参与 Parallel 漏洞赏金计划，奖励高达 3000 美元！

Parallel 作为一个 DeFi 超级 Dapp 协议，已拥有六款正在运行的 DeFi 产品，保障平台以及用户资产的安全是极其重要的。因此，在安全审计方面，Parallel 与业内几家顶级的审计机构合作，以确保最基础的平台安全性。

相关审计报告可查看：

https://github.com/parallel-finance/auditing-report

在平台安全问题上，用户体验是感知最深的环节，因此 Parallel 也非常注重用户的日常使用反馈，以确保能够及时有效的解决任何产品中突发的问题，而这对于避免出现严重的安全事故也是一项不可忽略的工作。

对此，Parallel 面向社区用户开展了「Bug Bounty」的长期活动,用户可在官网首页底部看到「Bug Bounty」活动版块。用户在使用过程中如发现对平台安全存在威胁的漏洞时可及时在此处提交，经过团队技术人员的审核会对所提交的 Bug 分级处理，如果被提供的 Bug 确属活动规则范围内的并对平台安全有影响，提交 Bug 的用户可能会获得 $350-$3000 的奖励，当然不是所有提交的 Bug 都会获得奖励，详细规则请阅读下文：

❖提交 Bug 报告前请务必仔细阅读下文内容。

根据所提交 Bug 的影响程度分为四级奖励

• 顶级-奖励可达 $3,000 

• 高 - 奖励可达 $2,000 

• 中 - 奖励最高 $750 

• 低 - 奖励最高 $350

关于 Parallel 的 Bug Bounty Program（漏洞赏金计划），奖励根据 Bug 的影响进行分配。所有网络/应用程序的错误报告最好附带一个最终影响我们 Parallel 平台的 PoC（proof of concept，概念论证），才能考虑是否提交人能获得奖励。不接受解释和陈述作为 PoC 并且论证须包含代码验证。奖励由 Parallel 团队在审核后直接发放。

关键 Substrate 漏洞的奖励上限为 3,000 美元，可以通过 Token 支付。Bug 赏金计划的所有其他奖励均根据内部建立的团队标准进行调整。这需要考虑 Bug 的可利用性、造成的影响以及 Bug 自身出现的可能性，这些因素都需要综合考虑进用户所提交的 Bug 报告中。团队将在审查后分配严重性级别，并确定发现的错误的公允价值。如果你是通过表单链接提交问题的第一方，并且作为赏金猎人在 Parallel 团队确认之前，不会向其他三方或公众披露 Bug，奖励才会支被付。

Substrate：经过我们团队的审核，此漏洞赏金计划仅接受以下影响。所有其他影响均不被视为范围内。漏洞赏金计划的重点是防止：

• 交易/共识操纵

• Double-spending

• 未经授权的 Token 铸造

• 治理妥协

• 获取可能导致对系统或用户资产未经授权进行访问的身份

• 阻止或修改治理或用户执行任务的流程，产生未处理的链上错误

• 在不中断系统或用户执行任务的情况下将链上数据置于意外状态，例如生成冗余事件、日志等

• 网络无法确认新交易 - 网络完全关闭

• 直接损失资金或永久冻结资金

👉 超出范围的条款不限于：

此漏洞赏金计划的奖励不包括以下 Bug：

• 提交 Bug 者利用自己的攻击，导致损害

• 需要访问泄露密钥/凭证的攻击

• 需要访问特权地址的攻击 (governance, strategist)

• DDOS 攻击

• 拒绝服务攻击

• 垃圾邮件

• 任何针对 Parallel 资产或员工的人身攻击

• 针对我们团队的网络钓鱼或其他社交网络的攻击

网站和应用程序的 Bug 不包括：

• 没有任何证明或演示的理论漏洞

• 需要物理接触受害者设备的攻击

• 需要访问受害者本地网络的攻击

• 反射的纯文本注入例如:url参数、路径等。这并不排除带有或不带有 javascript 的反射 HTML injection，也不排除持久的纯文本注入

• Self-XSS

• 使用 OCR 绕过验证码，无影响演示

• 没有修改安全影响状态的CSRF(例如:注销CSRF)

• 缺少 HTTP 安全头(如X-FRAME-OPTIONS)或 cookie 安全标志(如“httponly”)，未显示影响

• 服务器端非机密信息泄露，如IP、服务器名称和大多数堆栈跟踪

• 仅用于列举或确认用户或 tenants 存在的漏洞

• 需要非提示的应用内用户操作的漏洞，不属于正常应用工作流的一部分

• 缺乏 SSL/TLS Best practices

• DDoS漏洞

• 功能请求

• 与前端相关的问题，没有具体影响和 PoC 

• 没有具体影响和 PoC 的 Best practices 问题

• 主要由浏览器/插件缺陷导致的漏洞

• 非敏感api密钥泄露，例如: etherscan、Infura、Alchemy等。

• 任何需要利用浏览器漏洞产生的漏洞。例如: CSP bypass

👉 此 Bug 赏金计划禁止以下活动:

• 使用 mainnet 或公共 testnet 合约进行的任何测试；所有的测试都应该在私有测试网上进行

• 任何使用价格预言机或第三方智能合约的测试

• 试图对我们的员工和/或客户进行网络钓鱼或其他社会性攻击

• 任何第三方系统和应用程序(例如浏览器扩展)以及网站(例如SSO提供商、广告网络)的测试

• 任何 denial of service attacks

• 对产生大量流量的服务进行自动化测试

• 公开披露赏金活动中未修补的漏洞

主网络，开放运行时模块：https://github.com/parallel-finance/parallel

Parallel 团队保留最终决定权，并将根据严重性自行决定漏洞是否有资格获得奖励以及奖励金额。条款和计划期限可能随时更改，并不做另行通知。通过提交 Bug，自动默认你已同意受此程序规则的约束。

只有在以下情况下才能提供奖励:

• 之前没有被提交过这个 Bug。

• 赏金猎人不能向其他人三方或公众透露这个 Bug，直到 Parallel 团队修复它。

• 赏金猎人没有利用漏洞，也不允许任何人从中获利。

• 赏金猎人提交了一个 Bug 后，没有任何附加条件或威胁。

• 调查没有使用不合适的方法或禁止的行为提交 Bug。

• 赏金猎人应该在合理的时间内回答我们关于被提交 Bug 的附加问题(if they follow)。

• 当重复的 Bug 报告出现时，如果第一个提交人提供了足够的信息，我们只奖励第一个提交人。

• 当多个漏洞是由一个潜在问题引起的，我们将仅奖励第一个提交 Bug 的人。

• 该漏洞是在运行时 pallet 中发现的 (不能是在测试环境，或不在运行时的模块，例如 live，不能被认为是漏洞)

基于以下严重性等级，根据漏洞的影响分配奖励:

• 严重：交易/共识操纵、重复消费、未经授权的代币铸造、监管漏洞、获取身份信息，从而导致对系统或用户资产的未经授权的访问。

• 高：阻止或修改治理流程或用户执行他们的任务，生成未处理的链上错误。这些行为可能导致阻止用户或治理访问他们的资产或执行系统功能。

• 中：将链上数据置于意外状态，而不中断系统或用户执行其任务，例如生成冗余事件、日志等。

活动内容还可在此查看：

对以上活动条款如果仍有疑问，请进入下方社群咨询。

Parallel Finance官方社区

扫码加入中文社区，了解项目最新动态

Parallel App：https://app.parallel.fi/

Discord：https://discord.gg/WX7PSz7RsP

• https://parallel.fi/career.html

• 请发送简历至：team@parallel.fi