规则和奖励
提交您的发现结果并获得奖励!
必须由发现漏洞者本人提交。不得委托提交漏洞。
我们可以接受匿名提交,但是,这种情况下,赏金将捐赠给慈善机构。
提交者授权 RSK 使用提交的部分或全部报告向公众传达漏洞。
RSK 可以在博客和在线奖励排名中引用提交者的名字和获取的分值。
如果您不希望在 RSK 公开的资料中识别出您的真实身份,必须提前说明,并在提交的结果中提供化名。
其他用户已经提交或 RSK 团队已经知道的问题不符合获取奖励的条件。
公开披露漏洞同样不符合获取奖励的条件。如果用户向其他安全团队(例如,以太坊或 ETC)报告漏洞,但在相当长的延迟后向 RSK 报告,RSK 可能会减少或取消奖金。 您可以启动或分叉出私人链,用于寻找程序漏洞。请勿攻击 RSK 主链和测试网络。也请不要攻击 ETH 或 ETC 主链和测试网络。攻击发现的漏洞亦不符合获得奖金的条件。
RSK 开发团队、员工以及 RSK 直接或间接支付的所有其他人员不符合获得奖金的条件。
提交 RSK 代码库更改的人员无资格对于因提交的更改引发或触发的漏洞获得奖金。
RSK 网站、基础架构和资产不属于奖励计划的一部分。
Ejemplos
支付的奖励金额会因严重程度不同而异。严重程度根据基于影响和可能性的 OWASP 风险评级模型计算
由单个低成本事务触发的错误将 RSK 区块链分成接受包含该事务区块的一些节点和拒绝该区块的一些节点,通常视为严重。
这是由于,其很有可能被用于攻击,但影响是中度的,因为,还必须实施双花费攻击来窃取资产。
对某个特定节点的远程攻击,如果窃取其私钥的概率非常低,通常会被视为高风险。
其原因在于影响很大,但可能性中等,在攻击者找到合适的受害者之前,必须探查许多节点。
袭击区块链或该状态的成本远低于预期,通常被视为中等风险。
如果远程攻击暴露了某个节点的一些隐私信息,但不会导致资金损失,通常认为是低风险。
我们的漏洞赏金计划 端到端跨越
从协议的可靠性(例如, 区块链共识模型、有线和 p2p 协议、工作证明等)和 协议实现。经典的客户端 安全性以及加密 原语的安全性也是该计划的一部分。 范围的详细信息如下:
RSK 协议栈与以太坊有些相仿,但在许多方面不同。大多数协议,例如,共识协议、区块链同步协议、state trie 和 EVM 已经重新设计或修改。由于目前对这些新协议没有正式描述,所以,将根据预期功能评估协议设计中的漏洞,这可能不明显。
我们鼓励研究人员在以下领域的设计中寻找问题:
Bitcoin Bridge(双向挂钩)
联盟会员管理
区块难度调整算法 自私挖矿激励 (Selfish mining incentives)
SPV 安全性
黄金矿工挖矿 (Uncle mining) 激励
State Trie 安全性
错位/意外的经济激励和博弈论缺陷。
对 PoW 算法或合并-挖矿系统的安全弱点/攻击。
具体的例子包括,消耗很少却导致大量计算工作的合同,有效地为 DoS 攻击打开大门。
假设协议和算法设计完美无缺,客户端实现是否符合预期行为?问题可能包括:
区块、事务和消息的验证
RSK 虚拟机代码执行
事务执行
合同订立
消息呼叫
消耗和费用计算和执行
此类别侧重于对整个网络或其子集的一般性攻击
51% 和其他 X% 攻击。
隔离攻击 芬尼攻击。
女巫攻击。
重放攻击。
交易/消息可延展性。
(全局)DoS.
单个 RSK 客户端上有关 RSK 平台的攻击:
DoS / 资源滥用
账户/钱包地址收集/调查
广播/拒绝攻击
此类别解决更经典的安全问题:
数据类型溢出/绕回,例如,整数溢出。
恐慌或错误处理不当。
并发性,例如同步、状态,竞争。
与使用的外部库相关的问题。
这一类别包括:
以下各项的实施/使用/配置不正确:
椭圆曲线(secp256k1, ECDSA)。
哈希算法 (Keccak-256)。
Merkle Patricia 树。
密钥管理 随机源质量 侧信道和信息泄露
希望了解更多内容?