 Type I
Ciblé pour 2027Nous ne sommes pas audités SOC 2 aujourd'hui. La fenêtre attendue pour une attestation de Type I est la première moitié de 2027 ; le Type II suit après une période d'observation de 6 à 12 mois.
Audits de contrats intelligents
Hérité de l'amontNous n'exploitons pas aujourd'hui nos propres smart contracts. Les primitives on-chain sont Circle Programmable Wallets, Coinbase Smart Wallet et les contrats Base / USDC sous-jacents, qui disposent tous de leurs propres rapports d'audit indépendants fournis par les équipes émettrices. Si nous lançons nos propres contrats - ou lorsque nous le ferons - (fonctionnalités d'account abstraction), ils seront audités avant le déploiement sur le mainnet.
Revue annuelle de la sécurité interne
En coursRotation secrète trimestrielle, révision de l'analyse des dépendances et audit de contrôle d'accès. Liste de contrôle de durcissement avant lancement documentée dans notre [guide sécuriser votre portefeuille d'agent](/learn/guides/secure-your-agent-wallet) pour les clients ; la version interne lui correspond.
Nous payons pour la recherche en sécurité.
Nous gérons un programme de récompense pour les bugs privé. Les rapports vont directement à notre e-mail de sécurité ; nous faisons un tri dans les deux jours ouvrables et payons les résultats confirmés en fonction de leur gravité. Les paiements sont effectués en USDC, sur Base, vers le portefeuille de choix du rapporteur. Nous ne demandons pas de NDA légaux pour déposer un rapport.
Dans le champ d'application
- Authentification et gestion des sessions sur le tableau de bord ou l'API.
- Escalade de privilèges entre des espaces de travail ou des agents sur le même compte.
- Server-side request forgery, injection de commandes ou exécution de code à distance dans l'API.
- Contournement de la signature du webhook ou contournement de la validation du reçu.
- Contournement de la politique de dépenses qui permet à un agent de déplacer de l'argent en dehors de ses plafonds configurés ou de sa liste d'autorisation.
- Exposition importante de données (transactions d'autres locataires, secrets, journaux d'audit).
Hors de portée
- Self-XSS ou attaques qui exigent que la victime tape ou colle une entrée hostile dans sa propre console.
- Signalements qui reposent sur l'ingénierie sociale du personnel ou des prestataires.
- Les signalements concernant des services tiers avec lesquels Blockchain0x s'intègre (Coinbase, Circle, etc) - doivent être adressés au programme propre du tiers.
- Résultats contre les endpoints de test (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- En-têtes de sécurité manquants sans impact démontré.
- Problèmes théoriques sans preuve de concept fonctionnelle.
| Gravité | Exemples | Plage de paiement |
|---|---|---|
| Critique | Mouvement de fonds inter-locataires, contournement de la politique de dépenses à grande échelle, prise de contrôle de compte sans action de l'utilisateur. | $5,000 - $25,000 |
| Élevé | Escalade de privilèges authentifiée, contournement de la signature de webhook avec impact mesurable, falsification de requête côté serveur dans l'API. | $1,000 - $5,000 |
| Moyen | XSS stocké dans le tableau de bord avec un chemin d'exploitation réaliste, fuite d'informations sensibles avec un impact limité. | $250 - $1,000 |
| Bas | XSS réfléchi avec une exploitabilité limitée, des fuites d'informations mineures, des recommandations de durcissement avec une valeur démontrée. | $50 - $250 |
Les décisions de paiement sont finales et prises par le responsable technique en conversation avec le fondateur. La prime est pour des découvertes confirmées et reproductibles dans le périmètre ; les doublons d'un problème déjà signalé ne paient que le premier rapporteur. Nous créditons les rapporteurs publiquement sur cette page sur demande une fois le problème résolu.
Comment signaler un problème de sécurité.
Envoyez un email à [email protected] avec : une description du problème, une reproduction étape par étape, l'URL ou le point de terminaison concerné, l'impact que vous avez observé, et vos coordonnées pour le paiement de la prime (une adresse de portefeuille Base suffit ; aucun vrai nom requis). Les rapports chiffrés sont les bienvenus - notre clé PGP est disponible sur demande.
Nous nous engageons à accuser réception de votre rapport dans un délai de deux jours ouvrables, à le trier dans les cinq jours, et à expédier un correctif ou une décision d'acceptation des risques dans les trente jours pour les constatations confirmées (ou plus tôt pour les problèmes critiques). Nous ne menaçons pas d'actions en justice contre les recherches en sécurité de bonne foi qui suivent les normes de divulgation responsable - exposant les données seulement autant que nécessaire pour démontrer le problème, sans exfiltrer les données des clients, sans effectuer de tests perturbateurs qui affectent les utilisateurs en production.
Pour les problèmes non liés à la sécurité (support général, facturation, partenariats), utilisez /contact. L'email de sécurité est surveillé uniquement pour les rapports de sécurité.
Ce que nous disons si quelque chose ne va pas.
Les incidents de production qui affectent les fonds des clients, les données des clients ou la disponibilité de l'API de paiement obtiennent un post-mortem public dans les trente jours suivant la résolution, quelle que soit la gravité. Les incidents plus petits (performance dégradée, pannes partielles) sont communiqués via des mises à jour de statut aux clients concernés mais ne reçoivent pas nécessairement de post-mortem.
Nous ne blâmons pas les clients lors des post-mortems. Nous ne blâmons pas les fournisseurs tiers si la cause profonde était la nôtre. Nous nommons les causes profondes clairement, listons ce que nous changeons en conséquence, et gardons le post-mortem disponible indéfiniment. L'attente que les clients devraient avoir est que nous vous dirons ce qui s'est passé avant que vous ayez à demander.
Contact sécurité
Rapports et soumissions de primes : [email protected]. Clé PGP sur demande.