查看原文
其他

合作|Acala 携手 Immunefi 开启 Bug 赏金计划

PolkaWorld 2022-03-30

The following article is from Acala Land Author Karura

目前,众多领先的 DeFi 项目已开始联合 Immunefi BUG 赏金平台,其中包括 Synthetix、SushiSwap 等,Immunefi BUG 赏金平台正保障超过 200 亿美元的用户资金。Acala 作为波卡生态内 DeFi 生态中心,安全始终放在首位,不仅在此前联合多家安全审计机构多轮代码审核,也与安全社区展开进一步的合作。



12月13日,Acala 携手 Immunefi 开启 BUG 赏金计划,最高奖励可得 100 万美金,首先聚焦与 Acala 先行网 —— Karura,并专注于预防以下几个方面:

  • 交易/共识操纵

  • 双花攻击

  • 发行未授权资产

  • 治理问题

  • 未知用户对系统资产的未授权访问

  • 阻止或修改治理或用户操作流程,生成未处理链上错误

  • 在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等

# 赏金规则 #

Rewards by Threat Level

本次赏金计划将根据 BUG 严重程度分为以下几种奖励:


Critical: 奖励上限为10万美金,主要包含交易/共识操纵、双花攻击、发行未授权资产、治理问题、未知用户对系统资产的未授权访问。



High:奖励上限为5万美金,主要包含阻止或修改治理流程或用户操作,生成未处理链上错误。这些操作可能导致治理或用用户访问资产系统功能瘫痪。


Medium:奖励上限为1万美金,主要包含在不中断系统或用户执行任务的情况下,将链上数据置于意外状态,例如生成冗余事件、日志等。


核心漏洞涉及用户资金的直接损失、双花,或资产发行不超过 10% 的经济损失,考虑到主要的基金风险或资产的数量等综合因素,交由团队衡量。然而,最低奖励是 5 万美元。操纵或治理问题的结果是 100 万美元整。


无需添加 PoC 和修复建议,如果参与者提供将会提高奖金数量权重。


以上赏金奖励只适用于以下情况下:

  • 该 BUG 在之前没有人提交

  • 在未完全修复之前,不可向其他第三方公开

  • “ 赏金猎人 ”未利用该 BUG,其他人也未从中获利

  • “ 赏金猎人”在提交时没有附加条件或以此要挟

  • 寻找问题时没有使用文件中定义不合法或禁止的活动进行

  • “ 赏金猎人”需在合理时间回复团队关于提交 BUG 的疑问

  • 当重复提交BUG时,将奖励第一个提交信息完整的“ 赏金猎人”

  • 当出现多个漏洞导致潜在问题时,将奖励第一个上报的 BUG

  • 该漏洞存在于 Karura 的 runtime pallet 中(没有 tests,或者不在 runtime 里的模块,例如 live,可以被视为漏洞)


以上奖励由 Acala 团队直接奖励,以美元计价,以 kUSD 进行支付。


# 赏金范围 #

Assets in Scope


只有涉及到 Karura Runtime Pallets 的代码才属于赏金范围,那些不在其中(如测试)的模块,和那些正在开发中以及其他模块,都不属于赏金范围内。


Acala 所有代码都可以在 https://github.com/AcalaNetwork/ 上找到。然而,只有在赏金范围内的才可以获得奖励。


影响范围


此次奖励只在以下影响范围内,范围外的不具有奖励赢取资格:

  • 交易/共识操纵

  • 双花攻击

  • 发行未授权资产

  • 治理问题

  • 未知用户对系统资产的未授权访问

  • 阻止或修改治理或用户操作流程,生成未处理链上错误

  • 在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等

Blockchain - Main Network🔗

https://github.com/AcalaNetwork/Acala

Blockchain - Open Runtime Module Library🔗

https://github.com/open-web3-stack/open-runtime-module-library


#优先奖励 #

Prioritized Vulnerabilities

以下几种是 Acala 研发团队最感兴趣的奖励类型:

  • 智能合约和区块链

  • 所有导致影响范围部分所述影响的项目


# 注意事项 #

Out of Scope & Rules

以下 BUG 不包含在奖励之内:

  • 猎人已利用攻击,造成了网络影响

  • 需要访问泄漏密钥/证书攻击

  • 需要访问特权地址的攻击(治理、策略)

  • DDOS 攻击

  • 拒绝服务攻击

  • 垃圾邮件

  • 任何对 Karura 资产或员工人身攻击

  • 网络钓鱼或其他社会工程攻击 Karura 员工


以下行为将会被禁赛:

  • 使用主网或公开测试网合约进行测试,所有测试都应该在私有测试网中进行

  • 任何使用定价预言或第三方智能合约的测试

  • 试图对员工和/或客户进行网络钓鱼或其他社会工程攻击

  • 使用第三方系统和应用程序(如浏览器扩展)以及网站(如SSO提供商、广告网络)进行测试

  • 拒绝任何服务攻击

  • 产生大量通信量的服务的自动化测试

  • 公开披露一份未修复的参赛 BUG



快来成为 Web3.0 DeFi 赏金猎人

赢取百万奖励!

参与平台链接:

https://immunefi.com/bounty/acala/


如果你有兴趣获得 Acala Bug 赏金,欢迎加入 Immunefi 平台。开发者请查看 Acala GitHub 或加入 Acala Discord 频道,随时咨询技术问题。

  • Github:https://github.com/AcalaNetwork/Acala

  • Discord:https://discord.gg/7StkSWeCmP


官网: https://acala.network

Twitter: https://twitter.com/AcalaNetwork

Medium: https://medium.com/acalanetwork

GitHub: https://github.com/AcalaNetwork

● 扫码关注 共同探索全新 DeFi 未来 

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存