合作|Acala 携手 Immunefi 开启 Bug 赏金计划
目前,众多领先的 DeFi 项目已开始联合 Immunefi BUG 赏金平台,其中包括 Synthetix、SushiSwap 等,Immunefi BUG 赏金平台正保障超过 200 亿美元的用户资金。Acala 作为波卡生态内 DeFi 生态中心,安全始终放在首位,不仅在此前联合多家安全审计机构多轮代码审核,也与安全社区展开进一步的合作。
12月13日,Acala 携手 Immunefi 开启 BUG 赏金计划,最高奖励可得 100 万美金,首先聚焦与 Acala 先行网 —— Karura,并专注于预防以下几个方面:
-
交易/共识操纵
-
双花攻击
-
发行未授权资产
-
治理问题
-
未知用户对系统资产的未授权访问
-
阻止或修改治理或用户操作流程,生成未处理链上错误
-
在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等
# 赏金规则 #
Rewards by Threat Level
本次赏金计划将根据 BUG 严重程度分为以下几种奖励:
Critical: 奖励上限为10万美金,主要包含交易/共识操纵、双花攻击、发行未授权资产、治理问题、未知用户对系统资产的未授权访问。
High:奖励上限为5万美金,主要包含阻止或修改治理流程或用户操作,生成未处理链上错误。这些操作可能导致治理或用用户访问资产系统功能瘫痪。
Medium:奖励上限为1万美金,主要包含在不中断系统或用户执行任务的情况下,将链上数据置于意外状态,例如生成冗余事件、日志等。
核心漏洞涉及用户资金的直接损失、双花,或资产发行不超过 10% 的经济损失,考虑到主要的基金风险或资产的数量等综合因素,交由团队衡量。然而,最低奖励是 5 万美元。操纵或治理问题的结果是 100 万美元整。
无需添加 PoC 和修复建议,如果参与者提供将会提高奖金数量权重。
以上赏金奖励只适用于以下情况下:
-
该 BUG 在之前没有人提交
-
在未完全修复之前,不可向其他第三方公开
-
“ 赏金猎人 ”未利用该 BUG,其他人也未从中获利
-
“ 赏金猎人”在提交时没有附加条件或以此要挟
-
寻找问题时没有使用文件中定义不合法或禁止的活动进行
-
“ 赏金猎人”需在合理时间回复团队关于提交 BUG 的疑问
-
当重复提交BUG时,将奖励第一个提交信息完整的“ 赏金猎人”
-
当出现多个漏洞导致潜在问题时,将奖励第一个上报的 BUG
-
该漏洞存在于 Karura 的 runtime pallet 中(没有 tests,或者不在 runtime 里的模块,例如 live,可以被视为漏洞)
以上奖励由 Acala 团队直接奖励,以美元计价,以 kUSD 进行支付。
# 赏金范围 #
Assets in Scope
只有涉及到 Karura Runtime Pallets 的代码才属于赏金范围,那些不在其中(如测试)的模块,和那些正在开发中以及其他模块,都不属于赏金范围内。
Acala 所有代码都可以在 https://github.com/AcalaNetwork/ 上找到。然而,只有在赏金范围内的才可以获得奖励。
影响范围
此次奖励只在以下影响范围内,范围外的不具有奖励赢取资格:
-
交易/共识操纵
-
双花攻击
-
发行未授权资产
-
治理问题
-
未知用户对系统资产的未授权访问
-
阻止或修改治理或用户操作流程,生成未处理链上错误
-
在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等
Blockchain – Main Network
https://github.com/AcalaNetwork/Acala
Blockchain – Open Runtime Module Library
https://github.com/open-web3-stack/open-runtime-module-library
#优先奖励 #
Prioritized Vulnerabilities
以下几种是 Acala 研发团队最感兴趣的奖励类型:
-
智能合约和区块链
-
所有导致影响范围部分所述影响的项目
# 注意事项 #
Out of Scope & Rules
以下 BUG 不包含在奖励之内:
-
猎人已利用攻击,造成了网络影响
-
需要访问泄漏密钥/证书攻击
-
需要访问特权地址的攻击(治理、策略)
-
DDOS 攻击
-
拒绝服务攻击
-
垃圾邮件
-
任何对 Karura 资产或员工人身攻击
-
网络钓鱼或其他社会工程攻击 Karura 员工
以下行为将会被禁赛:
-
使用主网或公开测试网合约进行测试,所有测试都应该在私有测试网中进行
-
任何使用定价预言或第三方智能合约的测试
-
试图对员工和/或客户进行网络钓鱼或其他社会工程攻击
-
使用第三方系统和应用程序(如浏览器扩展)以及网站(如SSO提供商、广告网络)进行测试
-
拒绝任何服务攻击
-
产生大量通信量的服务的自动化测试
-
公开披露一份未修复的参赛 BUG
快来成为 Web3.0 DeFi 赏金猎人
赢取百万奖励!
参与平台链接:
https://immunefi.com/bounty/acala/
如果你有兴趣获得 Acala Bug 赏金,欢迎加入 Immunefi 平台。开发者请查看 Acala GitHub 或加入 Acala Discord 频道,随时咨询技术问题。
-
Github:https://github.com/AcalaNetwork/Acala
-
Discord:https://discord.gg/7StkSWeCmP
比推快讯
更多 >>- 巴菲特:现在没有足够有吸引力的投资标的,伯克希尔本季度末持有的现金或增至 2000 亿美元
- 巴菲特:伯克希尔的主要投资将永远在美国
- 巴菲特:美债或美元没有真正的替代品
- 动态模块化服务平台Crestal完成200万美元Pre-Seed融资,MH Ventures等参投
- Bitfinex 首席技术官否认勒索软件组织数据泄露的谣言
- Jack Dorsey向非营利组织OpenSats捐赠2100万美元
- 特斯拉网站新增狗狗币作为支付方式
- 孙宇晨地址向 Swell Network 存入 12 万枚 eETH,价值 3.76 亿美元
- BTC-e运营商Alexander Vinnik承认共谋洗钱罪
- 美财长耶伦:基本面仍然指向通胀放缓
- Q1 Coinbase 国际交易所永续期货名义合约交易量超 760 亿美元
- 风投Q1向加密和区块链公司投资 24.9 亿美元,环比增长 29%
- 马斯克:需要对我们的国家债务采取行动,否则美元将一文不值
- MakerDAO计划引入两种新代币NewStable和NewGovToken
- 盗走1,155枚WBTC的团伙已将代币全部售出,换成 22,960 ETH
- LayerZero建议女巫地址主动报告,截止日期是 5 月 17 日
- 链上数据API开发商Airstack完成400万美元种子轮融资,Red Beard Ventures领投
- 一巨鲸过去两天逢低买入1500枚BTC,价值约8825万美元
- SEC推迟对7RCC现货比特币和碳信用期货ETF做出决议
- 今日美国9只现货比特币ETF总计减持2350枚BTC,价值约 1.4亿美元
- LayerZero:将在两小时内将发布一项公告
- 盗走1155枚WBTC的地址正在将代币兑换成ETH
- 数据:约74%的BTC在过去6个月未发生移动
- Coinbase:比特币近期走势更多地与全球市场有关
- CFTC专员:在区块链生态中部署AI给监管、风险管理、合规性等带来新的问题
- 美联储理事Michelle Bowman:仍预计利率维持在当前水平
- 两家香港资管公司持有1.12亿美元的美国现货比特币ETF
- BTC突破62000美元
比推专栏
更多 >>- 每月动态 | Web3 安全事件总损失约 9081 万美元
- 脱水大字报:牛市行情或延迟类似2016年
- 矿工日收入突破亿创纪录,比特币符文能否接力铭文?
- 获比特大陆投资且被币安首个接入的BTC L2项目BEVM有何亮点?
- 为什么这轮牛市无法复制 2021 年的山寨季?
- 独家!种子轮融资200万美金+AI叙事的项目
- IOSG Weekly Brief|MKR的涅槃重生:新公链和RWA稳定币与Spark借贷独角兽 #223
- Kusama 上的 Coretime 交易已开始,平行链时代谢幕
- 100亿美元开发投资,红杉资本入局,特斯拉要搞波大的…
- Chainlink Q1产品更新;CCIP正式进入全面可用阶段;Consensus2024来啦|Chainlink 周报
观点
项目
比推热门文章
- 巴菲特:现在没有足够有吸引力的投资标的,伯克希尔本季度末持有的现金或增至 2000 亿美元
- 巴菲特:伯克希尔的主要投资将永远在美国
- 巴菲特:美债或美元没有真正的替代品
- 动态模块化服务平台Crestal完成200万美元Pre-Seed融资,MH Ventures等参投
- Bitfinex 首席技术官否认勒索软件组织数据泄露的谣言
- Jack Dorsey向非营利组织OpenSats捐赠2100万美元
- 【比推一周Web3新闻精选】美联储维持利率不变,称通胀进展已陷入停滞;赵长鹏被判四个月监禁;香港6支比特币和以太坊现货ETF首日成交金额超8300万港元
- 特斯拉网站新增狗狗币作为支付方式
- 孙宇晨地址向 Swell Network 存入 12 万枚 eETH,价值 3.76 亿美元
- 宏观风暴来袭,加密市场竟逆势看多?灰度最新4月市场报告解读