ప్రధాన కంటెంట్‌కు దాటవేయండి
భద్రత

Blockchain0x లో భద్రత.

ఏజెంట్ చెల్లింపులు నిజమైన డబ్బును కదిలిస్తాయి. కస్టమర్ నిధులను రక్షించడానికి ఆర్కిటెక్చరల్ ఎంపికలు, ఇవాళ ఉన్న ఆడిట్ స్థితి మరియు మీకు ఏదైనా తప్పు కనుగొంటే మమ్మల్ని ఎలా చేరుకోవాలి.

వ్యాప్తి

ఈ పేజీ నుండి మీరు ఏమి ఆశించవచ్చు.

మేము కస్టమర్లు చెల్లింపు అధికారంతో నమ్మే మౌలిక వసతులను పంపించే ప్రారంభ దశ కంపెనీ. నమ్మకం మీరు నిర్ధారించగల విషయాలపై నిర్మించబడింది, మీరు చెప్పబడిన విషయాలపై కాదు. ఈ పేజీ కస్టమర్లు మరియు భద్రత పరిశోధకులు నిర్ధారించగల లేదా మమ్మల్ని పట్టించుకునే నాలుగు విషయాలను డాక్యుమెంట్ చేస్తుంది: మేము మిగతా విషయాలపై తప్పు అయితే కూడా నిలబడే నిర్మాణాత్మక హామీలు, మా ఆడిట్ స్థితి ప్రస్తుత స్థితి (మేము ఇంకా చేయని విషయాలను కలిగి), మా బగ్-బౌంటీ కార్యక్రమం యొక్క పరిధి మరియు బహుమతులు, మరియు బాధ్యతాయుతమైన వెల్లడికి సంప్రదింపు మార్గం.

What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.

ఆర్కిటెక్చరల్ గ్యారంటీలు

నిర్మాణం ద్వారా నిలుపుకునే నాలుగు లక్షణాలు.

క్రింద ఉన్న హామీలు నిర్మాణాత్మకమైనవి - అవి వ్యవస్థ ఎలా నిర్మించబడిందో, ఎలా నిర్వహించబడిందో కాదు. ఆపరేషనల్ భద్రత విఫలమవుతుంది (ఒక లీక్ అయిన కీ, ఒక తప్పుగా కాన్ఫిగర్ చేయబడిన డిప్లాయ్); నిర్మాణాత్మక హామీలు రోజువారీ కార్యకలాపాలు సరిగ్గా ఉండటానికి ఆధారపడవు. ఇవి మీకు అత్యంత చెత్త కార్యకలాపాల వారంలో కూడా ఆధారపడే భద్రతా కథ యొక్క భాగాలు.

ప్లాట్‌ఫారమ్ స్థాయిలో నాన్-కస్టోడియల్

Blockchain0x కస్టమర్ నిధులను నిల్వ చేయదు. వాలెట్‌లు ఏజెంట్‌కు (లేదా కస్టమర్ కనెక్ట్ చేసిన ప్రాథమిక కస్టడీ ప్రొవైడర్‌కు, సర్కిల్ ప్రోగ్రామబుల్ వాలెట్‌లు లేదా Coinbase Smart Wallet వంటి) చెందినవి. Blockchain0x సేవ ఆ వాలెట్‌లపై డెవలపర్ ఉపరితలాన్ని నిర్వహిస్తుంది - APIs, డాష్‌బోర్డ్, గుర్తింపు, ఖర్చు విధానం - మరియు బ్యాలెన్స్‌లపై ఎప్పుడూ సంతకం చేసే అధికారం ఉండదు.

ఖర్చు విధానం సర్వర్-సైడ్‌లో అమలు చేయబడింది, ఏజెంట్‌లో కాదు

రోజువారీ కాప్‌లు, చెల్లింపు సీలింగ్‌లు, కౌంటర్‌పార్టీ అనుమతుల జాబితాలు మరియు కాల వ్యవధులను Blockchain0x వాలెట్ API ప్రతి చెల్లింపు ఉద్దేశ్యం సెటిల్ అయ్యే ముందు అంచనా వేస్తుంది. ఏజెంట్ రన్‌టైమ్ విధాన భాండాగారం చేరుకోలేరు; ప్రాంప్ట్-ఇంజెక్ట్ అయిన ఏజెంట్ ఇంకా తన స్వంత పరిమితులను పెంచలేరు.

రసీదు-ధృవీకరించిన చెల్లింపు నిర్ధారణ

API ద్వారా ప్రదర్శించబడిన చెల్లింపు రసీదులు నిర్ధారణకు ముందు జారీ చేసిన లావాదేవీకి వ్యతిరేకంగా సర్వర్-పక్కన ధృవీకరించబడతాయి. ఒక క్లయింట్ స్థానికంగా రసీదు తయారు చేయలేరు మరియు దాన్ని చెల్లింపు యొక్క సాక్ష్యంగా సమర్పించలేరు; రసీదు-ధృవీకరణ దశ Stripe వెబ్‌హుక్ సంతకాలు ఉపయోగించే అదే నమ్మక మోడల్.

Webhook సంతకాలు, URLsలో పంచుకున్న రహస్యాలు కాదు

మేము విడుదల చేసే ప్రతి వెబ్‌హుక్ ఈవెంట్ ఒక పర్-టెనెంట్ సైన్ చేయు రహస్యాన్ని ఉపయోగించి కచ్చితమైన శరీరంపై HMAC-SHA256తో సంతకం చేయబడుతుంది. సైన్ చేయు రహస్యం URL లేదా క్వెరీ స్ట్రింగ్‌లో ఎప్పుడూ పంపబడదు. కస్టమర్లు అందులో సంతకాలను ధృవీకరిస్తారు; మేము డాక్స్‌లో సూచన అమలు అందిస్తాము.

ఆడిట్ స్థితి

మేము నేడు ఎక్కడ ఉన్నామో, నిజంగా.

The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.

మూడవ పక్షం పెనట్రేషన్ పరీక్ష

Q4 2026 కోసం ప్రణాళిక

మొదటి బాహ్య పెనట్రేషన్ పరీక్ష సంవత్సరానికి రెండవ భాగంలో షెడ్యూల్ చేయబడింది. పరిధి: వెబ్ యాప్, పబ్లిక్ APIs, వెబ్‌హుక్ ఉపరితల, డాష్‌బోర్డ్ ఆథ్. పూర్తి నివేదిక సారాంశం పూర్తి అయినప్పుడు ఇక్కడ ప్రచురించబడుతుంది.

SOC 2 Type I

2027కి లక్ష్యంగా

మేము ఈ రోజు SOC 2 ఆడిట్ చేయలేదు. Type I ధృవీకరణకు నిజమైన అంచనా విండో 2027 యొక్క మొదటి అర్ధం; Type II 6 నుండి 12 నెలల పరిశీలన కాలం తర్వాత వస్తుంది.

స్మార్ట్-కాంట్రాక్ట్ ఆడిట్లు

అప్‌స్ట్రీమ్ నుండి వారసత్వం

ప్రస్తుతం మేము మా own smart contracts ను operate చేయడం లేదు. on-chain primitives అనేవి Circle Programmable Wallets, Coinbase Smart Wallet, మరియు underlying Base / USDC contracts, ఇవన్నీ issuing teams నుండి తమ స్వంత independent audit reports ను కలిగి ఉన్నాయి. మేము మా own contracts ను ship చేసినప్పుడు (account-abstraction features), mainnet deployment ముందు అవి audited అవుతాయి.

వార్షిక అంతర్గత భద్రతా సమీక్ష

నడుస్తోంది

త్రైమాసిక గోప్యమైన-చక్రం, ఆధార-స్కాన్ సమీక్ష మరియు యాక్సెస్-నియంత్రణ ఆడిట్. కస్టమర్ల కోసం మా [secure-your-agent-wallet guide](/learn/guides/secure-your-agent-wallet) లో ప్రీ-లాంచ్ హార్డెనింగ్ చెక్‌లిస్ట్ డాక్యుమెంటెడ్ ఉంది; అంతర్గత వెర్షన్ దీన్ని ప్రతిబింబిస్తుంది.

బగ్ బౌంటీ

మేము భద్రతా పరిశోధనకు చెల్లిస్తాము.

మేము ఒక ప్రైవేట్ బగ్-బౌంటీ ప్రోగ్రామ్‌ను నిర్వహిస్తున్నాము. నివేదికలు నేరుగా మా భద్రతా ఇమెయిల్‌కు వెళ్ళుతాయి; మేము రెండు వ్యాపార రోజుల్లో ట్రయాజ్ చేస్తాము మరియు నిర్ధారిత కనుగొనబడిన వాటికి తీవ్రత ఆధారంగా చెల్లిస్తాము. చెల్లింపులు USDCలో, బేస్‌లో, నివేదిక ఇచ్చిన వ్యక్తి ఎంచుకున్న వాలెట్‌కు ఉంటాయి. నివేదికను దాఖలు చేయడానికి మేము చట్టపరమైన NDAలను అవసరంగా తీసుకోము.

పరిధిలో

  • dashboard లేదా API పై authentication మరియు session management.
  • ఒకే account లోని workspaces లేదా agents మధ్య privilege escalation.
  • API లో server-side request forgery, command injection, లేదా remote code execution.
  • Webhook signature bypass లేదా receipt-validation bypass.
  • agent తన configured caps లేదా allowlist బయట money move చేయడానికి అనుమతించే spend-policy bypass.
  • Significant data exposure (ఇతర tenants యొక్క transactions, secrets, audit logs).

స్కోప్ నుండి బయట

  • Self-XSS లేదా బాధితుడు వారి స్వంత console లో hostile input టైప్ చేయడం లేదా paste చేయడం అవసరమయ్యే attacks.
  • staff లేదా contractors పై social-engineering పై ఆధారపడే reports.
  • Blockchain0x integrate అయ్యే third-party services (Coinbase, Circle, etc) పై reports - వాటిని ఆ third-party యొక్క స్వంత program కు పంపాలి.
  • Test endpoints (`sk_test_` keys, `*.test.blockchain0x.com`, Base Sepolia)పై findings.
  • Demonstrated impact లేకుండా missing security headers.
  • పని చేసే proof-of-concept లేకుండా ఉన్న theoretical issues.
తీవ్రతఉదాహరణలుచెల్లింపు పరిధి
తీవ్రక్రాస్-టెనెంట్ నిధుల చలనం, వ్యయ-నీతిని అధిగమించడం, వినియోగదారుల చర్య లేకుండా ఖాతా takeover.$5,000 - $25,000
అధికధృవీకరించిన అర్హత పెంపు, కొలిచే ప్రభావంతో వెబ్‌హుక్-సంతకం బైపాస్, APIలో సర్వర్-పక్క అభ్యర్థన మోసం.$1,000 - $5,000
మధ్యస్థడాష్‌బోర్డులో వాస్తవిక దుర్వినియోగ మార్గంతో నిల్వ XSS, పరిమిత ప్రభావంతో సున్నితమైన సమాచార లీకేజీ.$250 - $1,000
తక్కువపరిమిత దోపిడీతో ప్రతిబింబిత XSS, చిన్న సమాచారం లీక్‌లు, నిరూపిత విలువతో హార్డెనింగ్ సిఫారసులు.$50 - $250

చెల్లింపు నిర్ణయాలు తుది మరియు స్థాపకుడితో సంభాషణలో ఇంజనీరింగ్ నాయకుడిచే చేయబడతాయి. బౌంటీ నిర్ధారిత, పునరుత్పత్తి చేయగల ఫలితాలకు సంబంధించినది; ఇప్పటికే నివేదించిన సమస్యల యొక్క డుప్లికేట్లు మొదటి నివేదకుడికి మాత్రమే చెల్లిస్తాయి. సమస్య పరిష్కరించిన తర్వాత మేము ఈ పేజీలో నివేదకులను ప్రజా స్థాయిలో క్రెడిట్ చేస్తాము.

జవాబుదారీతనం

సెక్యూరిటీ సమస్యను ఎలా నివేదించాలి.

సమస్య యొక్క వివరణ, దశల వారీగా పునరుత్పత్తి, ప్రభావిత URL లేదా ఎండ్‌పాయింట్, మీరు గమనించిన ప్రభావం మరియు బౌంటీ చెల్లింపుకు మీ సంప్రదింపు సమాచారం (ఒక Base వాలెట్ చిరునామా సరిపోతుంది; నిజమైన పేరు అవసరం లేదు) తో [email protected] కు ఇమెయిల్ చేయండి. సంకేతబద్ధమైన నివేదికలు స్వాగతించబడతాయి - మా PGP కీ అభ్యర్థనపై అందుబాటులో ఉంది.

మేము మీ నివేదికను రెండు వ్యాపార రోజుల్లో గుర్తించడానికి, ఐదు రోజుల్లో ట్రయాజ్ చేయడానికి, మరియు నిర్ధారిత కనుగొనడాల కోసం ముప్పై రోజుల్లో ఒక పరిష్కారం లేదా ప్రమాద-అంగీకరణ నిర్ణయాన్ని పంపించడానికి కట్టుబడి ఉన్నాము (లేదా అత్యవసర సమస్యల కోసం త్వరగా). మేము బాధ్యతాయుతమైన వెల్లడిని అనుసరించే మంచి నమ్మకం భద్రతా పరిశోధనకు వ్యతిరేకంగా చట్టపరమైన చర్యను బెదిరించము - సమస్యను నిరూపించడానికి అవసరమైనంత మేరకు డేటాను బయటపెట్టడం, కస్టమర్ డేటాను ఎగుమతి చేయడం కాదు, ఉత్పత్తి వినియోగదారులను ప్రభావితం చేసే విఘటన పరీక్షలను నిర్వహించడం కాదు.

సెక్యూరిటీకి సంబంధించిన సమస్యలు కాకుండా (సాధారణ మద్దతు, బిల్లింగ్, భాగస్వామ్యాలు) /contactని ఉపయోగించండి. సెక్యూరిటీ ఇమెయిల్ కేవలం సెక్యూరిటీ నివేదికల కోసం పర్యవేక్షించబడుతుంది.

ఘటన కమ్యూనికేషన్

ఏదైనా తప్పుగా జరిగితే మేము ఏమి చెబుతాము.

గ్రాహక నిధులు, గ్రాహక డేటా, లేదా చెల్లింపు API అందుబాటును ప్రభావితం చేసే ఉత్పత్తి సంఘటనలు పరిష్కారానికి ముప్పై రోజుల్లో ప్రజా పోస్ట్-మార్టెం పొందుతాయి, తీవ్రతకు సంబంధించకుండా. చిన్న సంఘటనలు (తగ్గిన పనితీరు, భాగిక ప్రాంత అవుటేజీలు) ప్రభావిత వినియోగదారులకు స్థితి నవీకరణల ద్వారా సమాచారాన్ని అందిస్తాయి కానీ తప్పనిసరిగా పోస్ట్-మార్టెం పొందవు.

మేము పోస్ట్-మార్టెమ్‌లలో కస్టమర్లను నిందించము. మూల కారణం మాకు చెందినట్లయితే మేము మూడవ పార్టీ ప్రదాతలను నిందించము. మేము మూల కారణాలను స్పష్టంగా పేర్కొంటాము, ఫలితంగా మేము ఏమి మారుస్తున్నామో జాబితా చేస్తాము, మరియు పోస్ట్-మార్టెమ్‌ను అనంతకాలం అందుబాటులో ఉంచుతాము. కస్టమర్లు కలిగి ఉండాల్సిన అంచనా మేము మీకు అడగాల్సిన ముందు ఏమి జరిగిందో మీకు చెబుతాము.

భద్రతా సంప్రదింపు

రిపోర్టులు మరియు బౌంటీ సమర్పణలు: [email protected]. అభ్యర్థనపై PGP కీ.