10w DOT!ORML 模块的 Bug Bounty

Image

3月8日,波卡委员会宣布已批准 Acala 的第 167 号提案,将设立 10 万枚 DOT 用于 Acala 团队所开发的 ORML 模块的漏洞悬赏,这不仅是 首次链上 Open Runtime Module Library (ORML) Bug 赏金计划 ,也是波卡上第四个获批的赏金计划。本次 ORML Bug 赏金将共奖励 高达 100,000 DOT ,由波卡委员会共同监督的 3/5 多签地址共同管理,与跟进后续奖金的支付情况。

立即参与:

Context of the bounty

ORML BUG BOUNTY

Open Runtime Module Library (ORML)作为由社区共同维护的代码仓库,包含平行链所需的常用功能的 Runtime 模块,已被 Kusama 和 Polkadot 生态中的平行链广泛使用成为 最受欢迎的 Substrate 模块 , 目前已有 Astar、Interlay、HydraDX、Manta Network 等 18 个项目 使用。利用 ORML 帮助开发者快速完成平行链构建,将更多的精力用于创新和探索新功能,也将助推 Kusama/Polkadot 生态发展得更快,更优质。

Image

Acala 开发团队已将 ORML 纳入代码审计范围,在经过多家审计公司几轮审计的结果后,为了进一步加强安全性,开启本次赏金计划,避免 ORML 中存在的漏洞和安全隐患影响 Kusama/Polkadot 整个生态,本次 ORML Bug 赏金将共奖励高达 100,000 DOT 。

更多资料见:

Context of the bounty

Custody of funds

本次活动奖励将由 Acala、Parity 和其他 ORML 用户多签控制,控制多签名的评审也将判断被发现漏洞的有效性和严重程度,并检查其修复情况。

多签评审简介:

  • Bryan Chen @ Acala
    Bryan 作为 Acala 的联合创始人兼 CTO,也是 ORML 的发起人和核心贡献者。他也是 Substrate 和 Polkadot 的顶级社区贡献者之一。
  • Shaun Wang @ Acala
    Shaun 作为 Acala 的核心开发之一,也是 ORML 的核心贡献者。他也是 Polkadot、Substrate 和 Cumulus 最优质的开发贡献者之一。
  • Shawn Tabrizi @ Parity
    Shawn 是 Parity Technologies 的主要开发之一,致力于 Substrate、Polkadot、Kusama,专注于 FRAME, Runtime development 与 benchmarking。
  • Wei Tang @ Parity
    Wei 是 Parity Technologies 的核心开发之一,维护着 Frontier,即 Substrate 的以太坊兼容层。
  • Shumo Chu @ Manta
    Shumo 作为Manta.network 的联合创始人,manta.network 是使用 zkSNARK 的 Web3 隐私层。在 Manta 之前,他曾担任 Algorand 的研究科学家和 UCSB 的助理教授。

Bryan 也在推特上分享了评审对于安全的重视程度:

Image

Cost Estimate

ORML BUG BOUNTY

此次将根据 Bug 的严重程度来估计奖励费用,建议分配的奖励将涵盖大概 1.5 个最严重的错误;如有必要,可以提出定制的分配方案。

本次 Acala 使用 Immunify 作为管理赏金计划的服务。对于支付给白帽的每笔奖励,Immunify 会额外收取 10% 的费用。该服务将具有以下优势:

  • 有助于确保漏洞在公开之前得到修复
  • Immunify 作为第三方受信任方,用于解决不同赏金猎人提交相同漏洞时的冲突
  • 提供与白帽的 secure communication
  • 跟踪和过滤不相关的报告
  • 接触更广泛的白帽黑客

Technical Process

ORML BUG BOUNTY

ORML 的赏金奖励将以 DOT 支付,每个漏洞都需要单独支付,可以创建奖金和 10% Immunify 服务费。The child bounty 由 Immunify 团队钱包进行策划,在链上评审人的支持和监督下,将支付奖金与佣金。

包括以下后续步骤:

  • 通过 Immunify 向 Acala 提交赏金报告
  • Acala 团队将访问该报告的有效性和判断严重程度
  • 赏金细节将披露给相关方(例如 Parity 和受影响的平行链团队)
  • 在漏洞判定后,Acala 团队将与评审一起根据严重程度确定赏金价值
  • 将创建 The Child Bounty 并转移资金以支付奖金

Measure of Success

ORML BUG BOUNTY

白帽从赏金计划中发现的 ORML 的漏洞和安全问题,及时并认真修复。

此外,如果看到这篇文章的你是安全研究人员,或者只是想提供帮助的开发人员,还可以参与我们的此前上线的 100 万美元的赏金,可以利用 Immunify 平台来提交关于 Acala 与 ORML 赏金计划。

点击参与:

合作|Acala 携手 Immunefi 开启 Bug 赏金计划

最后祝参与的开发者都能乐享其中,赢取奖金!

Image

Image