mov正在緊鑼密鼓的進行最後的上線階段,比原團隊正在進行不停的進行功能測試和bug修改,但使用者的安全無小事,除了團隊的努力,我們呼籲所有的賞金獵人來幫助我們找出並反饋mov整個系統中的bug,快來尋找 bug 並獲取獎勵吧,詳情請參見以下細則:
賞金範圍
mov協議的安全性與完備性(開原始碼審計)
ofmf跨鏈合約安全性檢測(合約程式碼審計)
伺服器安全(黑盒測試,節點和api安全)
移動端終端安全(黑盒測試,android,ios)
賞金須知
賞金須知
必須是新發現的,之前沒有被反饋過的安全漏洞;
對於鏈程式碼審計,找出的安全漏洞必須是vapor github上程式碼的一部分,而不是其他第三方程式碼;
您可以在測試網或者啟動一個私有鏈來尋找 bug。請尊重主網路,不要攻擊它;
對於黑盒測試,請在測試伺服器或者tycoin上進行測試,不要攻擊正式釋出的軟體;
vapor專案的員工、承包商以及其它與比原鏈基金會或其任何子公司有業務關係者不能參加該活動;
公開披露漏洞將失去獲得賞金的資格;
bytom團隊保留所有與獎勵相關條款的最終決定權;
獎勵細則
獎勵細則
漏洞發現獎勵
我們根據漏洞的威脅程度來決定獎勵的金額,漏洞威脅程度分為:嚴重,高危,中危和低危
嚴重漏洞 獎勵10000 - 20000 btm
嚴重的漏洞是指,發生在核心繫統業務系統,可造成大面積影響的。包括但不限於:
mov協議:
雙花、共識層漏洞
惡意銷燬他人資金
通訊層以較小的代價大面積ddos其他全節點
不投入資金的情況下,透過底層的漏洞操縱市場價格
錢包安全:
錢包私鑰洩露
簽名偽造 (不需獲取私鑰但成功對交易進行簽名)
高危漏洞 2000 - 10000 btm
mov協議:
透過全節點程式入侵伺服器獲取控制許可權
涉及金錢的越權操作、支付邏輯繞過(需最終利用成功)
治理和風控漏洞:包括資產組合潛在的關聯風險、協議治理機制缺陷、利用經濟系統惡意操縱自由市場或沽空、繞過抵押進行無成本攻擊等等
bockcenter安全
透過介面入侵伺服器獲取控制許可權,無資金投入的情況下操縱價格引起市場波動
篡改交易資訊
ofmf跨鏈合約安全:
1、透過合約漏洞,造成跨鏈資產的損失
ofmf 伺服器安全:
1、影響 ofmf 跨鏈, 導致跨鏈邏輯故障(比如跨到了非對應的地址)
中危漏洞 500 - 2000 btm
普通越權操作。包括但不限於繞過限制修改使用者資料、執行使用者操作等
拒絕服務漏洞。包括但不限於導致網站應用拒絕服務等造成影響的遠端拒絕服務漏洞等
本地儲存的敏感認證資訊洩露,需能做出有效利用
低危漏洞 100 - 500 btm
本地拒絕服務漏洞。包括但不僅限於客戶端本地拒絕服務(解析檔案格式、網路協議產生的崩潰),由普通應用許可權引起的問題等
普通訊息洩露。包括但不限於 web 路徑遍歷、系統路徑遍歷、目錄瀏覽等
漏洞需要提供:
漏洞描述;
可復現的攻擊手法,如測試程式碼、指令碼和詳細說明。
漏洞提交
詳細的測試範圍和漏洞提交見:
https://www.bugx.io/programs_details/18.html