dLuz Protocol

🛡️Programa de Segurança

Bug Bounty — dLuz Protocol

Ajude a proteger o protocolo. Recompensamos pesquisadores que encontrarem vulnerabilidades em nossos contratos e frontend.

Níveis de Severidade

Recompensas pagas em dLuz tokens, proporcionais ao impacto da vulnerabilidade.

Crítico

1,000 – 5,000 dLuz
  • Drenagem de fundos de contratos ou pools
  • Mint infinito de tokens (dLuz, dCARBON, dENERGY)
  • Bypass de controles de ownership / admin
  • Manipulação de oracle de preço

Alto

500 – 1,000 dLuz
  • Bypass de permissões em funções protegidas
  • Falha na lógica de swap causando perda parcial de fundos
  • Reentrancy explorável em contratos de pool
  • Front-running com impacto financeiro direto

Médio

100 – 500 dLuz
  • Denial of Service (DoS) em funções críticas
  • Erros de cálculo de taxa ou slippage
  • Falhas de validação de input
  • Problemas de gas que bloqueiam transações

Baixo

25 – 100 dLuz
  • Bugs visuais no frontend que afetam usabilidade
  • Erros de exibição de saldo ou preço
  • Links quebrados ou navegação inconsistente
  • Melhorias de UX com impacto em segurança

Escopo

Dentro do Escopo

Smart Contracts

Tokens dLuz, dCARBON, dENERGY — DEX Router, Factory e Pools

Frontend

Aplicação Next.js — lógica de conexão de wallet, execução de swap, exibição de dados on-chain

Integrações

Interações com RainbowKit, wagmi e contratos deployados na Base

Fora do Escopo

  • Infraestrutura da Vercel, GitHub ou provedores terceiros
  • Ataques que requerem acesso físico ao dispositivo do usuário
  • Vulnerabilidades em dependências sem impacto demonstrável
  • Bugs já reportados ou listados em issues públicas
  • Resultados de scanners automatizados sem PoC manual

Regras de Engajamento

Para garantir um processo justo e seguro para todos.

  1. 1Não explore vulnerabilidades em produção — use a testnet Base Sepolia.
  2. 2Reporte uma vulnerabilidade por submissão. Não agrupe múltiplos bugs.
  3. 3Forneça passos claros de reprodução (PoC) com código quando possível.
  4. 4Dê ao time 90 dias para corrigir antes de qualquer divulgação pública.
  5. 5Não pratique engenharia social, phishing ou ataques à infraestrutura.
  6. 6Não acesse ou modifique dados de outros usuários.
  7. 7A primeira submissão válida tem prioridade — duplicatas não são recompensadas.
  8. 8Vulnerabilidades conhecidas em componentes de terceiros estão fora do escopo.

Como Reportar

Escolha o canal que preferir — responderemos em até 48h.

📧

Email

security@dluz.cc
🔒

GitHub

Security Advisory
💬

Telegram

@dluzprotocol

Encontrou algo?

Seu report pode proteger milhares de toneladas de carbono tokenizado.

🛡️ Reportar Vulnerabilidade →