Segurança no Blockchain0x.
Os pagamentos do agente movimentam dinheiro real. As escolhas arquitetônicas que protegem os fundos dos clientes, a postura de auditoria como está hoje e como nos contatar se você encontrar algo errado.
O que você pode esperar desta página.
Somos uma empresa em estágio inicial que fornece infraestrutura que os clientes confiarão com a autoridade de pagamento. A confiança é construída com base no que você pode verificar, não no que lhe dizem. Esta página documenta quatro coisas que clientes e pesquisadores de segurança podem verificar ou nos responsabilizar: as garantias arquitetônicas que se mantêm mesmo se estivermos errados sobre tudo o mais, o estado atual de nossa postura de auditoria (incluindo o que ainda não fizemos), o escopo e as recompensas de nosso programa de recompensas por bugs, e o caminho de contato para divulgação responsável.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
Quatro propriedades que se mantêm por construção.
As garantias abaixo são arquitetônicas - são propriedades de como o sistema é construído, não de como é operado. A segurança operacional pode falhar (uma chave vazada, um deploy mal configurado); garantias arquitetônicas não dependem de operações diárias serem perfeitas. Estas são as partes da história de segurança nas quais você pode confiar mesmo na pior semana de operações.
Não-custodial na camada de plataforma
A Blockchain0x não mantém fundos de clientes. As carteiras são de propriedade do agente (ou do provedor de custódia subjacente que o cliente conectou, como Carteiras Programáveis da Circle ou Coinbase Smart Wallet). O serviço Blockchain0x opera a superfície do desenvolvedor acima dessas carteiras - APIs, painel, identidade, política de gastos - e nunca tem autoridade de assinatura sobre os saldos.
Política de gasto aplicada no lado do servidor, não no agente
Limites diários, tetos por pagamento, listas de permissões de contrapartes e janelas de tempo são avaliados pela API da carteira Blockchain0x em cada intenção de pagamento antes da liquidação. O tempo de execução do agente não pode acessar o armazenamento de políticas; um agente que recebe injeção de prompt ainda não pode aumentar seus próprios limites.
Confirmação de pagamento validada por recibo
Os recibos de pagamento apresentados pela API são validados no lado do servidor em relação à transação de emissão antes de serem confirmados. Um cliente não pode forjar um recibo localmente e apresentá-lo como prova de pagamento; a etapa de validação do recibo é o mesmo modelo de confiança que as assinaturas de webhook da Stripe usam.
Assinaturas de webhook, não segredos compartilhados em URLs
Cada evento de webhook que emitimos é assinado com HMAC-SHA256 sobre o corpo bruto usando um segredo de assinatura por inquilino. O segredo de assinatura nunca é enviado na URL ou na string de consulta. Os clientes verificam as assinaturas ao receber; fornecemos implementações de referência na documentação.
Onde estamos hoje, honestamente.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
Teste de penetração de terceiros
Planejado para o Q4 2026O primeiro teste de penetração externo está agendado para a segunda metade do ano. Escopo: aplicativo web, APIs públicas, superfície de webhook, autenticação do painel. Um resumo do relatório completo será publicado aqui quando estiver concluído.
SOC 2 Tipo I
Previsto para 2027Não somos auditados pelo SOC 2 hoje. A janela esperada honesta para uma atestação de Tipo I é a primeira metade de 2027; o Tipo II segue após um período de observação de 6 a 12 meses.
Auditorias de contratos inteligentes
Herdado da fonteHoje não operamos nossos próprios smart contracts. As primitivas on-chain são Circle Programmable Wallets, Coinbase Smart Wallet e os contratos subjacentes de Base / USDC, todos com seus próprios relatórios independentes de auditoria das equipes emissoras. Se e quando lançarmos nossos próprios contratos (recursos de account abstraction), eles serão auditados antes da implantação na mainnet.
Revisão de segurança interna anual
Em andamentoRotação de segredos trimestral, revisão de varredura de dependências e auditoria de controle de acesso. Lista de verificação de endurecimento pré-lançamento documentada em nosso [guia de segurança da sua carteira de agente](/learn/guides/secure-your-agent-wallet) para clientes; a versão interna reflete isso.
Pagamos por pesquisa de segurança.
Executamos um programa privado de recompensas por bugs. Os relatórios vão diretamente para nosso e-mail de segurança; fazemos a triagem em dois dias úteis e pagamos as descobertas confirmadas com base na gravidade. Os pagamentos são em USDC, na Base, para a carteira de escolha do repórter. Não exigimos NDAs legais para apresentar um relatório.
Em escopo
- Autenticação e gerenciamento de sessão no painel ou na API.
- Escalada de privilégios entre workspaces ou agentes na mesma conta.
- Server-side request forgery, command injection ou execução remota de código na API.
- Bypass de assinatura do webhook ou bypass de validação de recibo.
- Burlar a política de gastos que permite a um agente mover dinheiro fora de seus limites configurados ou allowlist.
- Exposição significativa de dados (transações, segredos e logs de auditoria de outros tenants).
Fora do escopo
- Self-XSS ou ataques que exigem que a vítima digite ou cole entrada maliciosa no próprio console.
- Relatos que dependem de engenharia social de funcionários ou contratados.
- Relatos sobre serviços de terceiros com os quais a Blockchain0x se integra (Coinbase, Circle, etc) - esses devem ser encaminhados ao programa do próprio terceiro.
- Descobertas contra endpoints de teste (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- Cabeçalhos de segurança ausentes sem impacto demonstrado.
- Questões teóricas sem um proof-of-concept funcional.
| Severidade | Exemplos | Faixa de pagamento |
|---|---|---|
| Crítico | Movimentação de fundos entre locatários, contorno de política de gastos em grande escala, tomada de conta sem ação do usuário. | $5,000 - $25,000 |
| Alto | Escalonamento de privilégio autenticado, bypass de assinatura de webhook com impacto mensurável, falsificação de solicitação do lado do servidor na API. | $1,000 - $5,000 |
| Médio | XSS armazenado no painel com caminho de exploração realista, vazamento de informações sensíveis com impacto limitado. | $250 - $1,000 |
| Baixo | XSS refletido com exploração limitada, vazamentos de informações menores, recomendações de endurecimento com valor demonstrado. | $50 - $250 |
As decisões de pagamento são finais e feitas pelo líder de engenharia em conversa com o fundador. A recompensa é por descobertas confirmadas e reproduzíveis dentro do escopo; duplicatas de um problema já relatado pagam apenas o primeiro repórter. Creditemos os repórteres publicamente nesta página a pedido uma vez que o problema seja corrigido.
Como relatar um problema de segurança.
Envie um email para [email protected] com: uma descrição do problema, uma reprodução passo a passo, a URL ou endpoint afetado, o impacto que você observou e suas informações de contato para o pagamento da recompensa (um endereço de carteira Base é suficiente; nenhum nome real é necessário). Relatórios criptografados são bem-vindos - nossa chave PGP está disponível mediante solicitação.
Comprometemo-nos a reconhecer seu relatório dentro de dois dias úteis, triando dentro de cinco, e enviando uma correção ou decisão de aceitação de risco dentro de trinta dias para descobertas confirmadas (ou mais cedo para questões críticas). Não ameaçamos ações legais contra pesquisas de segurança de boa-fé que seguem normas de divulgação responsável - expondo dados apenas na medida necessária para demonstrar o problema, não exfiltrando dados de clientes, não realizando testes disruptivos que afetem usuários em produção.
Para questões não relacionadas à segurança (suporte geral, faturamento, parcerias), use /contact. O email de segurança é monitorado apenas para relatórios de segurança.
O que dizemos se algo der errado.
Incidentes de produção que afetam fundos de clientes, dados de clientes ou a disponibilidade da API de pagamento recebem um post-mortem público dentro de trinta dias após a resolução, independentemente da gravidade. Incidentes menores (desempenho degradado, interrupções parciais na região) são comunicados por meio de atualizações de status aos clientes afetados, mas não necessariamente recebem um post-mortem.
Não culpamos os clientes em post-mortems. Não culpamos provedores de terceiros se a causa raiz foi nossa. Nomeamos as causas raízes de forma clara, listamos o que estamos mudando como resultado e mantemos o post-mortem disponível indefinidamente. A expectativa que os clientes devem ter é que nós lhe diremos o que aconteceu antes que você precise perguntar.
Contato de Segurança
Relatórios e envios de recompensas: [email protected]. Chave PGP sob solicitação.