合作|Acala 携手 Immunefi 开启 Bug 赏金计划

目前,众多领先的 DeFi 项目已开始联合 Immunefi BUG 赏金平台,其中包括 Synthetix、SushiSwap 等,Immunefi BUG 赏金平台正保障超过 200 亿美元的用户资金。Acala 作为波卡生态内 DeFi 生态中心, 安全始终放在首位 ,不仅在此前联合多家安全审计机构多轮代码审核,也与安全社区展开进一步的合作。

图片

12月13日,Acala 携手 Immunefi 开启 BUG 赏金计划, 最高奖励可得 100 万美金 ,首先聚焦与 Acala 先行网 —— Karura,并专注于预防以下几个方面:

  • 交易/共识操纵
  • 双花攻击
  • 发行未授权资产
  • 治理问题
  • 未知用户对系统资产的未授权访问
  • 阻止或修改治理或用户操作流程,生成未处理链上错误
  • 在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等

# 赏金规则 #

Rewards by Threat Level

本次赏金计划将根据 BUG 严重程度分为以下几种奖励:

Critical: 奖励上限为10万美金, 主要包含交易/共识操纵、双花攻击、发行未授权资产、治理问题、未知用户对系统资产的未授权访问。

High:奖励上限为5万美金, 主要包含阻止或修改治理流程或用户操作,生成未处理链上错误。这些操作可能导致治理或用用户访问资产系统功能瘫痪。

Medium:奖励上限为1万美金, 主要包含在不中断系统或用户执行任务的情况下,将链上数据置于意外状态,例如生成冗余事件、日志等。

核心漏洞涉及用户资金的直接损失、双花,或资产发行不超过 10% 的经济损失,考虑到主要的基金风险或资产的数量等综合因素,交由团队衡量。然而,最低奖励是 5 万美元。操纵或治理问题的结果是 100 万美元整。

无需添加 PoC 和修复建议,如果参与者提供将会提高奖金数量权重。

以上赏金奖励只适用于以下情况下:

  • 该 BUG 在之前没有人提交

  • 在未完全修复之前,不可向其他第三方公开

  • “ 赏金猎人 ”未利用该 BUG,其他人也未从中获利

  • “ 赏金猎人”在提交时没有附加条件或以此要挟

  • 寻找问题时没有使用文件中定义不合法或禁止的活动进行

  • “ 赏金猎人”需在合理时间回复团队关于提交 BUG 的疑问

  • 当重复提交BUG时,将奖励第一个提交信息完整的“ 赏金猎人”

  • 当出现多个漏洞导致潜在问题时,将奖励第一个上报的 BUG

  • 该漏洞存在于 Karura 的 runtime pallet 中(没有 tests,或者不在 runtime 里的模块,例如 live,可以被视为漏洞)

以上奖励由 Acala 团队直接奖励,以美元计价,以 kUSD 进行支付。

# 赏金范围 #

Assets in Scope

只有涉及到 Karura Runtime Pallets 的代码才属于赏金范围,那些不在其中(如测试)的模块,和那些正在开发中以及其他模块,都不属于赏金范围内。

Acala 所有代码都可以在 Acala Foundation · GitHub 上找到。然而,只有在赏金范围内的才可以获得奖励。

影响范围

此次奖励只在以下影响范围内,范围外的不具有奖励赢取资格:

  • 交易/共识操纵
  • 双花攻击
  • 发行未授权资产
  • 治理问题
  • 未知用户对系统资产的未授权访问
  • 阻止或修改治理或用户操作流程,生成未处理链上错误
  • 在不中断系统或用户执行任务的情况下,将链上数据处于意外状态,例如冗余事件、日志等

Blockchain - Main Network​:link:

Blockchain - Open Runtime Module Library​:link:

#优先奖励 #

Prioritized Vulnerabilities

以下几种是 Acala 研发团队最感兴趣的奖励类型:

  • 智能合约和区块链
  • 所有导致影响范围部分所述影响的项目

# 注意事项 #

Out of Scope & Rules

以下 BUG 不包含在奖励之内:

  • 猎人已利用攻击,造成了网络影响
  • 需要访问泄漏密钥/证书攻击
  • 需要访问特权地址的攻击(治理、策略)
  • DDOS 攻击
  • 拒绝服务攻击
  • 垃圾邮件
  • 任何对 Karura 资产或员工人身攻击
  • 网络钓鱼或其他社会工程攻击 Karura 员工

以下行为将会被禁赛:

  • 使用主网或公开测试网合约进行测试,所有测试都应该在私有测试网中进行
  • 任何使用定价预言或第三方智能合约的测试
  • 试图对员工和/或客户进行网络钓鱼或其他社会工程攻击
  • 使用第三方系统和应用程序(如浏览器扩展)以及网站(如SSO提供商、广告网络)进行测试
  • 拒绝任何服务攻击
  • 产生大量通信量的服务的自动化测试
  • 公开披露一份未修复的参赛 BUG

图片

快来成为 Web3.0 DeFi 赏金猎人

赢取百万奖励!

参与平台链接:

Acala Bug Bounties | Immunefi

如果你有兴趣获得 Acala Bug 赏金,欢迎加入 Immunefi 平台。开发者请查看 Acala GitHub 或加入 Acala Discord 频道,随时咨询技术问题。