Blockchain0xのセキュリティ。
エージェントの支払いは実際のお金を移動します。顧客資金を保護するためのアーキテクチャの選択、現在の監査の姿勢、何か問題があった場合の連絡方法。
このページから期待できること。
私たちは、顧客が支払い権限を信頼するインフラを提供する初期段階の企業です。信頼は、あなたが確認できるものに基づいて構築され、あなたに言われたことに基づいてはいません。このページは、顧客とセキュリティ研究者が確認できるか、私たちに求めることができる4つのことを文書化しています:私たちが他のすべてについて間違っていても成立する建築的保証、私たちの監査姿勢の現在の状態(まだ行っていないことを含む)、バグバウンティプログラムの範囲と報酬、責任ある開示のための連絡経路。
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
構造によって保持される4つの特性。
以下の保証はアーキテクチャ的なものであり、システムがどのように構築されているかの特性であり、運用されているかの特性ではありません。運用セキュリティは失敗する可能性があります(漏洩したキー、誤設定されたデプロイ);アーキテクチャ的な保証は、日々の運用が完璧であることに依存しません。これらは、最悪の運用週であっても信頼できるセキュリティストーリーの部分です。
プラットフォームレイヤーでのノンカストディアル
Blockchain0x は顧客の資金を保持しません。ウォレットはエージェント(または顧客が接続した基盤の保管プロバイダー、例えば Circle Programmable Wallets や Coinbase Smart Wallet)によって所有されています。Blockchain0x サービスは、これらのウォレットの上にある開発者サーフェス - API、ダッシュボード、アイデンティティ、支出ポリシー - を運営し、残高に対する署名権限を持ちません。
エージェントではなくサーバー側で強制される支出ポリシー
日次上限、支払いごとの上限、カウンターパーティー許可リスト、および時間ウィンドウは、決済前のすべての支払い意図に対してBlockchain0xウォレットAPIによって評価されます。エージェントランタイムはポリシーストレージにアクセスできず、プロンプトインジェクトされたエージェントは自分の制限を引き上げることができません。
領収書検証済みの支払い確認
APIによって表示された支払いレシートは、確認する前に発行トランザクションに対してサーバー側で検証されます。クライアントはローカルでレシートを偽造して支払いの証拠として提示することはできません。レシート検証ステップは、StripeのWebhook署名が使用するのと同じ信頼モデルです。
ウェブフック署名、URL内の共有秘密ではなく
私たちが発信するすべてのWebhookイベントは、テナントごとの署名秘密を使用して、生のボディに対してHMAC-SHA256で署名されています。署名秘密はURLやクエリ文字列には送信されません。顧客は受領時に署名を検証します。ドキュメントには参照実装を提供しています。
正直に言うと、私たちが今日いる場所。
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
第三者によるペネトレーションテスト
2026年第4四半期に計画最初の外部ペネトレーションテストは年の後半に予定されています。範囲: ウェブアプリ、公開API、Webhookサーフェス、ダッシュボード認証。完全な報告書の要約は完了次第ここに公開されます。
SOC 2 タイプ I
2027年を目指しています私たちは現在SOC 2監査を受けていません。Type Iの認証に対する正直な期待されるウィンドウは2027年の前半です; Type IIは6〜12ヶ月の観察期間の後に続きます。
スマートコントラクト監査
上流から継承現在、独自の smart contract は運用していません。on-chain の primitive は Circle Programmable Wallets, Coinbase Smart Wallet, そして基盤となる Base / USDC contracts であり、いずれも発行元チームによる独立した監査報告があります。将来、自社の contracts (account-abstraction 機能) を出荷する場合は、mainnet 展開前に監査を行います。
年次内部セキュリティレビュー
進行中四半期ごとのシークレットローテーション、依存関係スキャンレビュー、およびアクセス制御監査。顧客向けの[エージェントウォレットを保護するガイド](/learn/guides/secure-your-agent-wallet)に文書化されたプレローンチのハードニングチェックリスト; 内部バージョンはそれを反映しています。
私たちはセキュリティ研究に対して支払いを行います。
私たちはプライベートなバグバウンティプログラムを運営しています。報告は私たちのセキュリティメールに直接送信されます。私たちは2営業日以内にトリアージを行い、確認された結果に基づいて支払いを行います。支払いはUSDCで行われ、Base上で報告者の選択したウォレットに送金されます。報告を行うために法的なNDAは必要ありません。
範囲内
- ダッシュボードまたは API における認証とセッション管理。
- 同一アカウント内のワークスペースまたはエージェント間での権限昇格。
- API における server-side request forgery、command injection、または remote code execution。
- Webhook 署名の回避または受領検証の回避。
- エージェントが設定済みの上限や allowlist を超えて資金を移動できてしまう spend-policy bypass。
- 重大なデータ漏えい(他テナントの取引、秘密情報、audit logs)。
範囲外
- Self-XSS、または被害者自身のコンソールに悪意ある入力を টাইピングまたは貼り付けさせる必要がある攻撃。
- スタッフまたは契約者へのソーシャルエンジニアリングに依存する報告。
- Blockchain0xが連携する第三者サービス(Coinbase、Circle など)に対する報告は、各第三者の独自プログラムへ提出してください。
- テストエンドポイントに対する検出結果(`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia)。
- 実害が示されていないセキュリティヘッダーの欠落。
- 動作する proof-of-concept のない理論上の問題。
| 重大度 | 例 | 支払い範囲 |
|---|---|---|
| 重要 | テナント間の資金移動、大規模な支出ポリシーのバイパス、ユーザーアクションなしでのアカウント乗っ取り。 | $5,000 - $25,000 |
| 高 | 認証された特権昇格、測定可能な影響を持つWebhook署名バイパス、APIにおけるサーバーサイドリクエスト偽造。 | $1,000 - $5,000 |
| 中 | ダッシュボードにおける保存型XSSの現実的な悪用経路、限られた影響での機密情報漏洩。 | $250 - $1,000 |
| 低 | 限られた悪用可能性を持つ反射型XSS、軽微な情報漏洩、実証された価値のあるハードニング推奨。 | $50 - $250 |
支払い決定は最終的なものであり、エンジニアリングリードが創業者と話し合って行います。報酬は、範囲内で確認された再現可能な発見に対するものです。すでに報告された問題の重複は、最初の報告者のみに支払われます。問題が修正された後、リクエストに応じてこのページで報告者を公にクレジットします。
セキュリティ問題を報告する方法。
問題の説明、ステップバイステップの再現、影響を受けたURLまたはエンドポイント、観察した影響、報酬支払いのための連絡先情報(Baseウォレットアドレスで十分; 実名は不要)を含めて、[email protected]にメールしてください。暗号化された報告書も歓迎します - 私たちのPGPキーはリクエストに応じて利用可能です。
私たちは、あなたの報告を2営業日以内に確認し、5営業日以内にトリアージし、確認された発見に対して30日以内に修正またはリスク受容の決定を出すことを約束します(または、重大な問題についてはそれより早く)。私たちは、責任ある開示の基準に従った善意のセキュリティ研究に対して法的措置を脅かしません - 問題を示すために必要なだけのデータを公開し、顧客データを外部に持ち出さず、製品ユーザーに影響を与える破壊的なテストを実行しません。
非セキュリティの問題(一般的なサポート、請求、パートナーシップ)については、/contactを使用してください。セキュリティメールはセキュリティ報告のみに監視されています。
何かがうまくいかなかった場合に私たちが言うこと。
顧客の資金、顧客データ、または支払いAPIの可用性に影響を与える運用インシデントは、重大度に関係なく、解決から30日以内に公開の事後分析が行われます。小規模なインシデント(パフォーマンスの低下、部分地域の障害)は、影響を受けた顧客に対してステータス更新を通じて通知されますが、必ずしも事後分析が行われるわけではありません。
私たちは、事後分析で顧客を非難しません。根本原因が私たちのものであった場合、第三者プロバイダーを非難しません。私たちは根本原因を明確に名付け、その結果として何を変更するかをリストし、事後分析を無期限に利用可能にします。顧客が持つべき期待は、あなたが尋ねる前に何が起こったかを私たちが伝えることです。
セキュリティ連絡先
報告およびバウンティの提出: [email protected]. PGPキーはリクエストに応じて提供します。