Portál zabezpečení
Protože bezpečnost nikdy není volba.
Připojte se do Trezor programu Odměny za nahlášení chyb
Pomozte nám zabezpečit budoucnost self‑custody. Nahlašte zranitelná místa a získejte odměny. Řiďte se těmito pravidly:
Jednejte čestně, abyste chránili údaje uživatelů i společnosti.
Dejte nám čas na vyřešení problému před jeho zveřejněním.
Vyhněte se jakémukoli podvodu či škodě během svého výzkumu.
Relevantní témata
Trezor zařízení a jejich firmware
- Extrakce nebo vkládání seedu
- Obcházení PIN kódu
- Obcházení uživatelského potvrzení
- Extrakce soukromého klíče
- Fyzické útoky a útoky na dodavatelský řetězec
Tato kategorie je nejzásadnější, jelikož Trezor je v našem modelu hrozeb závěrečným bodem ochrany.
Aplikace Trezor Suite a Trezor Connect
- Cross-site scripting (XSS)
- Knihovny třetích stran a útoky na dodavatelský řetězec
- Zranitelnosti v sekcích obchodování nebo stakingu
Blockbook a další backendová infrastruktura
- Zneužití serveru Blockbook
- Nesprávné nastavení infrastruktury backendu
Trezor.io
- Cross-site scripting (XSS)
- Knihovny třetích stran a útoky na dodavatelský řetězec
- Chybná správa přístupů
- Zveřejnění citlivých dat
- SQL injection
- Špatná konfigurace serveru
- Manipulace s platbami nebo objednávkami
Jakékoli problémy, které nejsou zmíněné výše a zároveň nejsou vyloučené v plných podmínkách.
Další informace v plných podmínkáchPlán odměn
Třída zranitelnosti
Odměna
Nízký
$0 – $2 000
Střední
$250 – $5 000
Vysoký
$500 – $10 000
Kritické
$1 000 – $100 000*
Výše odměny závisí na produktu a závažnosti nahlášeného problému. Vyhrazujeme si právo určit míru závažnosti i výši odměny za nahlášení.
*V mimořádně katastrofických případech není stanoven žádný horní limit.
Další informace v plných podmínkáchJak nahlásit chybu
Kontaktujte nás na [email protected] a přiložte následující:
- Kód – Důkaz konceptu demonstrující problém.
- Popis – Důkladné vysvětlení chyby a jejího potenciálního dopadu.
- Jméno nebo přezdívka (volitelné) – Pokud chcete být uvedeni na našem seznamu dříve nahlášených chyb.
Pokud to považujete za citlivou záležitost, poskytneme vám instrukce k nastavení šifrovaného kanálu v aplikaci Signal.
Plné podmínky
Vyhrazujeme si právo určit míru závažnosti i výši odměny za nahlášení.
Vyřešené zranitelnosti
Nahlášeno komunitou. Prošetřeno. Vyřešeno. Protože vaše bezpečnost není nikdy volitelná.
- Inability to cancel certain flows on pre-production firmware31. října 2025
- Fix side-channel in BIP-39 mnemonic processing when unlocked24. září 2025
- Donjon's Trezor Safe 3 evaluation12. listopadu 2024
- Missing confirmation in the ECDHSessionKey call26. listopadu 2023
- XSS in Trezor Connect legacy versions7. února 2023
- Insufficient field size check in Protobuf12. července 2021