Blockchain0x-ൽ സുരക്ഷ.
എജന്റ് പണമടച്ചത് യഥാർത്ഥ പണം കൈമാറുന്നു. ഉപഭോക്തൃ ഫണ്ടുകൾ സംരക്ഷിക്കുന്ന ആർക്കിടെക്ചറൽ തിരഞ്ഞെടുപ്പുകൾ, ഇന്നത്തെ അവലോകന നില, നിങ്ങൾക്ക് എന്തെങ്കിലും തെറ്റായതായി കണ്ടെത്തുകയാണെങ്കിൽ എങ്ങനെ ഞങ്ങളെ ബന്ധപ്പെടാം.
ഈ പേജിൽ നിന്ന് നിങ്ങൾക്ക് പ്രതീക്ഷിക്കാവുന്നത്.
ഞങ്ങൾ ഉപഭോക്താക്കൾ പേയ്മെന്റ് അധികാരത്തിൽ വിശ്വസിക്കുന്ന ഇൻഫ്രാസ്ട്രക്ചർ വിതരണം ചെയ്യുന്ന ഒരു പ്രാരംഭ ഘട്ടത്തിലെ കമ്പനിയാണ്. നിങ്ങൾക്ക് സ്ഥിരീകരിക്കാൻ കഴിയുന്ന കാര്യങ്ങൾ അടിസ്ഥാനമാക്കിയുള്ളതാണ് വിശ്വാസം, നിങ്ങൾക്ക് പറയുന്നതിന്റെ അടിസ്ഥാനത്തിൽ അല്ല. ഈ പേജ് ഉപഭോക്താക്കൾക്കും സുരക്ഷാ ഗവേഷകര്ക്കും സ്ഥിരീകരിക്കാവുന്ന അല്ലെങ്കിൽ ഞങ്ങളെ പിടിച്ചുപറ്റാവുന്ന നാല് കാര്യങ്ങൾ രേഖപ്പെടുത്തുന്നു: മറ്റുള്ളവയെക്കുറിച്ച് തെറ്റായിരിക്കുമ്പോഴും നിലനിൽക്കുന്ന ആർക്കിടെക്ചറൽ ഗ്യാരന്റികൾ, ഞങ്ങൾ ഇതുവരെ ചെയ്തിട്ടില്ലാത്തതും ഉൾപ്പെടുന്ന ഞങ്ങളുടെ ഓഡിറ്റ് നില, ഞങ്ങളുടെ ബഗ്-ബൗണ്ടി പ്രോഗ്രാമിന്റെ പരിധിയും പ്രതിഫലങ്ങളും, ഉത്തരവാദിത്വം വെളിപ്പെടുത്തലിന് ബന്ധപ്പെടാനുള്ള പാത.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
രൂപീകരണത്തിലൂടെ നിലനിൽക്കുന്ന നാലു സ്വത്ത്വങ്ങൾ.
താഴെപ്പറയുന്ന ഗ്യാരന്റികൾ ആർക്കിടെക്ചറൽ ആണ് - അവ സിസ്റ്റം എങ്ങനെ നിർമ്മിക്കപ്പെട്ടിരിക്കുന്നു എന്നതിന്റെ സ്വഭാവങ്ങളാണ്, എങ്ങനെ പ്രവർത്തിപ്പിക്കപ്പെടുന്നു എന്നതിന്റെ സ്വഭാവങ്ങൾ അല്ല. പ്രവർത്തനപരമായ സുരക്ഷ വീഴ്ച വരുത്താൻ കഴിയും (ഒരു ചോർന്ന കീ, ഒരു തെറ്റായ വിന്യാസം); ആർക്കിടെക്ചറൽ ഗ്യാരന്റികൾ ദിവസേന പ്രവർത്തനങ്ങൾ പൂർണ്ണമായിരിക്കേണ്ടതിൽ ആശ്രയിക്കുന്നില്ല. പ്രവർത്തനങ്ങളുടെ ഏറ്റവും മോശം ആഴ്ചയിൽ പോലും നിങ്ങൾക്ക് ആശ്രയിക്കാവുന്ന സുരക്ഷാ കഥയുടെ ഭാഗങ്ങളാണ് ഇവ.
പ്ലാറ്റ്ഫോം നിലയിൽ നിക്ഷേപമല്ല
Blockchain0x ഉപഭോക്തൃ ഫണ്ടുകൾ കൈവശം വയ്ക്കുന്നില്ല. വാലറ്റുകൾ ഏജന്റിന് (അല്ലെങ്കിൽ ഉപഭോക്താവ് ബന്ധിപ്പിച്ച അടിസ്ഥാന കസ്റ്റഡി പ്രൊവൈഡർ, Circle Programmable Wallets അല്ലെങ്കിൽ Coinbase Smart Wallet പോലുള്ളവ) സ്വന്തമാണ്. Blockchain0x സേവനം ഈ വാലറ്റുകൾക്കു മുകളിലുള്ള ഡെവലപ്പർ ഉപരിതലത്തെ പ്രവർത്തിക്കുന്നു - APIs, ഡാഷ്ബോർഡ്, തിരിച്ചറിയൽ, ചെലവിടുന്ന നയം - കൂടാതെ ബാലൻസുകൾക്കു ഒപ്പുവയ്ക്കാനുള്ള അധികാരം ഒരിക്കലും ഇല്ല.
സർവർ-സൈഡ് നടപ്പിലാക്കുന്ന ചെലവഴിക്കുന്ന നയം, ഏജന്റിൽ അല്ല
ദിവസവും ക്യാപ്, പണമടയ്ക്കലിന് മേൽ ക്യാപ്, കൌണ്ടർപാർട്ടി ആലോവ്ലിസ്റ്റുകൾ, സമയ വിൻഡോകൾ എന്നിവ Blockchain0x വാലറ്റ് API-ൽ ഓരോ പണമടയ്ക്കൽ ഉദ്ദേശ്യത്തിനും നിക്ഷേപം നടത്തുന്നതിന് മുമ്പ് വിലയിരുത്തപ്പെടുന്നു. ഏജന്റ് റൺടൈം നയം സംഭരണത്തിലേക്ക് എത്താൻ കഴിയുന്നില്ല; പ്രോംപ്റ്റ്-ഇൻജക്ട് ചെയ്ത ഏജന്റ് തന്റെ സ്വന്തം പരിധികൾ ഉയർത്താൻ കഴിയില്ല.
റിസീറ്റ്-സ്ഥിരീകരിച്ച പേയ്മെന്റ് സ്ഥിരീകരണം
API വഴി ഉയർത്തിയ പേയ്മെന്റ് റിസീറ്റ് സ്ഥിരീകരണത്തിന് മുമ്പ് പുറപ്പെടുവിക്കുന്ന ഇടപാടിനെതിരെ സർവർ-പക്ഷത്ത് സ്ഥിരീകരിക്കുന്നു. ഒരു ക്ലയന്റ് ഒരു റിസീറ്റ് പ്രാദേശികമായി വ്യാജീകരിച്ച് അത് പേയ്മെന്റിന്റെ തെളിവായി അവതരിപ്പിക്കാൻ കഴിയില്ല; റിസീറ്റ്-സ്ഥിരീകരണ ഘട്ടം Stripe വെബ്ഹുക്ക് ഒപ്പുകൾ ഉപയോഗിക്കുന്ന അതേ വിശ്വാസ മോഡലാണ്.
വെബ്ഹുക്ക് ഒപ്പുകൾ, URLs-ൽ പങ്കുവെച്ച രഹസ്യങ്ങൾ അല്ല
ഞങ്ങൾ പുറപ്പെടുവിക്കുന്ന ഓരോ വെബ്ഹുക്ക് ഇവന്റും ഒരു പെർ-ടെന്നന്റ് സൈൻ ചെയ്യൽ രഹസ്യത്തെ ഉപയോഗിച്ച് കച്ചവട ബോഡി HMAC-SHA256-ൽ ഒപ്പിട്ടിരിക്കുന്നു. സൈൻ ചെയ്യൽ രഹസ്യം URL-ലോ ക്വറി സ്ട്രിംഗിലോ അയക്കുന്നതല്ല. ഉപഭോക്താക്കൾ സ്വീകരണത്തിൽ ഒപ്പുകൾ സ്ഥിരീകരിക്കുന്നു; ഞങ്ങൾ ഡോക്യുമെന്റുകളിൽ റഫറൻസ് നടപ്പാക്കലുകൾ നൽകുന്നു.
നാം ഇന്ന് എവിടെ ആണെന്ന് സത്യമായി.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
മൂന്നാം കക്ഷി പനിതടവു പരിശോധന
Q4 2026-നായി പദ്ധതിയിടുന്നുആദ്യത്തെ ബാഹ്യ പനെട്രേഷൻ ടെസ്റ്റ് വർഷത്തിന്റെ രണ്ടാം പാദത്തിൽ നിശ്ചയിച്ചിരിക്കുന്നു. പരിധി: വെബ് ആപ്പ്, പൊതു APIs, വെബ്ഹുക്ക് ഉപരിതലം, ഡാഷ്ബോർഡ് അഥോറിറ്റി. സമ്പൂർണ്ണ റിപ്പോർട്ട് സംഗ്രഹം ഇവിടെ പ്രസിദ്ധീകരിക്കും.
SOC 2 Type I
2027-ൽ ലക്ഷ്യമിട്ടത്നാം ഇന്ന് SOC 2 ഓഡിറ്റ് ചെയ്തിട്ടില്ല. Type I സ്ഥിരീകരണത്തിന് പ്രതീക്ഷിക്കുന്ന സത്യമായ വിൻഡോ 2027-ന്റെ ആദ്യ പകുതിയാണ്; Type II 6 മുതൽ 12 മാസം വരെ നിരീക്ഷണ കാലയളവിന് ശേഷം വരും.
സ്മാർട്ട്-കരാർ ഓഡിറ്റുകൾ
അപ്പ്സ്ട്രീം നിന്ന് പാരമ്പര്യമായിഇന്ന് ഞങ്ങൾ സ്വന്തമായി smart contracts operate ചെയ്യുന്നില്ല. on-chain primitives ആയി Circle Programmable Wallets, Coinbase Smart Wallet, കൂടാതെ അടിയിലുള്ള Base / USDC contracts എന്നിവയാണ് ഉപയോഗിക്കുന്നത്, ഇവ ഓരോന്നിനും issuing teams-ൽ നിന്ന് സ്വതന്ത്രമായ audit reports ഉണ്ട്. ഞങ്ങൾ സ്വന്തമായ contracts (account-abstraction features) ship ചെയ്യുകയാണെങ്കിൽ, mainnet deployment-ിന് മുൻപ് അവ audit ചെയ്യപ്പെടും.
വാർഷിക ആഭ്യന്തര സുരക്ഷാ അവലോകനം
തുടർച്ചയായത്രൈമാസ രഹസ്യ-മറിവ്, ആശ്രിത-സ്കാൻ അവലോകനം, ആക്സസ്-കൺട്രോൾ ഓഡിറ്റ്. ഉപഭോക്താക്കൾക്കായി [secure-your-agent-wallet guide](/learn/guides/secure-your-agent-wallet) ൽ രേഖപ്പെടുത്തിയ പ്രീ-ലോഞ്ച് ഹാർഡനിംഗ് ചെക്ക്ലിസ്റ്റ്; ആന്തരിക പതിപ്പ് അതിനെ പ്രതിഫലിപ്പിക്കുന്നു.
ഞങ്ങൾ സുരക്ഷാ ഗവേഷണത്തിന് പണം നൽകുന്നു.
ഞങ്ങൾ ഒരു സ്വകാര്യ ബഗ്-ബൗണ്ടി പ്രോഗ്രാം നടത്തുന്നു. റിപ്പോർട്ടുകൾ നേരിട്ട് ഞങ്ങളുടെ സുരക്ഷാ ഇമെയിലിലേക്ക് പോകുന്നു; ഞങ്ങൾ രണ്ട് ബിസിനസ് ദിവസത്തിനുള്ളിൽ ത്രിയാജ് ചെയ്യുന്നു, സ്ഥിരീകരിച്ച കണ്ടെത്തലുകൾക്ക് ഗുരുത്വം അനുസരിച്ച് പണം നൽകുന്നു. പണം USDC-ൽ, Base-ൽ, റിപ്പോർട്ടർ തിരഞ്ഞെടുക്കുന്ന വാലറ്റിലേക്ക് നൽകുന്നു. റിപ്പോർട്ട് നൽകാൻ നിയമപരമായ NDAകൾ ആവശ്യമായിട്ടില്ല.
പരിധിയിൽ
- dashboard-ൽ അല്ലെങ്കിൽ API-ൽ authentication, session management.
- ഒരേ account-ലുള്ള workspaces അല്ലെങ്കിൽ agents തമ്മിലുള്ള privilege escalation.
- API-യിലെ server-side request forgery, command injection, അല്ലെങ്കിൽ remote code execution.
- Webhook signature bypass അല്ലെങ്കിൽ receipt-validation bypass.
- ഒരു agent-ന് അതിന്റെ configured caps അല്ലെങ്കിൽ allowlist-ിനു പുറത്തേക്ക് പണം മാറ്റാൻ അനുവദിക്കുന്ന spend-policy bypass.
- ഗണ്യമായ data exposure (മറ്റ് tenants-ന്റെ transactions, secrets, audit logs).
പരിധിക്ക് പുറത്താണ്
- Self-XSS അല്ലെങ്കിൽ victim-നെ സ്വന്തം console-ലേക്ക് hostile input ടൈപ്പ് ചെയ്യുകയോ പേസ്റ്റ് ചെയ്യുകയോ ചെയ്യാൻ ആവശ്യമായ ആക്രമണങ്ങൾ.
- സ്റ്റാഫ് അല്ലെങ്കിൽ contractors-ന്റെ social-engineering-നെ ആശ്രയിക്കുന്ന റിപ്പോർട്ടുകൾ.
- Blockchain0x സംയോജിപ്പിക്കുന്ന മൂന്നാം കക്ഷി സേവനങ്ങൾക്കെതിരായ റിപ്പോർട്ടുകൾ (Coinbase, Circle, etc) - അവ മൂന്നാം കക്ഷിയുടെ സ്വന്തം program-ലേക്കാണ് പോകേണ്ടത്.
- test endpoints-നെതിരെയുള്ള കണ്ടെത്തലുകൾ (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- പ്രഭാവം തെളിയിക്കപ്പെടാത്ത security headers ഇല്ലായ്മ.
- പ്രവർത്തിക്കുന്ന proof-of-concept ഇല്ലാത്ത സിദ്ധാന്തപരമായ പ്രശ്നങ്ങൾ.
| തീവ്രത | ഉദാഹരണങ്ങൾ | പേയ്മെന്റ് പരിധി |
|---|---|---|
| അത്യാവശ്യമായ | ക്രോസ്-ടെനന്റ് ഫണ്ട് നീക്കം, ചെലവു-നയം വെട്ടിപ്പിടിക്കൽ, ഉപയോക്തൃ പ്രവർത്തനമില്ലാതെ അക്കൗണ്ട് കൈക്കലാക്കൽ. | $5,000 - $25,000 |
| ഉയരം | അംഗീകൃതമായ അധികാര ഉയർച്ച, അളക്കാവുന്ന സ്വാധീനം ഉള്ള വെബ്ഹുക്ക്-സിഗ്നേച്ചർ ബൈപാസ്, API-യിൽ സർവർ-സൈഡ് അഭ്യർത്ഥന തകർത്ത്. | $1,000 - $5,000 |
| മധ്യ | ഡാഷ്ബോർഡിൽ യാഥാർത്ഥ്യമായ ദുരുപയോഗം പാതയുള്ള സൂക്ഷിച്ച XSS, പരിമിതമായ സ്വാധീനം ഉള്ള സങ്കടകരമായ വിവര ചോർച്ച. | $250 - $1,000 |
| കുറഞ്ഞത് | പരിമിതമായ ഉപയോഗം, ചെറിയ വിവര ചോർച്ചകൾ, തെളിയിച്ച മൂല്യം ഉള്ള ശക്തമാക്കൽ ശുപാർശകൾ ഉള്ള പ്രതിഫലിത XSS. | $50 - $250 |
പേയ്ഔട്ട് തീരുമാനങ്ങൾ അന്തിമമാണ്, സ്ഥാപകനുമായുള്ള സംഭാഷണത്തിൽ എഞ്ചിനീയറിംഗ് ലീഡിന്റെ നിർദ്ദേശത്തിൽ ആണ്. ബൗണ്ടി, പരിധിയിൽ സ്ഥിരീകരിച്ച, പുനരാവിഷ്കൃതമായ കണ്ടെത്തലുകൾക്കാണ്; ഇതിനകം റിപ്പോർട്ട് ചെയ്ത വിഷയത്തിന്റെ പുനരാവിഷ്കാരങ്ങൾ ആദ്യ റിപ്പോർട്ടർക്ക് മാത്രമേ പണം നൽകൂ. പ്രശ്നം പരിഹരിച്ച ശേഷം, ഞങ്ങൾ ഈ പേജിൽ റിപ്പോർട്ടർമാർക്ക് പൊതുവായി ക്രെഡിറ്റ് നൽകുന്നു.
സുരക്ഷാ പ്രശ്നം എങ്ങനെ റിപ്പോർട്ട് ചെയ്യാം.
പ്രശ്നത്തിന്റെ വിവരണം, ഒരു ഘട്ടം-ഘട്ടമായി പുനരുത്പാദനം, ബാധിച്ച URL അല്ലെങ്കിൽ എൻഡ്പോയിന്റ്, നിങ്ങൾ കണ്ട സ്വാധീനം, ബൗണ്ടി പെയ്മെന്റ്ക്കായി നിങ്ങളുടെ ബന്ധപ്പെടാനുള്ള വിവരങ്ങൾ (ഒരു Base വാലറ്റ് വിലാസം മതിയാകും; യാഥാർത്ഥ്യനാമം ആവശ്യമില്ല). എൻക്രിപ്റ്റ് ചെയ്ത റിപ്പോർട്ടുകൾ സ്വാഗതം - ഞങ്ങളുടെ PGP കീ ആവശ്യത്തിനായി ലഭ്യമാണ്.
നിങ്ങളുടെ റിപ്പോർട്ട് രണ്ട് ബിസിനസ് ദിവസത്തിനുള്ളിൽ അംഗീകരിക്കുന്നതിൽ, അഞ്ച് ദിവസത്തിനുള്ളിൽ തരംതിരിക്കുന്നതിൽ, സ്ഥിരീകരിച്ച കണ്ടെത്തലുകൾക്കായി മുപ്പത് ദിവസത്തിനുള്ളിൽ ഒരു പരിഹാരമോ റിസ്ക്-അംഗീകരണ തീരുമാനമോ നൽകുന്നതിൽ ഞങ്ങൾ പ്രതിജ്ഞാബദ്ധരാണ് (അല്ലെങ്കിൽ അടിയന്തര പ്രശ്നങ്ങൾക്കായി അതിനേക്കാൾ വേഗത്തിൽ). ഉത്തരവാദിത്വം വെളിപ്പെടുത്തൽ മാനദണ്ഡങ്ങൾ പിന്തുടരുന്ന നല്ല വിശ്വാസ സുരക്ഷാ ഗവേഷണത്തിന് നിയമ നടപടികൾ ഭീഷണിയിടുന്നില്ല - പ്രശ്നം തെളിയിക്കാൻ ആവശ്യമായത്ര മാത്രം ഡാറ്റ വെളിപ്പെടുത്തുക, ഉപഭോക്തൃ ഡാറ്റ എക്സ്ഫിൽട്രേറ്റ് ചെയ്യുക, ഉൽപ്പന്ന ഉപയോക്താക്കളെ ബാധിക്കുന്ന അക്രമണ പരീക്ഷണങ്ങൾ നടത്തുക.
സുരക്ഷാ പ്രശ്നങ്ങൾ അല്ലാത്തതിനു (സാധാരണ പിന്തുണ, ബില്ലിംഗ്, പങ്കാളിത്തങ്ങൾ) /contact ഉപയോഗിക്കുക. സുരക്ഷാ ഇമെയിൽ സുരക്ഷാ റിപ്പോർട്ടുകൾക്കായാണ് മാത്രം നിരീക്ഷിക്കുന്നത്.
എന്തെങ്കിലും തെറ്റായാൽ, ഞങ്ങൾ പറയുന്നത്.
ഉപഭോക്താക്കളുടെ ഫണ്ടുകൾ, ഉപഭോക്തൃ ഡാറ്റ, അല്ലെങ്കിൽ പേയ്മെന്റ് API-യുടെ ലഭ്യതയെ ബാധിക്കുന്ന ഉൽപ്പന്ന സംഭവങ്ങൾ, ഗുരുത്വം നോക്കാതെ, പരിഹാരത്തിന് മുപ്പത് ദിവസത്തിനുള്ളിൽ ഒരു പൊതു പോസ്റ്റ്-മോർട്ടം നേടുന്നു. ചെറിയ സംഭവങ്ങൾ (കുറഞ്ഞ പ്രകടനം, ഭാഗിക-പ്രദേശത്തെ അപ്രാപ്യത) ബാധിച്ച ഉപഭോക്താക്കൾക്ക് നില അപ്ഡേറ്റുകൾ വഴി അറിയിക്കപ്പെടുന്നു, പക്ഷേ അവ പോസ്റ്റ്-മോർട്ടം നേടുന്നില്ല.
ഞങ്ങൾ പോസ്റ്റ്-മോർട്ടം റിപ്പോർട്ടുകളിൽ ഉപഭോക്താക്കളെ കുറ്റം പറയുന്നില്ല. നാം മൂലകാരണം നമ്മുടെതായിരുന്നെങ്കിൽ മൂന്നാംപക്ഷ സേവനദായകരെ കുറ്റം പറയുന്നില്ല. നാം മൂലകാരണം സുതാര്യമായി പേരിട്ടു, അതിന്റെ ഫലമായി ഞങ്ങൾ മാറ്റുന്ന കാര്യങ്ങൾ പട്ടികയിടുന്നു, പോസ്റ്റ്-മോർട്ടം അനന്തമായി ലഭ്യമാക്കുന്നു. ഉപഭോക്താക്കൾക്ക് ഉണ്ടായിരിക്കേണ്ട പ്രതീക്ഷ, നിങ്ങൾ ചോദിക്കേണ്ടതിനു മുമ്പ് എന്താണ് സംഭവിച്ചതെന്ന് ഞങ്ങൾ നിങ്ങളെ അറിയിക്കുമെന്ന് ആണ്.
സുരക്ഷാ ബന്ധം
റിപ്പോർട്ടുകളും ബൗണ്ടി സമർപ്പണങ്ങളും: [email protected]. PGP കീ ആവശ്യത്തിന്.