目前，众多领先的 DeFi 项目已开始联合 Immunefi BUG 赏金平台，其中包括 Synthetix、SushiSwap 等，Immunefi BUG 赏金平台正保障超过 200 亿美元的用户资金。Acala 作为波卡生态内 DeFi 生态中心，安全始终放在首位，不仅在此前联合多家安全审计机构多轮代码审核，也与安全社区展开进一步的合作。

12月13日，Acala 携手 Immunefi 开启 BUG 赏金计划，最高奖励可得 100 万美金，首先聚焦与 Acala 先行网 —— Karura，并专注于预防以下几个方面：

• 交易/共识操纵

• 双花攻击

• 发行未授权资产

• 治理问题

• 未知用户对系统资产的未授权访问

• 阻止或修改治理或用户操作流程，生成未处理链上错误

• 在不中断系统或用户执行任务的情况下，将链上数据处于意外状态，例如冗余事件、日志等

# 赏金规则 #

Rewards by Threat Level

本次赏金计划将根据 BUG 严重程度分为以下几种奖励：

Critical: 奖励上限为10万美金，主要包含交易/共识操纵、双花攻击、发行未授权资产、治理问题、未知用户对系统资产的未授权访问。

High：奖励上限为5万美金，主要包含阻止或修改治理流程或用户操作，生成未处理链上错误。这些操作可能导致治理或用用户访问资产系统功能瘫痪。

Medium：奖励上限为1万美金，主要包含在不中断系统或用户执行任务的情况下，将链上数据置于意外状态，例如生成冗余事件、日志等。

核心漏洞涉及用户资金的直接损失、双花，或资产发行不超过 10% 的经济损失,考虑到主要的基金风险或资产的数量等综合因素，交由团队衡量。然而，最低奖励是 5 万美元。操纵或治理问题的结果是 100 万美元整。

无需添加 PoC 和修复建议，如果参与者提供将会提高奖金数量权重。

以上赏金奖励只适用于以下情况下：

• 该 BUG 在之前没有人提交

• 在未完全修复之前，不可向其他第三方公开

• “ 赏金猎人 ”未利用该 BUG，其他人也未从中获利

• “ 赏金猎人”在提交时没有附加条件或以此要挟

• 寻找问题时没有使用文件中定义不合法或禁止的活动进行

• “ 赏金猎人”需在合理时间回复团队关于提交 BUG 的疑问

• 当重复提交BUG时，将奖励第一个提交信息完整的“ 赏金猎人”

• 当出现多个漏洞导致潜在问题时，将奖励第一个上报的 BUG

• 该漏洞存在于 Karura 的 runtime pallet 中（没有 tests，或者不在 runtime 里的模块，例如 live，可以被视为漏洞）

以上奖励由 Acala 团队直接奖励，以美元计价，以 kUSD 进行支付。

# 赏金范围 #

Assets in Scope

只有涉及到 Karura Runtime Pallets 的代码才属于赏金范围，那些不在其中(如测试)的模块，和那些正在开发中以及其他模块，都不属于赏金范围内。

Acala 所有代码都可以在 https://github.com/AcalaNetwork/ 上找到。然而，只有在赏金范围内的才可以获得奖励。

影响范围

此次奖励只在以下影响范围内，范围外的不具有奖励赢取资格：

• 交易/共识操纵

• 双花攻击

• 发行未授权资产

• 治理问题

• 未知用户对系统资产的未授权访问

• 阻止或修改治理或用户操作流程，生成未处理链上错误

• 在不中断系统或用户执行任务的情况下，将链上数据处于意外状态，例如冗余事件、日志等

Blockchain – Main Network

https://github.com/AcalaNetwork/Acala

Blockchain – Open Runtime Module Library

https://github.com/open-web3-stack/open-runtime-module-library

#优先奖励 #

Prioritized Vulnerabilities

以下几种是 Acala 研发团队最感兴趣的奖励类型：

• 智能合约和区块链

• 所有导致影响范围部分所述影响的项目

# 注意事项 #

Out of Scope & Rules

以下 BUG 不包含在奖励之内：

• 猎人已利用攻击，造成了网络影响

• 需要访问泄漏密钥/证书攻击

• 需要访问特权地址的攻击(治理、策略)

• DDOS 攻击

• 拒绝服务攻击

• 垃圾邮件

• 任何对 Karura 资产或员工人身攻击

• 网络钓鱼或其他社会工程攻击 Karura 员工

以下行为将会被禁赛:

• 使用主网或公开测试网合约进行测试，所有测试都应该在私有测试网中进行

• 任何使用定价预言或第三方智能合约的测试

• 试图对员工和/或客户进行网络钓鱼或其他社会工程攻击

• 使用第三方系统和应用程序(如浏览器扩展)以及网站(如SSO提供商、广告网络)进行测试

• 拒绝任何服务攻击

• 产生大量通信量的服务的自动化测试

• 公开披露一份未修复的参赛 BUG

快来成为 Web3.0 DeFi 赏金猎人

赢取百万奖励！

参与平台链接：

https://immunefi.com/bounty/acala/

如果你有兴趣获得 Acala Bug 赏金，欢迎加入 Immunefi 平台。开发者请查看 Acala GitHub 或加入 Acala Discord 频道，随时咨询技术问题。

• Github：https://github.com/AcalaNetwork/Acala

• Discord：https://discord.gg/7StkSWeCmP