Blockchain0x પર સુરક્ષા.
એજન્ટની ચુકવણીઓ વાસ્તવિક પૈસા ચલાવે છે. ગ્રાહકના ફંડને સુરક્ષિત કરવા માટેની આર્કિટેક્ચરલ પસંદગીઓ, આજના દિવસની ઓડિટ સ્થિતિ, અને જો તમને કંઈક ખોટું મળે તો અમારો સંપર્ક કેવી રીતે કરવો.
આ પાનાથી તમે શું અપેક્ષા રાખી શકો છો.
અમે એક પ્રારંભિક-કક્ષાના કંપની છીએ જે એવી ઇન્ફ્રાસ્ટ્રક્ચર મોકલતા છે જે ગ્રાહકો ચુકવણી સત્તા સાથે વિશ્વાસ કરશે. વિશ્વાસ તે પર બનાવવામાં આવે છે જે તમે માન્ય કરી શકો છો, જે તમને કહેવામાં આવે છે તે પર નહીં. આ પૃષ્ઠ ચાર વસ્તુઓને દસ્તાવેજીકૃત કરે છે જે ગ્રાહકો અને સુરક્ષા સંશોધકો માન્ય કરી શકે છે અથવા અમને રાખી શકે છે: આર્કિટેક્ચરલ ગેરંટી જે hold કરે છે જો અમે બાકી બધામાં ખોટા છીએ, અમારી ઓડિટ સ્થિતિની વર્તમાન સ્થિતિ (જેમાં અમે હજુ સુધી કર્યું નથી), અમારા બગ-બાઉન્ટી કાર્યક્રમની વ્યાપ અને ઇનામો, અને જવાબદાર ખુલાસા માટે સંપર્ક માર્ગ.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
ચાર ગુણધર્મો જે બાંધકામ દ્વારા જાળવાય છે.
નીચેની ખાતરીઓ આર્કિટેક્ચરલ છે - તે સિસ્ટમ કેવી રીતે બનાવવામાં આવી છે તેની ગુણધર્મો છે, કેવી રીતે કાર્યરત છે તેની નથી. ઓપરેશનલ સુરક્ષા ખોટી પડી શકે છે (એક લીક થયેલ કી, એક ખોટી રીતે કન્ફિગર કરેલ ડિપ્લોય); આર્કિટેક્ચરલ ખાતરીઓ દૈનિક કામગીરીને સંપૂર્ણ હોવા પર આધાર રાખતી નથી. આ સુરક્ષા વાર્તાના ભાગો છે જેના પર તમે સૌથી ખરાબ કાર્યકારી સપ્તાહમાં પણ આધાર રાખી શકો છો.
પ્લેટફોર્મ સ્તરે નોન-કસ્ટોડિયલ
Blockchain0x ગ્રાહકના ફંડને રાખતું નથી. વોલેટ એજન્ટના માલિકી ધરાવે છે (અથવા ગ્રાહકે જોડાયેલ આધારભૂત કસ્ટોડી પ્રદાતા, જેમ કે Circle Programmable Wallets અથવા Coinbase Smart Wallet). Blockchain0x સેવા તે વોલેટ્સ ઉપર ડેવલપર સપાટી ચલાવે છે - APIs, ડેશબોર્ડ, ઓળખ, ખર્ચની નીતિ - અને બેલેન્સ પર ક્યારેય સહી કરવાની અધિકાર નથી.
ખર્ચની નીતિ સર્વર-સાઇડ પર અમલમાં છે, એજન્ટમાં નહીં
દૈનિક મર્યાદાઓ, પ્રતિ-ચુકવણી છત, પક્ષકારની મંજૂરી યાદીઓ અને સમય વિન્ડોઝને Blockchain0x વોલેટ API દ્વારા દરેક ચુકવણીના ઇરાદા પર નિકાસ પહેલા મૂલ્યાંકન કરવામાં આવે છે. એજન્ટનું રનટાઇમ નીતિ સંગ્રહ સુધી પહોંચી શકતું નથી; જે એજન્ટને પ્રોમ્પ્ટ-ઇન્જેક્ટ કરવામાં આવે છે તે હજુ પણ તેની પોતાની મર્યાદાઓ વધારી શકતું નથી.
રસીદ-પ્રમાણિત ચુકવણી પુષ્ટિ
API દ્વારા રજૂ કરેલ પેમેન્ટ રસીદો જારી કરેલ ટ્રાન્ઝેક્શન સામે સર્વર-પક્ષે માન્ય કરવામાં આવે છે પહેલાં તેઓ પુષ્ટિ કરે છે. એક ક્લાયન્ટ સ્થાનિક રીતે રસીદ બનાવતી નથી અને તેને ચુકવણીના પુરાવા તરીકે રજૂ કરી શકતી નથી; રસીદ-માન્યતા પગલું એ જ વિશ્વાસ મોડલ છે જે સ્ટ્રાઇપ વેબહૂક સહીઓ ઉપયોગ કરે છે.
Webhook સહી, URLsમાં શેર કરેલ ગુપ્તતા નથી
દરેક વેબહૂક ઇવેન્ટ જે અમે ઉત્પન્ન કરીએ છીએ તે HMAC-SHA256 સાથે કાચા શરીર પર સહી કરવામાં આવે છે જે એક-એક ભાડા પર સહી કરવાના રહસ્યનો ઉપયોગ કરે છે. સહી કરવાનું રહસ્ય ક્યારેય URL અથવા ક્વેરી સ્ટ્રિંગમાં મોકલવામાં આવતું નથી. ગ્રાહકો પ્રાપ્ત પર સહીની પુષ્ટિ કરે છે; અમે દસ્તાવેજોમાં સંદર્ભ અમલ પૂરા પાડીએ છીએ.
જ્યાં અમે આજે છીએ, સત્યમાં.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
તૃતીય પક્ષ પેનિટ્રેશન ટેસ્ટ
Q4 2026 માટે યોજના બનાવવામાં આવી છેપ્રથમ બાહ્ય પેનિટ્રેશન ટેસ્ટ વર્ષના બીજા અર્ધમાં શેડ્યૂલ કરવામાં આવી છે. વ્યાપકતા: વેબ એપ્લિકેશન, જાહેર APIs, વેબહુક સપાટી, ડેશબોર્ડ ઓથ. સંપૂર્ણ અહેવાલનો સારાંશ અહીં પ્રકાશિત કરવામાં આવશે જ્યારે પૂર્ણ થાય.
SOC 2 પ્રકાર I
2027 માટે લક્ષ્યિતઅમે આજે SOC 2 ઓડિટેડ નથી. પ્રકાર I પ્રમાણપત્ર માટેની સત્યતા અપેક્ષિત વિન્ડો 2027 ના પ્રથમ અર્ધમાં છે; પ્રકાર II 6 થી 12 મહિના સુધીની અવલોકન સમયગાળા પછી આવે છે.
સ્માર્ટ-કોન્ટ્રેક્ટ ઓડિટ
અપસ્ટ્રીમથી વારસામાં મળ્યુંઅમે હાલમાં અમારા પોતાના smart contracts ચલાવતા નથી. on-chain primitives તરીકે Circle Programmable Wallets, Coinbase Smart Wallet, અને underlying Base / USDC contracts ઉપયોગમાં લેવાય છે, અને આ દરેક પાસે issuing teams તરફથી પોતાનાં independent audit reports છે. જો અને જ્યારે અમે અમારા પોતાના contracts (account-abstraction features) ship કરીશું, તો mainnet deployment પહેલાં તેમનું audit કરવામાં આવશે.
વાર્ષિક આંતરિક સુરક્ષા સમીક્ષા
ચાલુત્રિમાસિક ગુપ્ત-પરિવર્તન, નિર્ભરતા-સ્કેન સમીક્ષા, અને ઍક્સેસ-કંટ્રોલ ઓડિટ. ગ્રાહકો માટે અમારા [સુરક્ષિત-તમારા-એજન્ટ-વોલેટ માર્ગદર્શિકા](/learn/guides/secure-your-agent-wallet) માં પ્રી-લૉંચ હાર્ડનિંગ ચેકલિસ્ટ દસ્તાવેજિત છે; આંતરિક સંસ્કરણ તેને પ્રતિબિંબિત કરે છે.
અમે સુરક્ષા સંશોધન માટે ચૂકવણી કરીએ છીએ.
અમે એક ખાનગી બગ-બાઉન્ટ કાર્યક્રમ ચલાવીએ છીએ. અહેવાલ સીધા અમારી સુરક્ષા ઇમેલ પર જાય છે; અમે બે કાર્યદિવસોમાં ત્રિજીય કરીશું અને પુષ્ટિ થયેલ શોધોને ગંભીરતાના આધારે ચૂકવણી કરીશું. ચૂકવણી USDCમાં, Base પર, રિપોર્ટર દ્વારા પસંદ કરેલ વૉલેટમાં થાય છે. અમે અહેવાલ ફાઇલ કરવા માટે કાનૂની NDAની જરૂર નથી.
વિસ્તારમાં
- Dashboard અથવા API પર authentication અને session management.
- એક જ account પર workspaces અથવા agents વચ્ચે privilege escalation.
- API માં server-side request forgery, command injection, અથવા remote code execution.
- Webhook signature bypass અથવા receipt-validation bypass.
- Spend-policy bypass જે agent ને તેના configured caps અથવા allowlist બહાર પૈસા ખસેડવાની મંજૂરી આપે છે.
- મહત્ત્વપૂર્ણ data exposure (અન્ય tenants ના transactions, secrets, audit logs).
વિશેષતા બહાર
- Self-XSS અથવા એવા હુમલા જેમાં પીડિતને પોતાનાં console માં hostile input ટાઇપ અથવા paste કરવું પડે.
- Staff અથવા contractors ની social-engineering પર આધારિત reports.
- Blockchain0x જે third-party services સાથે integrate કરે છે (Coinbase, Circle, વગેરે) તેના વિરુદ્ધના reports - તે third-party ના પોતાના program ને જ મોકલવા જોઈએ.
- test endpoints સામેના findings (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- દેખાડાયેલ impact વિના missing security headers.
- Working proof-of-concept વગરના theoretical issues.
| ગંભીરતા | ઉદાહરણો | પેમેન્ટ શ્રેણી |
|---|---|---|
| આવશ્યક | ક્રોસ-ટેનેન્ટ ફંડ મૂવિંગ, ખર્ચ-નીતિ બાયપાસ મોટા પાયે, વપરાશકર્તા ક્રિયા વિના ખાતા પર કબજો. | $5,000 - $25,000 |
| ઉંચું | ઓથેન્ટિકેશન કરેલ અધિકાર ઉંચી જવા, વેબહૂક-સહીને બાયપાસ કરવું જે માપી શકાય તેવા પ્રભાવ સાથે, API માં સર્વર-પક્ષની વિનંતી દુરુપયોગ. | $1,000 - $5,000 |
| મધ્યમ | ડેશબોર્ડમાં સાચવેલ XSS વાસ્તવિક શોષણ માર્ગ સાથે, મર્યાદિત અસર સાથે સંવેદનશીલ માહિતી લીક. | $250 - $1,000 |
| ઓછું | સીમિત શોષણક્ષમતા સાથે પ્રતિબિંબિત XSS, નાની માહિતી લીક, દર્શાવેલી મૂલ્ય સાથે હાર્ડનિંગ ભલામણો. | $50 - $250 |
ચુકવણીના નિર્ણય અંતિમ છે અને ઇજનેરી નેતાના સંવાદમાં સ્થાપક દ્વારા કરવામાં આવે છે. બાઉન્ટી પુષ્ટિકૃત, પુનરાવર્તિત શોધો માટે છે; પહેલાથી જ અહેવાલ કરેલ મુદ્દાની નકલ ફક્ત પ્રથમ રિપોર્ટરને ચૂકવણી કરે છે. અમે આ પૃષ્ઠ પર રિપોર્ટર્સને જાહેર રીતે ક્રેડિટ કરીએ છીએ જ્યારે સમસ્યા ઠીક થાય છે.
સુરક્ષા સમસ્યા કેવી રીતે રિપોર્ટ કરવી.
ઈમેલ [email protected] સાથે: સમસ્યાનો વર્ણન, પગલું-દ્વારા પુનરાવૃત્તિ, અસરગ્રસ્ત URL અથવા અંતિમ બિંદુ, તમે જોયેલ અસર, અને બાઉન્ટી ચૂકવણી માટેની તમારી સંપર્ક માહિતી (એક Base વોલેટ સરનામું પૂરતું છે; કોઈ વાસ્તવિક નામની જરૂર નથી). એન્ક્રિપ્ટેડ અહેવાલો સ્વાગત છે - અમારી PGP કી વિનંતી પર ઉપલબ્ધ છે.
અમે તમારા અહેવાલને બે કાર્યકારી દિવસોમાં માન્યતા આપવા, પાંચમાં ત્રિજીંગ કરવા, અને પુષ્ટિ થયેલ શોધો માટે ત્રીસ દિવસમાં સુધારો અથવા જોખમ-સ્વીકૃતિનો નિર્ણય મોકલવા માટે પ્રતિબદ્ધ છીએ (અથવા મહત્વપૂર્ણ મુદ્દાઓ માટે વહેલું). અમે જવાબદાર-ખુલાસા ધોરણોને અનુસરે છે તે સારા-વિશ્વાસ સુરક્ષા સંશોધન સામે કાનૂની કાર્યવાહીનો ધમકી નથી આપતા - મુદ્દાને દર્શાવવા માટે જરૂરી માત્ર એટલું જ ડેટા બહાર પાડવું, ગ્રાહકના ડેટાને બહાર ન કાઢવું, ઉત્પાદન વપરાશકર્તાઓને અસર કરતી વિક્ષેપક પરીક્ષણો ચલાવવું નથી.
ગોપનીયતા સંબંધિત મુદ્દાઓ માટે (સામાન્ય સપોર્ટ, બિલિંગ, ભાગીદારી), /contact નો ઉપયોગ કરો. સુરક્ષા ઈમેલ માત્ર સુરક્ષા અહેવાલો માટે મોનિટર કરવામાં આવે છે.
જો કંઈક ખોટું થાય તો અમે શું કહે છે.
ગ્રાહકના ફંડ, ગ્રાહકના ડેટા અથવા ચુકવણી APIની ઉપલબ્ધતાને અસર કરતી ઉત્પાદન ઘટનાઓને ઉકેલ્યા પછી ત્રિસ્કે દિવસની અંદર જાહેર પોસ્ટ-મોર્ટમ મળે છે, ગંભીરતા regardless. નાના ઘટનાઓ (ખરાબ પ્રદર્શન, અંશિક-પ્રદેશની ખોટ) અસરગ્રસ્ત ગ્રાહકોને સ્થિતિ અપડેટ દ્વારા સંચારિત કરવામાં આવે છે પરંતુ જરૂરિયાતે પોસ્ટ-મોર્ટમ નથી મળે.
અમે પોસ્ટ-મોર્ટમમાં ગ્રાહકોને દોષિત નથી કરતા. જો મૂળ કારણ અમારું હતું તો અમે ત્રીજા પક્ષના પ્રદાતાઓને દોષિત નથી કરતા. અમે મૂળ કારણોને સ્પષ્ટ રીતે નામ આપીએ છીએ, પરિણામે અમે શું બદલતા છીએ તે યાદી બનાવીએ છીએ, અને પોસ્ટ-મોર્ટમને અનંતકાળ માટે ઉપલબ્ધ રાખીએ છીએ. ગ્રાહકોને જે અપેક્ષા રાખવી જોઈએ તે એ છે કે અમે તમને શું થયું તે કહેવા માટે કહીએ છીએ પહેલાં તમારે પૂછવું પડશે.
સુરક્ષા સંપર્ક
રિપોર્ટ અને બાઉન્ટી સબમિશન: [email protected]. PGP કી વિનંતી પર.