Blockchain0x இல் பாதுகாப்பு.
ஏஜென்ட் கட்டணங்கள் உண்மையான பணத்தை நகர்த்துகின்றன. வாடிக்கையாளர் நிதிகளை பாதுகாக்கும் கட்டமைப்புச் சிக்கல்கள், இன்று நிலவும் ஆடிட்டுப் நிலை மற்றும் நீங்கள் ஏதாவது தவறு கண்டால் எங்களை எவ்வாறு அணுகுவது.
இந்த பக்கம் மூலம் நீங்கள் என்ன எதிர்பார்க்கலாம்.
நாங்கள் வாடிக்கையாளர்கள் பணம் செலுத்தும் அதிகாரத்துடன் நம்பிக்கை வைக்கக்கூடிய அடிப்படைகளை வழங்கும் ஆரம்ப நிலை நிறுவனம். நம்பிக்கை நீங்கள் உறுதிப்படுத்தக்கூடியவற்றின் அடிப்படையில் கட்டப்படுகிறது, நீங்கள் கூறப்படும் விஷயங்கள் அல்ல. இந்த பக்கம் வாடிக்கையாளர்கள் மற்றும் பாதுகாப்பு ஆராய்ச்சியாளர்கள் உறுதிப்படுத்தக்கூடிய அல்லது எங்களை வைத்திருக்கக்கூடிய நான்கு விஷயங்களை ஆவணமாக்குகிறது: எங்கள் மற்ற அனைத்திலும் தவறானால் கூட நிலைநாட்டும் கட்டமைப்பு உறுதிகள், எங்கள் ஆய்வு நிலையின் தற்போதைய நிலை (நாங்கள் இன்னும் செய்யாதவற்றை உள்ளடக்கியது), எங்கள் பக்-பவுண்டி திட்டத்தின் அளவு மற்றும் பரிசுகள், மற்றும் பொறுப்பான வெளிப்பாட்டிற்கான தொடர்பு பாதை.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
கட்டுமானத்தால் பிடிக்கப்படும் நான்கு பண்புகள்.
கீழே உள்ள உறுதிகள் கட்டமைப்பியல் - அவை அமைப்பின் கட்டமைப்பின் பண்புகள், அதை இயக்குவதற்கான பண்புகள் அல்ல. செயல்பாட்டு பாதுகாப்பு தவறாக இருக்கலாம் (ஒரு கசிந்த விசை, தவறான கட்டமைப்பு); கட்டமைப்பியல் உறுதிகள் தினசரி செயல்பாடுகள் சரியானதாக இருக்க வேண்டும் என்பதற்கு சார்ந்தவை அல்ல. இது செயல்பாட்டின் மிக மோசமான வாரத்திலும் நீங்கள் நம்பிக்கையுடன் இருக்கக்கூடிய பாதுகாப்பு கதை பகுதிகள்.
தள அடிப்படையில் காப்பாளர் அல்ல
Blockchain0x வாடிக்கையாளர் நிதிகளை வைத்திருக்காது. பணப்பைகள் முகவரால் (அல்லது வாடிக்கையாளர் இணைத்துள்ள அடிப்படை பாதுகாப்பு வழங்குநரால், Circle Programmable Wallets அல்லது Coinbase Smart Wallet போன்றவை) உரிமையுடையவை. Blockchain0x சேவை அந்த பணப்பைகளின் மேல் டெவலப்பர் மேற்பரப்பை இயக்குகிறது - API கள், டாஷ்போர்ட், அடையாளம், செலவுப் கொள்கை - மற்றும் எப்போதும் இருப்புகளைப் பற்றிய கையொப்ப அதிகாரம் இல்லை.
செலவு கொள்கை சர்வர் பக்கம் அமல்படுத்தப்படுகிறது, முகவரியில் இல்லை
தினசரி வரம்புகள், ஒவ்வொரு கட்டணத்திற்கான மேலோட்டங்கள், எதிர் தரப்பினர் அனுமதியியல் பட்டியல்கள் மற்றும் நேரக் காலங்கள் Blockchain0x வாலட் API மூலம் ஒவ்வொரு கட்டண நோக்கத்திற்கும் தீர்வு பெறுவதற்கு முன் மதிப்பீடு செய்யப்படுகின்றன. முகவர் இயக்க நேரம் கொள்கை சேமிப்பிடம் அடைய முடியாது; ப்ராம்ட்-இன்ஜெக்ட் செய்யப்பட்ட முகவர் இன்னும் தனது சொந்த வரம்புகளை உயர்த்த முடியாது.
ரசீது-சரிபார்க்கப்பட்ட கட்டண உறுதிப்படுத்தல்
API மூலம் வெளிப்படுத்தப்பட்ட கட்டண ரசீது உறுதிப்படுத்தப்பட்ட பரிமாற்றத்திற்கு சர்வர்-பக்கம் சரிபார்க்கப்படுகிறது. ஒரு கிளையன்ட் உள்ளூர் ரசீதை போலியாக்க முடியாது மற்றும் அதை கட்டணத்தின் ஆதாரமாகக் காட்ட முடியாது; ரசீது-சரிபார்ப்பு படி Stripe வலைப்பின்னல் கையொப்பங்கள் பயன்படுத்தும் அதே நம்பிக்கை மாதிரியாகும்.
Webhook கையொப்பங்கள், URL இல் பகிரப்பட்ட ரகசியங்கள் அல்ல
நாங்கள் வெளியிடும் ஒவ்வொரு webhook நிகழ்வும் HMAC-SHA256 உடன் கையொப்பமிடப்பட்டுள்ளது, இது ஒரு தனி-குத்தகை கையொப்ப ரகசியத்தை பயன்படுத்தி கச்சா உடலின் மீது உள்ளது. கையொப்ப ரகசியம் URL அல்லது கேள்வி சரத்தில் ஒருபோதும் அனுப்பப்படாது. வாடிக்கையாளர்கள் பெறுதியில் கையொப்பங்களை உறுதிப்படுத்துகிறார்கள்; நாங்கள் ஆவணங்களில் குறிப்பு செயல்பாடுகளை வழங்குகிறோம்.
இன்று எங்கு இருக்கிறோம், உண்மையாக.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
மூன்றாம் தரப்பின் ஊடுருவல் சோதனை
Q4 2026க்கு திட்டமிடப்பட்டுள்ளதுமுதல் வெளிப்புற ஊடுருவல் சோதனை ஆண்டின் இரண்டாம் பாதியில் திட்டமிடப்பட்டுள்ளது. வரம்பு: வலைப் பயன்பாடு, பொதுப் API கள், webhook மேற்பரப்பு, டாஷ்போர்ட் அங்கீகம். முழு அறிக்கையின் சுருக்கம் முடிந்ததும் இங்கே வெளியிடப்படும்.
SOC 2 வகை I
2027க்கு இலக்குஇன்று நாங்கள் SOC 2 ஆடிட்டில் இல்லை. Type I சான்றிதழுக்கான உண்மையான எதிர்பார்க்கப்படும் ஜன்னல் 2027 இன் முதல் பாதியில் உள்ளது; Type II 6 முதல் 12 மாதங்கள் கண்காணிப்பு காலத்திற்குப் பிறகு வருகிறது.
சிறந்த ஒப்பந்தங்கள் ஆய்வுகள்
மேல்நிலையிலிருந்து பெற்றதுஇன்று நாங்கள் எங்கள் சொந்த smart contracts-ஐ இயக்கவில்லை. on-chain primitives என்பது Circle Programmable Wallets, Coinbase Smart Wallet, மற்றும் அடிப்படை Base / USDC contracts ஆகும், இவை அனைத்தும் வெளியிட்ட அணிகளிடமிருந்து தனித்த audit reports-ஐ கொண்டுள்ளன. நாங்கள் எங்கள் சொந்த contracts-ஐ (account-abstraction features) வெளியிடும் போது அல்லது வெளியிட்டால், அவை mainnet deployment-க்கு முன் audit செய்யப்படும்.
வருடாந்திர உள்ளக பாதுகாப்பு மதிப்பீடு
தொடர்ந்துதொகுதியில் ரகசியத்தை மாற்றுவது, சார்பு-சோதனை மதிப்பீடு மற்றும் அணுகல்-கட்டுப்பாட்டு ஆணை. வாடிக்கையாளர்களுக்கான [secure-your-agent-wallet guide](/learn/guides/secure-your-agent-wallet) இல் முன்-வெளியீட்டு கடுமையைப் பதிவு செய்யப்பட்டுள்ளது; உள்ளக பதிப்பு அதை பிரதிபலிக்கிறது.
நாங்கள் பாதுகாப்பு ஆராய்ச்சிக்கான கட்டணத்தை செலுத்துகிறோம்.
நாங்கள் ஒரு தனிப்பட்ட பிழை-பரிசு திட்டத்தை இயக்குகிறோம். அறிக்கைகள் எங்கள் பாதுகாப்பு மின்னஞ்சலுக்கு நேரடியாக செல்கின்றன; நாங்கள் இரண்டு வணிக நாட்களில் மதிப்பீடு செய்கிறோம் மற்றும் உறுதிப்படுத்தப்பட்ட கண்டுபிடிப்புகளுக்கு அடிப்படையில் கட்டணம் செலுத்துகிறோம். கட்டணங்கள் USDCயில், Baseஇல், அறிக்கையிடுபவரின் தேர்வுக்கான பணப்பையில் செலுத்தப்படுகின்றன. ஒரு அறிக்கையை தாக்கல் செய்ய சட்ட ரகசிய ஒப்பந்தங்கள் தேவை இல்லை.
விளக்கத்தில்
- dashboard அல்லது API-இல் authentication மற்றும் session management.
- ஒரே account-இல் உள்ள workspaces அல்லது agents இடையே privilege escalation.
- API-இல் server-side request forgery, command injection, அல்லது remote code execution.
- Webhook signature bypass அல்லது receipt-validation bypass.
- ஒரு agent-ஐ அதன் configured caps அல்லது allowlist-ஐ மீறி பணத்தை நகர்த்த அனுமதிக்கும் spend-policy bypass.
- குறிப்பிடத்தக்க data exposure (மற்ற tenants-ன் transactions, secrets, audit logs).
விளக்கத்திற்கு வெளியே
- Self-XSS அல்லது பாதிக்கப்பட்டவர் தங்கள் சொந்த console-இல் hostile input-ஐ type செய்ய அல்லது paste செய்ய வேண்டிய தாக்குதல்கள்.
- Staff அல்லது contractors மீது social-engineering-ஐ சார்ந்த reports.
- Blockchain0x ஒருங்கிணைக்கும் third-party services (Coinbase, Circle, etc) குறித்த reports - அவை அந்த third-party-ன் சொந்த program-க்கு அனுப்பப்பட வேண்டும்.
- test endpoints-க்கு எதிரான findings (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia).
- நிரூபிக்கப்பட்ட பாதிப்பு இல்லாத security headers இல்லாமை.
- செயல்படும் proof-of-concept இல்லாத theoretical issues.
| கடுமை | எடுத்துக்காட்டுகள் | பணம் செலுத்தும் வரம்பு |
|---|---|---|
| அவசரமான | குறுக்கீடு-கட்டிட நிதி நகர்வு, செலவுப் கொள்கையை அளவுக்கு ஏற்ப தவிர்க்கவும், பயனர் நடவடிக்கை இல்லாமல் கணக்கு கைப்பற்றுதல். | $5,000 - $25,000 |
| உயரம் | அங்கீகாரம் பெற்ற அதிகார உயர்வு, அளவிடக்கூடிய தாக்கத்துடன் வலைப்பூ-கையொப்பத்தை தவிர்க்கவும், API இல் சர்வர் பக்கம் கோரிக்கை மோசடி. | $1,000 - $5,000 |
| மத்திய | விளக்கப்படத்தில் உள்ள XSS, யதார்த்தமான பயனீட்டுப் பாதையுடன், குறைந்த தாக்கத்துடன் உணர்வுப்பூர்வமான தகவல் கசிவு. | $250 - $1,000 |
| குறைந்தது | குறைந்த அளவிலான பயனுள்ள XSS, சிறிய தகவல் கசிவுகள், நிரூபிக்கப்பட்ட மதிப்புடன் கடுமை பரிந்துரைகள். | $50 - $250 |
பணம் செலுத்தும் முடிவுகள் இறுதியானவை மற்றும் நிறுவனர் உடன் உரையாடலில் பொறியியல் தலைவரால் எடுக்கப்படுகின்றன. பரிசு உறுதிப்படுத்தப்பட்ட, மீண்டும் உருவாக்கக்கூடிய கண்டுபிடிப்புகளுக்காக; ஏற்கனவே அறிவிக்கப்பட்ட பிரச்சினையின் நகல்கள் முதல் அறிவிப்பாளருக்கு மட்டுமே பணம் செலுத்துகின்றன. பிரச்சினை சரியாக்கப்பட்ட பிறகு, இந்த பக்கத்தில் அறிவிப்பாளர்களுக்கு பொதுவாக நாங்கள் கடன் வழங்குகிறோம்.
ஒரு பாதுகாப்பு பிரச்சினையை எவ்வாறு புகாரளிக்க வேண்டும்.
சிக்கலின் விவரத்தை, படி-by-படி மீண்டும் உருவாக்கத்தை, பாதிக்கப்பட்ட URL அல்லது முடிவுகளை, நீங்கள் கண்டுபிடித்த தாக்கத்தை, மற்றும் பரிசு செலுத்துவதற்கான உங்கள் தொடர்பு தகவல்களை உள்ளடக்கிய [email protected] க்கு மின்னஞ்சல் அனுப்பவும் (ஒரு Base வாலட் முகவரி போதுமானது; எந்த உண்மையான பெயரும் தேவையில்லை). குறியாக்கப்பட்ட அறிக்கைகள் வரவேற்கப்படுகின்றன - எங்கள் PGP விசை கோரிக்கைக்கு கிடைக்கிறது.
நாங்கள் உங்கள் அறிக்கையை இரண்டு வணிக நாள்களில் உறுதிப்படுத்துவதற்கும், ஐந்து நாள்களில் பிரச்சினைகளை வகைப்படுத்துவதற்கும், உறுதிப்படுத்தப்பட்ட கண்டுபிடிப்புகளுக்கான திருத்தம் அல்லது ஆபத்து ஏற்றுக்கொள்ளும் முடிவை முப்பது நாளில் (அல்லது முக்கிய பிரச்சினைகளுக்காக விரைவாக) வழங்குவதாக உறுதியாக இருக்கிறோம். பொறுப்பான வெளிப்பாட்டு விதிமுறைகளை பின்பற்றும் நல்ல நம்பிக்கையுடன் பாதுகாப்பு ஆராய்ச்சிக்கு சட்ட நடவடிக்கைகளை மிரட்டுவதில்லை - பிரச்சினையை காட்ட தேவையான அளவுக்கு மட்டுமே தரவுகளை வெளிப்படுத்துவது, வாடிக்கையாளர் தரவுகளை வெளியே எடுக்காதது, உற்பத்தி பயனர்களை பாதிக்கும் இடையூறு சோதனைகளை இயக்காதது.
பாதுகாப்பு அல்லாத பிரச்சினைகளுக்காக (பொது ஆதரவு, கட்டணங்கள், கூட்டாளிகள்), /contact ஐப் பயன்படுத்தவும். பாதுகாப்பு மின்னஞ்சல் பாதுகாப்பு அறிக்கைகளுக்காக மட்டுமே கண்காணிக்கப்படுகிறது.
எதாவது தவறு நடந்தால், நாங்கள் என்ன சொல்வோம்.
வாடிக்கையாளர் நிதிகளை, வாடிக்கையாளர் தரவுகளை அல்லது கட்டண API இன் கிடைக்கும் நிலையை பாதிக்கும் உற்பத்தி சம்பவங்கள் தீர்வுக்குப் பிறகு முப்பது நாட்களுக்குள் பொது பிந்தைய ஆய்வைப் பெறுகின்றன, கடுமை எந்த அளவுக்கு இருந்தாலும். சிறிய சம்பவங்கள் (சீரற்ற செயல்திறன், பகுதி-பிராந்திய அவசரங்கள்) பாதிக்கப்பட்ட வாடிக்கையாளர்களுக்கு நிலை புதுப்பிப்புகள் மூலம் தகவல் வழங்கப்படுகின்றன, ஆனால் அவை பிந்தைய ஆய்வைப் பெறுவதற்கான தேவையில்லை.
நாங்கள் இறுதிக்கணக்கில் வாடிக்கையாளர்களை குற்றம் சாட்டுவதில்லை. அடிப்படைக் காரணம் எங்கள் சொந்தமானது என்றால், மூன்றாம் தரப் வழங்குநர்களை குற்றம் சாட்டுவதில்லை. அடிப்படைக் காரணங்களை தெளிவாகக் கூறுகிறோம், அதற்கான விளைவாக எதை மாற்றுகிறோம் என்பதை பட்டியலிடுகிறோம், மற்றும் இறுதிக்கணக்கை முடிவில்லாமல் கிடைக்க வைத்திருக்கிறோம். வாடிக்கையாளர்கள் எதிர்பார்க்க வேண்டியது, நீங்கள் கேட்க வேண்டுமென்றால், என்ன நடந்தது என்பதை நாங்கள் உங்களுக்கு சொல்லுவதாகும்.
பாதுகாப்பு தொடர்பு
அறிக்கைகள் மற்றும் பரிசு சமர்ப்பிப்புகள்: [email protected]. PGP விசை கோரிக்கைக்கு.