Sicurezza in Blockchain0x.
I pagamenti degli agenti muovono denaro reale. Le scelte architettoniche che proteggono i fondi dei clienti, la postura di audit attuale e come contattarci se trovi qualcosa di sbagliato.
Cosa puoi aspettarti da questa pagina.
Siamo un'azienda in fase iniziale che fornisce infrastrutture di cui i clienti si fideranno per l'autorità di pagamento. La fiducia si basa su ciò che puoi verificare, non su ciò che ti viene detto. Questa pagina documenta quattro cose che i clienti e i ricercatori di sicurezza possono verificare o su cui possono tenerci: le garanzie architettoniche che rimangono valide anche se ci sbagliamo su tutto il resto, lo stato attuale della nostra postura di audit (incluso ciò che non abbiamo ancora fatto), l'ambito e le ricompense del nostro programma di bug bounty, e il percorso di contatto per la divulgazione responsabile.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
Quattro proprietà che si mantengono per costruzione.
Le garanzie di seguito sono architettoniche - sono proprietà di come il sistema è costruito, non di come viene operato. La sicurezza operativa può venire meno (una chiave trapelata, un deploy mal configurato); le garanzie architettoniche non dipendono dal fatto che le operazioni quotidiane siano perfette. Queste sono le parti della storia di sicurezza su cui puoi contare anche nella peggiore settimana di operazioni.
Non-custodial a livello di piattaforma
Blockchain0x non detiene fondi dei clienti. I portafogli sono di proprietà dell'agente (o del fornitore di custodia sottostante a cui il cliente si è connesso, come Circle Programmable Wallets o Coinbase Smart Wallet). Il servizio Blockchain0x gestisce la superficie di sviluppo sopra quei portafogli - API, dashboard, identità, politica di spesa - e non ha mai autorità di firma sui saldi.
Politica di spesa applicata lato server, non nell'agente
I limiti giornalieri, i tetti per pagamento, le liste di autorizzazione delle controparti e le finestre temporali sono valutati dall'API del wallet Blockchain0x su ogni intento di pagamento prima della liquidazione. Il runtime dell'agente non può accedere allo storage delle politiche; un agente che riceve un'iniezione di prompt non può comunque aumentare i propri limiti.
Conferma di pagamento con ricevuta validata
Le ricevute di pagamento fornite dall'API vengono convalidate lato server rispetto alla transazione di emissione prima di confermarle. Un client non può falsificare una ricevuta localmente e presentarla come prova di pagamento; il passaggio di convalida della ricevuta è lo stesso modello di fiducia utilizzato dalle firme webhook di Stripe.
Firme del webhook, non segreti condivisi negli URL
Ogni evento webhook che emettiamo è firmato con HMAC-SHA256 sul corpo grezzo utilizzando un segreto di firma per inquilino. Il segreto di firma non viene mai inviato nell'URL o nella stringa di query. I clienti verificano le firme al ricevimento; forniamo implementazioni di riferimento nella documentazione.
Dove siamo oggi, onestamente.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
Test di penetrazione di terze parti
Pianificato per il Q4 2026Il primo test di penetrazione esterno è programmato per la seconda metà dell'anno. Ambito: web app, API pubbliche, superficie webhook, autenticazione dashboard. Il riepilogo completo del rapporto sarà pubblicato qui al termine.
SOC 2 Tipo I
Pianificato per il 2027Non siamo auditati SOC 2 oggi. La finestra di tempo onesta prevista per un'attestazione di Tipo I è la prima metà del 2027; il Tipo II segue dopo un periodo di osservazione di 6-12 mesi.
Audit di smart contract
Eredità da upstreamOggi non gestiamo smart contract proprietari. Le primitive on-chain sono Circle Programmable Wallets, Coinbase Smart Wallet e i contratti sottostanti Base / USDC, tutti corredati da propri report di audit indipendenti forniti dai team emittenti. Se e quando rilasceremo i nostri contratti (funzionalità di account abstraction), verranno sottoposti ad audit prima del deployment su mainnet.
Revisione annuale della sicurezza interna
In corsoRotazione segreta trimestrale, revisione della scansione delle dipendenze e audit dei controlli di accesso. La checklist di indurimento pre-lancio è documentata nella nostra [guida per proteggere il tuo portafoglio agente](/learn/guides/secure-your-agent-wallet) per i clienti; la versione interna la rispecchia.
Paghiamo per la ricerca sulla sicurezza.
Gestiamo un programma privato di bug bounty. Le segnalazioni vanno direttamente alla nostra email di sicurezza; facciamo triage entro due giorni lavorativi e paghiamo i risultati confermati su base di gravità. I pagamenti sono in USDC, su Base, al wallet a scelta del segnalatore. Non richiediamo NDA legali per presentare una segnalazione.
In ambito
- Autenticazione e gestione delle sessioni nella dashboard o nell'API.
- Escalation dei privilegi tra workspace o agenti nello stesso account.
- Server-side request forgery, command injection o remote code execution nell'API.
- Bypass della firma del webhook o bypass della validazione della ricevuta.
- Bypass della policy di spesa che consente a un agente di spostare denaro al di fuori dei limiti configurati o della allowlist.
- Esposizione significativa di dati (transazioni di altri tenant, segreti, log di audit).
Fuori portata
- Self-XSS o attacchi che richiedono alla vittima di digitare o incollare input malevoli nella propria console.
- Segnalazioni che dipendono dal social engineering di personale o contractor.
- Le segnalazioni relative ai servizi di terze parti con cui Blockchain0x si integra (Coinbase, Circle, ecc) - devono essere indirizzate al programma della terza parte.
- Risultati contro endpoint di test (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- Header di sicurezza mancanti senza un impatto dimostrato.
- Questioni teoriche senza una proof-of-concept funzionante.
| Severità | Esempi | Intervallo di pagamento |
|---|---|---|
| Critico | Movimento di fondi tra tenant, bypass della politica di spesa su larga scala, takeover dell'account senza azione dell'utente. | $5,000 - $25,000 |
| Alto | Escalation di privilegi autenticata, bypass della firma del webhook con impatto misurabile, falsificazione di richieste lato server nell'API. | $1,000 - $5,000 |
| Medio | XSS memorizzato nel dashboard con percorso di sfruttamento realistico, perdita di informazioni sensibili con impatto limitato. | $250 - $1,000 |
| Basso | XSS riflesso con limitata sfruttabilità, perdite di informazioni minori, raccomandazioni di indurimento con valore dimostrato. | $50 - $250 |
Le decisioni sui pagamenti sono definitive e prese dal responsabile ingegneristico in conversazione con il fondatore. La ricompensa è per risultati confermati e riproducibili nell'ambito; i duplicati di un problema già segnalato pagano solo il primo segnalatore. Accreditiamo i segnalatori pubblicamente su questa pagina su richiesta una volta che il problema è stato risolto.
Come segnalare un problema di sicurezza.
Invia un'email a [email protected] con: una descrizione del problema, una riproduzione passo-passo, l'URL o l'endpoint interessato, l'impatto che hai osservato e le tue informazioni di contatto per il pagamento del premio (un indirizzo wallet Base è sufficiente; non è richiesto un nome reale). I rapporti crittografati sono benvenuti - la nostra chiave PGP è disponibile su richiesta.
Ci impegniamo a riconoscere il tuo rapporto entro due giorni lavorativi, a fare triage entro cinque e a fornire una soluzione o una decisione di accettazione del rischio entro trenta giorni per le scoperte confermate (o prima per problemi critici). Non minacciamo azioni legali contro ricerche di sicurezza di buona fede che seguono le norme di divulgazione responsabile - esponendo i dati solo nella misura necessaria per dimostrare il problema, non esfiltrando dati dei clienti, non eseguendo test dirompenti che influenzano gli utenti in produzione.
Per questioni non di sicurezza (supporto generale, fatturazione, partnership), utilizza /contact. L'email di sicurezza è monitorata solo per le segnalazioni di sicurezza.
Cosa diciamo se qualcosa va storto.
Gli incidenti di produzione che influenzano i fondi dei clienti, i dati dei clienti o la disponibilità dell'API di pagamento ricevono un post-mortem pubblico entro trenta giorni dalla risoluzione, indipendentemente dalla gravità. Gli incidenti più piccoli (prestazioni degradate, interruzioni parziali della regione) vengono comunicati tramite aggiornamenti di stato ai clienti interessati ma non ricevono necessariamente un post-mortem.
Non incolpiamo i clienti nei post-mortem. Non incolpiamo i fornitori di terze parti se la causa principale era nostra. Indichiamo le cause principali in modo chiaro, elenchiamo cosa stiamo cambiando come risultato e manteniamo il post-mortem disponibile indefinitamente. L'aspettativa che i clienti dovrebbero avere è che ti diremo cosa è successo prima che tu debba chiedere.
Contatto sicurezza
Rapporti e invii di bounty: [email protected]. Chiave PGP su richiesta.