Blockchain0x'ta Güvenlik.
Ajan ödemeleri gerçek parayı hareket ettirir. Müşteri fonlarını koruyan mimari seçimler, mevcut denetim durumu ve bir sorun bulursanız bize nasıl ulaşacağınız.
Bu sayfadan ne bekleyebilirsiniz.
Müşterilerin ödeme yetkisi ile güveneceği altyapıyı sunan erken aşama bir şirketiz. Güven, doğrulayabileceğiniz şeylere dayanır, size söylenenlere değil. Bu sayfa, müşterilerin ve güvenlik araştırmacılarının doğrulayabileceği veya bizi bağlayabileceği dört şeyi belgelemektedir: her şeyde yanılmamız durumunda bile geçerli olan mimari garantiler, denetim duruşumuzun mevcut durumu (henüz yapmadığımız şeyler dahil), hata ödül programımızın kapsamı ve ödülleri, ve sorumlu açıklama için iletişim yolu.
What this page is not: a marketing surface designed to look maximally serious about security. We did not invent security certifications we do not hold, did not list "compliance" with frameworks we have not audited against, and did not put trust badges on the page that we did not earn. When we have a SOC 2 attestation or a third-party penetration test report, those will be referenced here with the auditing firm, the date, and the scope. Until then, this page says so plainly.
Yapı itibarıyla geçerli olan dört özellik.
Aşağıdaki garantiler mimari özelliklerdir - sistemin nasıl inşa edildiğine dair özelliklerdir, nasıl işletildiğine dair değil. Operasyonel güvenlik zayıflayabilir (sızdırılmış bir anahtar, yanlış yapılandırılmış bir dağıtım); mimari garantiler, günlük operasyonların mükemmel olmasına bağlı değildir. Bunlar, en kötü operasyon haftasında bile güvenebileceğiniz güvenlik hikayesinin parçalarıdır.
Platform katmanında saklama yapmayan
Blockchain0x müşteri fonlarını tutmaz. Cüzdanlar ajana aittir (veya müşterinin bağladığı temel saklama sağlayıcısına, örneğin Circle Programlanabilir Cüzdanlar veya Coinbase Akıllı Cüzdan). Blockchain0x hizmeti, bu cüzdanların üzerinde geliştirici yüzeyini işletir - API'ler, kontrol paneli, kimlik, harcama politikası - ve bakiyeler üzerinde asla imza yetkisi yoktur.
Harcama politikası sunucu tarafında uygulanır, ajansın içinde değil
Günlük limitler, ödeme başına tavanlar, karşı taraf beyaz listeleri ve zaman dilimleri, Blockchain0x cüzdan API'si tarafından her ödeme niyeti öncesinde değerlendirilir. Ajan çalışma zamanı politika depolama alanına erişemez; prompt enjekte edilen bir ajan bile kendi limitlerini artıramaz.
Makbuz doğrulamalı ödeme onayı
API tarafından sunulan ödeme makbuzları, onaylamadan önce sunucu tarafında çıkaran işlemle doğrulanır. Bir müşteri yerel olarak bir makbuz oluşturamaz ve bunu ödeme kanıtı olarak sunamaz; makbuz doğrulama adımı, Stripe webhook imzalarının kullandığı aynı güven modelidir.
Webhook imzaları, URL'lerde paylaşılan gizli anahtarlar değil
Yaydığımız her webhook olayı, ham gövde üzerinde her kiracı için bir imzalama sırrı kullanılarak HMAC-SHA256 ile imzalanır. İmzalama sırrı URL veya sorgu dizesinde asla gönderilmez. Müşteriler, alındığında imzaları doğrular; belgelerde referans uygulamaları sağlıyoruz.
Bugün nerede olduğumuz, dürüstçe.
The table below is the current state of external audits, third-party reviews, and certifications. We update this page when any line changes - dates are real, scopes are real, and "planned" means scheduled with a firm, not aspirational.
Üçüncü taraf sızma testi
2026'nın 4. çeyreği için planlandıİlk dış penetrasyon testi yılın ikinci yarısı için planlandı. Kapsam: web uygulaması, kamu API'leri, webhook yüzeyi, kontrol paneli kimlik doğrulaması. Tam rapor özeti tamamlandığında burada yayımlanacaktır.
SOC 2 Tip I
2027 için hedeflenmiştirBugün SOC 2 denetiminden geçmedik. Birinci tür bir onay için beklenen dürüst süre 2027'nin ilk yarısıdır; İkinci tür, 6 ila 12 aylık bir gözlem döneminden sonra gelir.
Akıllı sözleşme denetimleri
Yukarıdan miras alındıBugün kendi smart contract'larımızı işletmiyoruz. On-chain primitives, Circle Programmable Wallets, Coinbase Smart Wallet ve alttaki Base / USDC contract'larıdır; bunların her biri ihraç eden ekiplerin kendi bağımsız audit raporlarına sahiptir. Kendi contract'larımızı (account-abstraction özellikleri) yayınladığımızda, mainnet deployment öncesinde audit edileceklerdir.
Yıllık iç güvenlik incelemesi
Devam edenÜç ayda bir gizli döngü, bağımlılık tarama incelemesi ve erişim kontrolü denetimi. Müşteriler için [secure-your-agent-wallet kılavuzumuzda](/learn/guides/secure-your-agent-wallet) belgelenmiş ön lansman sertleştirme kontrol listesi; iç versiyonu buna paraleldir.
Güvenlik araştırmaları için ödeme yapıyoruz.
Özel bir hata ödül programı yürütüyoruz. Raporlar doğrudan güvenlik e-posta adresimize gider; iki iş günü içinde önceliklendiririz ve onaylanan bulgulara göre ödeme yaparız. Ödemeler USDC cinsindendir, Base üzerinde, rapor edenin seçtiği cüzdana yapılır. Bir rapor vermek için yasal gizlilik sözleşmeleri talep etmiyoruz.
Kapsamda
- Kontrol paneli veya API üzerinde kimlik doğrulama ve oturum yönetimi.
- Aynı hesapta workspace'ler veya agent'lar arasında ayrıcalık yükseltme.
- API'de server-side request forgery, command injection veya remote code execution.
- Webhook imza atlatma veya makbuz doğrulama atlatma.
- Bir agent'ın parayı yapılandırılmış limitlerinin veya allowlist'inin dışında hareket ettirmesine izin veren spend-policy atlaması.
- Ciddi veri ifşası (diğer kiracıların işlemleri, gizli bilgiler, denetim kayıtları).
Kapsam dışı
- Self-XSS veya kurbanın kendi console'una zararlı girdiyi yazmasını ya da yapıştırmasını gerektiren saldırılar.
- Personel veya yüklenicilerin social-engineering yoluyla hedef alınmasına dayanan raporlar.
- Blockchain0x'in entegre olduğu üçüncü taraf hizmetlere (Coinbase, Circle, etc) yönelik raporlar - bunlar üçüncü tarafın kendi programına iletilmelidir.
- Test uç noktalarına karşı bulgular (`sk_test_` anahtarları, `*.test.blockchain0x.com`, Base Sepolia).
- Göstergelenmiş bir etkisi olmayan eksik security header'lar.
- Çalışan bir proof-of-concept olmadan kuramsal sorunlar.
| Şiddet | Örnekler | Ödeme aralığı |
|---|---|---|
| Kritik | Kiralık alanlar arası fon hareketi, harcama politikası atlatma ölçekli olarak, kullanıcı eylemi olmadan hesap ele geçirme. | $5,000 - $25,000 |
| Yüksek | Kimlik doğrulamalı ayrıcalık yükseltme, ölçülebilir etkiye sahip webhook imza atlama, API'de sunucu tarafı istek sahteciliği. | $1,000 - $5,000 |
| Orta | Gösterge panelinde gerçekçi sömürü yolu olan depolanan XSS, sınırlı etkiyle hassas bilgi sızıntısı. | $250 - $1,000 |
| Düşük | Sınırlı sömürü olasılığına sahip yansıtılan XSS, küçük bilgi sızıntıları, gösterilmiş değere sahip sertleştirme önerileri. | $50 - $250 |
Ödeme kararları kesindir ve mühendislik lideri ile kurucu arasında yapılan görüşmelerle alınır. Ödül, kapsam dahilinde onaylanmış, tekrarlanabilir bulgular içindir; daha önce rapor edilmiş bir sorunun kopyaları yalnızca ilk rapor edene ödeme yapar. Sorun düzeltildiğinde, rapor edenleri bu sayfada talep üzerine kamuya açık olarak kredi veririz.
Bir güvenlik sorununu nasıl bildirebilirim.
Aşağıdaki bilgileri içeren bir e-posta gönderin [email protected]: sorun açıklaması, adım adım yeniden üretim, etkilenen URL veya uç nokta, gözlemlediğiniz etki ve ödül ödemesi için iletişim bilgileri (bir Base cüzdan adresi yeterlidir; gerçek isim gerekmez). Şifreli raporlar memnuniyetle karşılanır - PGP anahtarımız talep üzerine mevcuttur.
Raporunuzu iki iş günü içinde kabul etmeyi, beş içinde önceliklendirmeyi ve onaylanan bulgular için otuz gün içinde bir düzeltme veya risk kabul kararı göndermeyi taahhüt ediyoruz (veya kritik sorunlar için daha önce). Sorumlu açıklama normlarını izleyen iyi niyetli güvenlik araştırmalarına karşı yasal işlem tehdidinde bulunmuyoruz - verileri sadece sorunu göstermek için gerektiği kadar açığa çıkarıyoruz, müşteri verilerini dışarı çıkarmıyoruz, üretim kullanıcılarını etkileyen yıkıcı testler yapmıyoruz.
Güvenlik dışındaki konular için (genel destek, faturalandırma, ortaklıklar) /contact adresini kullanın. Güvenlik e-postası yalnızca güvenlik raporları için izlenmektedir.
Bir şeyler ters giderse ne diyoruz.
Müşteri fonlarını, müşteri verilerini veya ödeme API'sinin kullanılabilirliğini etkileyen üretim olayları, çözümden itibaren otuz gün içinde kamuya açık bir ölüm sonrası inceleme alır, ciddiyetine bakılmaksızın. Daha küçük olaylar (performans düşüklüğü, kısmi bölge kesintileri) etkilenen müşterilere durum güncellemeleri aracılığıyla iletilir ancak mutlaka bir ölüm sonrası inceleme almaz.
Sonrasında müşterileri suçlamıyoruz. Temel neden bizimse üçüncü taraf sağlayıcıları suçlamıyoruz. Temel nedenleri açıkça adlandırıyor, sonuç olarak neyi değiştirdiğimizi listeliyoruz ve sonrasında raporu süresiz olarak erişilebilir tutuyoruz. Müşterilerin beklentisi, ne olduğunu sormadan önce size ne olduğunu söyleyeceğimizdir.
Güvenlik iletişimi
Raporlar ve ödül başvuruları: [email protected]. PGP anahtarı talep üzerine.