
合作|Acala 携手 Immunefi 开启 Bug 赏金计划
目前,众多领先的 DeFi 项目已开始联合 Immunefi BUG 赏金平台,其中包括 Synthetix、SushiSwap 等,Immunefi BUG 赏金平台正保障超过 200 亿美元的用户资金。Acala 作为波卡生态内 DeFi 生态中心,安全始终放在首位,不仅在此前联合多家安全审计机构多轮代码审核,也与安全社区展开进一步的合作。
12月13日,Acala 携手 Immunefi 开启 BUG 赏金计划,最高奖励可得 100 万美金,首先聚焦与 Acala 先行网 —— Karura,并专注于预防以下几个方面:
-
交易/共识操纵
-
双花攻击
-
发行未授权资产
-
治理问题
-
未知用户对系统资产的未授权访问
-
阻止或修改治理或用户操作流程,生成未处理链上错误
-
在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等
# 赏金规则 #
Rewards by Threat Level
本次赏金计划将根据 BUG 严重程度分为以下几种奖励:
Critical: 奖励上限为10万美金,主要包含交易/共识操纵、双花攻击、发行未授权资产、治理问题、未知用户对系统资产的未授权访问。
High:奖励上限为5万美金,主要包含阻止或修改治理流程或用户操作,生成未处理链上错误。这些操作可能导致治理或用用户访问资产系统功能瘫痪。
Medium:奖励上限为1万美金,主要包含在不中断系统或用户执行任务的情况下,将链上数据置于意外状态,例如生成冗余事件、日志等。
核心漏洞涉及用户资金的直接损失、双花,或资产发行不超过 10% 的经济损失,考虑到主要的基金风险或资产的数量等综合因素,交由团队衡量。然而,最低奖励是 5 万美元。操纵或治理问题的结果是 100 万美元整。
无需添加 PoC 和修复建议,如果参与者提供将会提高奖金数量权重。
以上赏金奖励只适用于以下情况下:
-
该 BUG 在之前没有人提交
-
在未完全修复之前,不可向其他第三方公开
-
“ 赏金猎人 ”未利用该 BUG,其他人也未从中获利
-
“ 赏金猎人”在提交时没有附加条件或以此要挟
-
寻找问题时没有使用文件中定义不合法或禁止的活动进行
-
“ 赏金猎人”需在合理时间回复团队关于提交 BUG 的疑问
-
当重复提交BUG时,将奖励第一个提交信息完整的“ 赏金猎人”
-
当出现多个漏洞导致潜在问题时,将奖励第一个上报的 BUG
-
该漏洞存在于 Karura 的 runtime pallet 中(没有 tests,或者不在 runtime 里的模块,例如 live,可以被视为漏洞)
以上奖励由 Acala 团队直接奖励,以美元计价,以 kUSD 进行支付。
# 赏金范围 #
Assets in Scope
只有涉及到 Karura Runtime Pallets 的代码才属于赏金范围,那些不在其中(如测试)的模块,和那些正在开发中以及其他模块,都不属于赏金范围内。
Acala 所有代码都可以在 https://github.com/AcalaNetwork/ 上找到。然而,只有在赏金范围内的才可以获得奖励。
影响范围
此次奖励只在以下影响范围内,范围外的不具有奖励赢取资格:
-
交易/共识操纵
-
双花攻击
-
发行未授权资产
-
治理问题
-
未知用户对系统资产的未授权访问
-
阻止或修改治理或用户操作流程,生成未处理链上错误
-
在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等
Blockchain – Main Network
https://github.com/AcalaNetwork/Acala
Blockchain – Open Runtime Module Library
https://github.com/open-web3-stack/open-runtime-module-library
#优先奖励 #
Prioritized Vulnerabilities
以下几种是 Acala 研发团队最感兴趣的奖励类型:
-
智能合约和区块链
-
所有导致影响范围部分所述影响的项目
# 注意事项 #
Out of Scope & Rules
以下 BUG 不包含在奖励之内:
-
猎人已利用攻击,造成了网络影响
-
需要访问泄漏密钥/证书攻击
-
需要访问特权地址的攻击(治理、策略)
-
DDOS 攻击
-
拒绝服务攻击
-
垃圾邮件
-
任何对 Karura 资产或员工人身攻击
-
网络钓鱼或其他社会工程攻击 Karura 员工
以下行为将会被禁赛:
-
使用主网或公开测试网合约进行测试,所有测试都应该在私有测试网中进行
-
任何使用定价预言或第三方智能合约的测试
-
试图对员工和/或客户进行网络钓鱼或其他社会工程攻击
-
使用第三方系统和应用程序(如浏览器扩展)以及网站(如SSO提供商、广告网络)进行测试
-
拒绝任何服务攻击
-
产生大量通信量的服务的自动化测试
-
公开披露一份未修复的参赛 BUG
快来成为 Web3.0 DeFi 赏金猎人
赢取百万奖励!
参与平台链接:
https://immunefi.com/bounty/acala/
如果你有兴趣获得 Acala Bug 赏金,欢迎加入 Immunefi 平台。开发者请查看 Acala GitHub 或加入 Acala Discord 频道,随时咨询技术问题。
-
Github:https://github.com/AcalaNetwork/Acala
-
Discord:https://discord.gg/7StkSWeCmP
比推快讯
更多 >>- PUMP 过去 1 小时涨近 20%,市值升至 10.48 亿美元
- Blockstream 收购 Elysium Lab 并推出 BTC 生态孵化器 Blockstream CH SAGL
- Pudgy Penguins 澄清:未收购 OpenSea
- 数据:TRUMP 个人/机构持仓 TOP2 地址仍在加仓,7 小时前从 OKX 提出 30.7 万枚代币
- 数据:过去 24 小时内,8627 万枚 PENGU 流入 Upbit 交易所,价值 357 万美元
- 美国退伍军人协会与赵长鹏旗下 Giggle Academy 合作设立 200 万美元奖学金
- 分析:加密货币托管服务需求上升,因“扳手攻击”事件频发
- CryptoQuant CEO:近期沉寂 14 年后转移的 8 万枚 BTC 可能来自 MyBitcoin 黑客或其创始人钱包
- James Wynn 所持 10 倍 PEPE 多单现浮盈 18 万美元,账户资金仅剩 45 万美元
- 美媒:DOGE 拟在特朗普就职一周年之前利用 AI 取消 50%的监管规定
- 数据:过去 24 小时全网爆仓 2.11 亿美元,多单爆仓 1.05 亿美元,空单爆仓 1.06 亿美元
- WeFi CEO 日本审批机制阻碍加密行业发展
- 民生证券:构建稳定币-RWA 生态闭环,相关资产上链有望成为拉开 Web3.0 时代大幕
- 当前主流 CEX、DEX 资金费率显示市场仍处于中性态势
- 下周宏观展望:美联储决议+非农“超级周”来袭
- NFT 项目 Rektguy 地板价 24 小时涨超 47%,升至 1.062 ETH
- 数据:巨鲸向 HyperLiquid 存入 1137 万枚 USDC 开设 2 倍杠杆 XRP、SOL 和 BONK 多单
- 两个持有超 1000 万枚 USDT 的 Tron 链上地址被冻结
- 数据:Ethena 项目方关联地址于 2 小时前再次向 CEX 转入 ENA
- 以太坊 PoS 验证协议 Blockscape 增持约 140 枚 ETH,当前持仓达 627 枚
- 数据:PumpFun 本月初花费约 12 万枚 SOL 买入的 30.7 亿枚 PUMP 目前价值仅 820 万美元
- 数据:某聪明钱过去半小时花费 948.5 万美元买入 80.2623 枚 WBTC
- Bitdeer:近期市场出现冒充公司员工进行诈骗,建议保持警惕
- 数据:过去 7 天超 1.7 万枚 BTC 流出 CEX 平台
- BSC 生态 Meme 币 Totakeke 市值一度触及 1500 万美元,24 小时涨幅 420%
- Bitring 正式入选 BNB Chain MVB10 生态加速器计划
- Gate Launchpad 正式开启 Ika (IKA) 认购,总额度为 2 亿 IKA
- 汇丰:港元稳定币不会影响香港联系汇率制度
- Cathie Wood:以太坊质押赎回需求激增或因 Robinhood 提供 2% 奖励所致
- Bitcoin Treasury Capital 增持 10 枚 BTC,总持仓量约 166 枚
- 分析师:本周抛压级别达到周期内极端水平,但 BTC 稳定的价格可视为积极信号
- 数据:过去 7 日 USDC 流通量约增加 5 亿枚
- 币安:DePHY Network (PHY) 空投申领门槛为 200 个 Alpha 积分
- 瓦努阿图在香港举行国家资源推介会,推动其政府控股公司申请稳定币牌照
- 胖企鹅CEO 透露曾于去年 12 月收购一家公司,社区猜测为 OpenSea
- 去中心化财富管理平台 Sandclock 启动以太坊财库战略,现持有 2477 枚 ETH
- Gemini 联创:因此前公开批评收费,摩根大通暂停 Gemini 开户服务
- Bit Digital 将召开股东大会,拟增加授权股本以支持增长战略
- Project Hunt:加密媒体 CryptoCentel 为过去 7 天新增 Top 人物关注者最多的项目
- 《富爸爸穷爸爸》作者 Robert Kiyosaki :有时候,黄金、白银和比特币才是最佳选择
- 波场 TRON 总交易数突破 110 亿
- Sidekick 举办的英雄联盟电竞赛事将在上海与首尔同步开启
- 纳斯达克上市公司 Bit Digital 拟扩大法定股本至 10 亿股普通股以募资继续增持 ETH
- 中国银行原副行长王永利:借鉴稳定币技术与模式优先加快数字人民币国际版建设
- 美股周五收盘加密股普跌,SBET 跌 5.70%
- 数据:过去 1 小时内有 3,185.76 万 USDT 转入主流交易所
- 疑似属于同一鲸鱼的 2 个地址过去 10 小时卖出 3810.76 枚 ETH
- 分析:半个月内 9 个钱包囤积 61.4 万枚 ETH,价值超 21 亿美元
- Coinbase 分析师:XRP、DOGE、SOL 领跌加密市场,但 BTC 市占率下跌或推动山寨季持续
- 加密恐慌与贪婪指数小幅回升至 72
比推专栏
更多 >>观点
比推热门文章
- 【比推一周web3新闻精选】Galaxy Digital 代表早期投资者完成 8 万枚比特币出售交易,市价超 90 亿美元;Tether CEO:计划推出机构稳定币,美国市场进入“进展顺利”;美 SEC 主席:正考虑推出加密货币创新豁免政策,以激励市场推进代币化进程;特朗普媒体集团宣布其比特币资产已达约 20 亿美元
- PUMP 过去 1 小时涨近 20%,市值升至 10.48 亿美元
- Blockstream 收购 Elysium Lab 并推出 BTC 生态孵化器 Blockstream CH SAGL
- Pudgy Penguins 澄清:未收购 OpenSea
- 数据:TRUMP 个人/机构持仓 TOP2 地址仍在加仓,7 小时前从 OKX 提出 30.7 万枚代币
- 数据:过去 24 小时内,8627 万枚 PENGU 流入 Upbit 交易所,价值 357 万美元
- 美国退伍军人协会与赵长鹏旗下 Giggle Academy 合作设立 200 万美元奖学金
- 分析:加密货币托管服务需求上升,因“扳手攻击”事件频发
- CryptoQuant CEO:近期沉寂 14 年后转移的 8 万枚 BTC 可能来自 MyBitcoin 黑客或其创始人钱包
- James Wynn 所持 10 倍 PEPE 多单现浮盈 18 万美元,账户资金仅剩 45 万美元