Moonbeam 漏洞赏金计划,最高奖金 100 万美金
Moonbeam Bug Program 漏洞赏金计划
Moonbeam Bug Program 漏洞赏金计划主要针对 Moonriver 和 Moonbeam 平行链,以及生态内的 DApps,主要目的是为了防止:本金的盗窃和冻结、未结算收益的盗窃和冻结、治理资金的盗窃、治理活动的中断、网络关闭、网站瘫痪、用户数据泄露、用户数据删除、未经授权访问敏感网页。
参与须知:网站或应用程序的漏洞报告需附带PoC才有机会获奖。经团队决定,智能合约的漏洞报告可能需要附带一个PoC,目的是为确定该漏洞的确存在,必要情况下还能计算该漏洞被利用后可能造成的损害程度。关键级漏洞的上限是经济损失的10%,主要考量因素除了公关和品牌影响之外,还有资金影响。关键级漏洞的下限是75000美元。
参与入口:https://bugs.immunefi.com/
KYC 需求:Moonbeam 基金会要求所有赏金计划的参与者进行 KYC 验证,提交身份证扫描件和自拍照。
赏金支付:赏金由 Moonbeam 基金会直接支付,支付形式为USDT 或 USDC。
注意:同时适用于 Moonbeam 和 Moonriver 网络的漏洞报告将视为同一份报告,只支付一次赏金。
赏金分类依据
赏金分类的依据是基于 Immunefi 漏洞严重程度分类系统的漏洞影响。Immunefi 是一个用于智能合约和加密货币项目的漏洞赏金平台。其漏洞严重程度分类系统是一个简化的 5 级标准,将漏洞按严重程度分为 5 类:关键级、高级、中级、低级、零级漏洞。其对网站与应用程序、智能合约与区块链有单独的标准,内容包含漏洞后果、所需特权、漏洞成功利用的可能性。该平台使安全研究人员能够审查代码、披露漏洞并获得报酬,并允许公司利用领先的安全人才来保护他们的项目。
赏金分类
赏金分为智能合约、区块链、网络和应用程序四个类别。各类别奖金分别为以下级别:
智能合约和区块链类奖金共有4个级别:
赏金高达 1 百万美元的关键级;
7.5 万美元的高级;
2 万美元的中级;
5 千美元的低级。
网络和应用程序类奖金共有4个级别:
赏金高达 1.5 万美元的关键级;
7500 美元的高级;
2500 美元的中级;
1000 美元的低级。
范围内的资产
Kusama 上的 Moonriver 平行链和 Polkadot 上的 Moonbeam 平行链都包括在资产范围内。
点击此链接 https://github.com/PureStake/,获取 Moonbeam 的所有源代码。
漏洞赏金计划范围内的影响
1、智能合约和区块链方面,本漏洞赏金计划接受的影响仅包含:因永久冻结或直接盗窃导致的用户资金损失;治理资金的损失;无人认领的收益的盗窃;冻结无人认领的收益;至少持续15分钟的资金暂时冻结;暂时无法调用智能合约;网络关闭;智能合约手续费流失;由于底层平行链内的缺陷或漏洞,智能合约无法交付承诺的收益;治理活动中断;操纵投票;不正确的投票行动;绕过外在验证(Origin 绕过或升级);违反 Runtime 共识(将无效区块纳入规范)。
2、网络和应用程序方面,本漏洞赏金计划接受的影响仅包含:用户数据泄漏;用户数据删除;通过修改地址重新引导资金;用户欺骗其他用户;通过逻辑攻击和对不正常的服务进行慢速滚动攻击方式拒绝服务。
Moonbeam GitHub repo
区块链 - Moonbeam
https://github.com/PureStake/moonbeam区块链 - Nimbus
https://github.com/PureStake/nimbus区块链 - Crowdloan Rewards
https://github.com/PureStake/crowdloan-rewards区块链 - Frontier
https://github.com/paritytech/frontier区块链 - RPC 基础设施 (Moonriver)
https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1285.json区块链 - RPC 基础设施 (Moonbase Alpha)
https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1287.json区块链 - RPC 基础设施 (Moonbeam)
https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1287.json网络/应用程序
https://apps.moonbeam.network网络/应用程序
https://crowdloan.moonbeam.foundation/网络/应用程序
https://moonbeam.network/网络/应用程序
https://moonbeam.foundation/
优先考虑的漏洞
1、智能合约和区块链方面,优先考虑重入性;逻辑错误(包括用户认证错误);不考虑 Solidity/EVM 细节(包括整数过流/欠流和未处理的异常);EVM/自定义预编译的漏洞;托管信任/依赖漏洞(包括可组合性漏洞在内);预言机故障/操控;新的治理攻击;经济/金融攻击(包括闪光贷款攻击);拥堵和可扩展性(包括手续费用尽、区块填充、和易受抢跑攻击的影响);共识失败;签名的可修改性、易受中继(relay)攻击的影响、薄弱的随机性、薄弱的加密技术等密码学问题;易受区块时间戳操控的影响;缺少访问控制/无保护的内部或调试接口;
2、网站和应用程序方面,优先考虑远程代码执行;托管信任/依赖性漏洞;垂直特权升级;XML外部实体注入;SQL注入;LFI/RFI;横向特权升级;存储的XSS;有影响的反射性XSS;有影响的CSRF;直接引用对象;内部SSRF;会话固定化;不安全的反序列化;DOM XSS;SSL错误配置;SSL/TLS问题(弱加密,设置不当);URL重定向;点击劫持(必须附带PoC);误导性的Unicode文本(例如,使用从右到左的覆盖字符)。
注意,以下漏洞不在本漏洞赏金计划范围内
报告人自己已经利用了的攻击,并导致了损失;
需要访问泄露的密钥/凭证的攻击;
需要访问特权地址的攻击(治理、战略);
破解链接劫持不在范围内。
具体来说,分为以下两个方面:
1、智能合约和区块链方面,不接收的漏洞包含:
第三方预言机提供的不正确数据;
不排除预言机操控/闪电贷款攻击;
基本的经济治理攻击(如51%攻击);
缺少流动性;
最佳实践批评;
Sybil 攻击;
集中化风险。
2、网站和应用程序方面,不接收的漏洞包含:
没有任何证明或演示的理论性漏洞;
内容欺骗/文本注入问题;
自我 XSS;
使用 OCR 绕过验证码的问题;
没有安全影响的 CSRF(注销 CSRF,改变语言等);
缺少 HTTP 安全标头(如X-FRAME-OPTIONS)或 cookie 安全标志(如“httponly”);
服务器端的信息披露,如 IP、服务器名称和大多数堆栈痕迹;
用来列举或确认用户或租户存在的漏洞;
需要不可能的用户操作的漏洞;
URL 重定向(除非与另一个漏洞结合,产生更严重的漏洞);
缺少 SSL/TLS 的最佳实践;
DDoS 漏洞;
需要来自组织内部的特权访问的攻击;
电子邮件域名的 SPF 记录;
功能请求;
最佳实践。
注意!本漏洞赏金计划禁止以下活动:
使用主网或公开测试网合约进行的测试(测试都应该在私人测试网上进行);
使用预言机或第三方智能合约进行的测试;
试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击;
与第三方系统和应用程序(如浏览器插件)以及网站(如 SSO 供应商,广告网络)的测试;
任何服务攻击的否定;
对产生大量流量的服务进行的自动测试;
公开披露禁止的赏金中未修补的漏洞。
关于Moonbeam
Moonbeam 是波卡(Polkadot)网络中与以太坊兼容的智能合约平台,可实现轻松构建原生的互操作性去中心化应用。以太坊兼容特性允许开发者以最少的更改将现有的 Solidity 智能合约和DApp前端部署到 Moonbeam。如同其在 Kusama 上的姐妹网 Moonriver 一样,Moonbeam 将受益于 80 多个已上线网络的 DApp 和协议,生态开发者和使用者继续拓展Moonbeam。作为在波卡(Polkadot)网络上的平行链,Moonbeam 将受益于波卡(Polkadot)中继链的共享安全性和链接波卡(Polkadot)其他链的互操作优势。
如需了解更多信息,请访问: https://moonbeam.network/
关于我们
One Block+ 是中国最大的 Substrate 技术开发者社区,也是 Parity 在亚洲唯一的运营合作伙伴,波卡生态早期项目的创始人、CTO、核心开发者大部分都来自 One Block+ 社区。
Twitter: https://twitter.com/OneBlock_
Medium: https://medium.com/@OneBlockplus
Telegram: https://t.me/oneblock_dev
Discord: https://discord.gg/z2XZZWEcaa
Bilibili: https://space.bilibili.com/1650224419
YouTube: https://www.youtube.com/channel/UCWo2r3wA6brw3ztr-JmzyXA
Moonbeam 漏洞赏金计划,最高奖金 100 万美金相关推荐
- 苹果全面开放漏洞奖励计划:最高100万美元等你拿
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 刚刚,苹果公司发布"苹果安全漏洞奖励计划",并表示如果研究人员决定捐赠奖励金,则公司会追加同等奖励金并捐赠给符合条 ...
- OpenAI 推出漏洞赏金计划,最高奖励 2 万美元;京东零售开启 5 年来最大组织变革;Django 4.2|极客头条
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 梦依丹 出品 | CSDN(ID:CSDNnews ...
- Qtum量子链漏洞赏金计划正式开启
本次Qtum量子链赏金计划为了更好的借助社区的力量参与到QTUM主网及周边应用的开发建设中,让QTUM持续地保持安全.高效的运行,同时能满足更多用户的需求. Bug分级与奖励体系 1.如果已经有类似的 ...
- Meta扩大漏洞赏金计划,报告「数据搜刮」首次纳入其中
Meta(原Facebook)正在扩大它的漏洞赏金计划,将报告数据搜刮的研究人员纳入其中.Meta在一篇博文中表示,Meta是业内首个专门针对抓取活动启动悬赏的公司. 数据泄露丑闻不断 安全工程经理D ...
- 如何启动自己的漏洞赏金计划
网络安全行业存在技能差距已经不是什么秘密了. 阅读任何有关全球安全领域招聘的报告,唯一的区别是短缺的规模. 根据去年的<全球信息安全劳动力研究>(GISWS),到2022年,全球缺口预计将 ...
- 谷歌发布 V8 Exploit 漏洞奖励计划,奖金加倍
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今日,谷歌 Chrome 漏洞奖励计划宣布称,将为演示 V8 (Chrome 的 JavaScript 引擎)可利用性的漏洞报告发放额 ...
- 谷歌扩展漏洞赏金计划
原文地址:https://www.hackeye.net/securityevent/15658.aspx 谷歌周三宣布扩展漏洞赏金计划,以减少滥用本平台检测系统缺陷的情况. 自2010年以来,谷歌的 ...
- 清华副校长薛其坤将任南科大校长!曾考研3次读博7年,50岁时发诺奖级论文,获100万美金奖金
本文转载自:科研大匠 11月19日,据澎湃新闻记者从数个独立信源处确认,现年57岁的清华大学党委常委.副校长薛其坤将任南方科技大学校长(以下简称"南科大"). 南科大官网显示,现任 ...
- 总奖金100万!大数据赛事来了
Datawhale赛事 主办方:江苏省工业和信息化厅.无锡市人民政府 大赛主题 SEED2021 汇数据价值 创数字未来 围绕车联网.医疗卫生.智慧水利.数字文娱等领域,深度挖掘省市务数据价值,探索 ...
最新文章
- Apache Ignite——集合分布式缓存、计算、存储的分布式框架
- 21、 TRUNCATE:清空表记录
- Unix时代的开创者Ken Thompson
- Windows 10 IoT Core 17101 for Insider 版本更新
- React开发(124):ant design学习指南之form中的属性isFieldTouched
- 超级管理器Android,超级文件管理器app
- HDU1026 Ignatius and the Princess I(深度优先搜索)
- 生意场逃不开三个关键词:留存、转化、数据
- mysql动态变量查询_使用php变量创建动态mysql查询
- js里获取表单输入值进行比对的方法
- 使用 Ajax 上传文件
- bootice添加linux_用BOOTICE工具在U盘上实现SYSLINUX与GRUB4DOS双启动 - 图文
- 国产系统为什么用linux,为什么国产操作系统不用Unix,而是集体用Linux
- LeetCode-729. 我的日程安排表 I
- Bootstrap网站模板
- word2vec损失函数
- 开天辟地第一人---盘古
- android 开机设置向导
- java 基础练习(1-5)
- 如何做好正式交付使用前的项目演示