合作|Acala 携手 Immunefi 开启 Bug 赏金计划
The following article is from Acala Land Author Karura
12月13日,Acala 携手 Immunefi 开启 BUG 赏金计划,最高奖励可得 100 万美金,首先聚焦与 Acala 先行网 —— Karura,并专注于预防以下几个方面:
交易/共识操纵
双花攻击
发行未授权资产
治理问题
未知用户对系统资产的未授权访问
阻止或修改治理或用户操作流程,生成未处理链上错误
在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等
# 赏金规则 #
Rewards by Threat Level
本次赏金计划将根据 BUG 严重程度分为以下几种奖励:
Critical: 奖励上限为10万美金,主要包含交易/共识操纵、双花攻击、发行未授权资产、治理问题、未知用户对系统资产的未授权访问。
High:奖励上限为5万美金,主要包含阻止或修改治理流程或用户操作,生成未处理链上错误。这些操作可能导致治理或用用户访问资产系统功能瘫痪。
Medium:奖励上限为1万美金,主要包含在不中断系统或用户执行任务的情况下,将链上数据置于意外状态,例如生成冗余事件、日志等。
核心漏洞涉及用户资金的直接损失、双花,或资产发行不超过 10% 的经济损失,考虑到主要的基金风险或资产的数量等综合因素,交由团队衡量。然而,最低奖励是 5 万美元。操纵或治理问题的结果是 100 万美元整。
无需添加 PoC 和修复建议,如果参与者提供将会提高奖金数量权重。
以上赏金奖励只适用于以下情况下:
该 BUG 在之前没有人提交
在未完全修复之前,不可向其他第三方公开
“ 赏金猎人 ”未利用该 BUG,其他人也未从中获利
“ 赏金猎人”在提交时没有附加条件或以此要挟
寻找问题时没有使用文件中定义不合法或禁止的活动进行
“ 赏金猎人”需在合理时间回复团队关于提交 BUG 的疑问
当重复提交BUG时,将奖励第一个提交信息完整的“ 赏金猎人”
当出现多个漏洞导致潜在问题时,将奖励第一个上报的 BUG
该漏洞存在于 Karura 的 runtime pallet 中(没有 tests,或者不在 runtime 里的模块,例如 live,可以被视为漏洞)
以上奖励由 Acala 团队直接奖励,以美元计价,以 kUSD 进行支付。
# 赏金范围 #
Assets in Scope
只有涉及到 Karura Runtime Pallets 的代码才属于赏金范围,那些不在其中(如测试)的模块,和那些正在开发中以及其他模块,都不属于赏金范围内。
Acala 所有代码都可以在 https://github.com/AcalaNetwork/ 上找到。然而,只有在赏金范围内的才可以获得奖励。
影响范围
此次奖励只在以下影响范围内,范围外的不具有奖励赢取资格:
交易/共识操纵
双花攻击
发行未授权资产
治理问题
未知用户对系统资产的未授权访问
阻止或修改治理或用户操作流程,生成未处理链上错误
在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等
Blockchain - Main Network🔗
https://github.com/AcalaNetwork/Acala
Blockchain - Open Runtime Module Library🔗
https://github.com/open-web3-stack/open-runtime-module-library
#优先奖励 #
Prioritized Vulnerabilities
以下几种是 Acala 研发团队最感兴趣的奖励类型:
智能合约和区块链
所有导致影响范围部分所述影响的项目
# 注意事项 #
Out of Scope & Rules
以下 BUG 不包含在奖励之内:
猎人已利用攻击,造成了网络影响
需要访问泄漏密钥/证书攻击
需要访问特权地址的攻击(治理、策略)
DDOS 攻击
拒绝服务攻击
垃圾邮件
任何对 Karura 资产或员工人身攻击
网络钓鱼或其他社会工程攻击 Karura 员工
以下行为将会被禁赛:
使用主网或公开测试网合约进行测试,所有测试都应该在私有测试网中进行
任何使用定价预言或第三方智能合约的测试
试图对员工和/或客户进行网络钓鱼或其他社会工程攻击
使用第三方系统和应用程序(如浏览器扩展)以及网站(如SSO提供商、广告网络)进行测试
拒绝任何服务攻击
产生大量通信量的服务的自动化测试
公开披露一份未修复的参赛 BUG
快来成为 Web3.0 DeFi 赏金猎人
赢取百万奖励!
参与平台链接:
https://immunefi.com/bounty/acala/
如果你有兴趣获得 Acala Bug 赏金,欢迎加入 Immunefi 平台。开发者请查看 Acala GitHub 或加入 Acala Discord 频道,随时咨询技术问题。
Github:https://github.com/AcalaNetwork/Acala
Discord:https://discord.gg/7StkSWeCmP
Twitter: https://twitter.com/AcalaNetwork
Medium: https://medium.com/acalanetwork
GitHub: https://github.com/AcalaNetwork
● 扫码关注 共同探索全新 DeFi 未来