Portál zabezpečení
Protože bezpečnost není volba. Je to standard.
Připojte se do programu Trezor Bug Bounty
Pomozte nám zabezpečit budoucnost self‑custody. Nahlašte zranitelná místa a získejte odměny. Řiďte se těmito pravidly:
Jednejte v dobré víře k ochraně údajů uživatelů i společnosti.
Dejte nám čas na opravu problému před jeho zveřejněním.
Vyhněte se jakémukoli podvodu či újmě během svého výzkumu.
Relevantní témata
Trezor zařízení a jeho Firmware
- Extrakce nebo vkládání seedu
- Obcházení PIN kódu
- Obcházení uživatelského potvrzení
- Extrakce soukromého klíče
- Fyzické útoky a útoky na dodavatelský řetězec
Tato kategorie je zásadní, protože Trezor je v našem modelu hrozeb konečným bodem zabezpečení.
Aplikace Trezor Suite a Trezor Connect
- Cross-site scripting (XSS)
- Knihovny třetích stran a útoky na dodavatelský řetězec
- Zranitelnosti v sekcích tradingu nebo stakingu
Blockbook a další backendová infrastruktura
- Zneužití serveru Blockbook
- Nesprávné nastavení infrastruktury backendu
Trezor.io
- Cross-site scripting (XSS)
- Knihovny třetích stran a útoky na dodavatelský řetězec
- Chybná správa přístupů
- Zveřejnění citlivých dat
- SQL injection
- Špatná konfigurace serveru
- Manipulace s platbami nebo objednávkami
Jakékoli jiné problémy nezmíněné výše a zároveň nevyloučené v plných podmínkách.
Další informace v plných podmínkáchPlán odměn
Třída zranitelnosti
Odměna
Nízký
$0 – $2 000
Střední
$250 – $5 000
Vysoký
$500 – $10 000
Kritické
$1 000 – $100 000*
Výše odměny závisí na produktu a závažnosti. Vyhrazujeme si právo určit závažnost i nárok na odměnu.
*V mimořádně katastrofických případech není stanoven žádný horní limit.
Další informace v plných podmínkáchJak to nahlásit
Kontaktujte nás na [email protected] a přiložte následující:
- Kód – Důkaz konceptu demonstrující problém.
- Popis – Důkladné vysvětlení chyby a jejího potenciálního dopadu.
- Jméno nebo přezdívka (volitelné) – Pokud chcete být uvedeni na našem seznamu dříve nahlášených chyb.
Pokud to považujete za citlivou záležitost, poskytneme vám instrukce k nastavení šifrovaného kanálu v aplikaci Signal.
Plné podmínky
Vyhrazujeme si právo určit závažnost i nárok na odměnu.
Vyřešené zranitelnosti
Nahlášeno komunitou. Prošetřeno. Vyřešeno. Protože vaše bezpečnost není nikdy volitelná.
- Inability to cancel certain flows on pre-production firmware31. října 2025
- Fix side-channel in BIP-39 mnemonic processing when unlocked24. září 2025
- Donjon's Trezor Safe 3 evaluation12. listopadu 2024
- Missing confirmation in the ECDHSessionKey call26. listopadu 2023
- XSS in Trezor Connect legacy versions7. února 2023
- Insufficient field size check in Protobuf12. července 2021