Moonbeam Bug Program 漏洞赏金计划

Moonbeam Bug Program 漏洞赏金计划主要针对 Moonriver 和 Moonbeam 平行链，以及生态内的 DApps，主要目的是为了防止：本金的盗窃和冻结、未结算收益的盗窃和冻结、治理资金的盗窃、治理活动的中断、网络关闭、网站瘫痪、用户数据泄露、用户数据删除、未经授权访问敏感网页。

赏金分类依据

赏金分类的依据是基于 Immunefi 漏洞严重程度分类系统的漏洞影响。Immunefi 是一个用于智能合约和加密货币项目的漏洞赏金平台。其漏洞严重程度分类系统是一个简化的 5 级标准，将漏洞按严重程度分为 5 类：关键级、高级、中级、低级、零级漏洞。其对网站与应用程序、智能合约与区块链有单独的标准，内容包含漏洞后果、所需特权、漏洞成功利用的可能性。该平台使安全研究人员能够审查代码、披露漏洞并获得报酬，并允许公司利用领先的安全人才来保护他们的项目。

赏金分类

赏金分为智能合约、区块链、网络和应用程序四个类别。各类别奖金分别为以下级别：

智能合约和区块链类奖金共有4个级别：

• 赏金高达 1 百万美元的关键级；

• 7.5 万美元的高级；

• 2 万美元的中级；

• 5 千美元的低级。

网络和应用程序类奖金共有4个级别：

• 赏金高达 1.5 万美元的关键级；

• 7500 美元的高级；

• 2500 美元的中级；

• 1000 美元的低级。

范围内的资产

Kusama 上的 Moonriver 平行链和 Polkadot 上的 Moonbeam 平行链都包括在资产范围内。

点击此链接 https://github.com/PureStake/，获取 Moonbeam 的所有源代码。

漏洞赏金计划范围内的影响

1、智能合约和区块链方面，本漏洞赏金计划接受的影响仅包含：因永久冻结或直接盗窃导致的用户资金损失；治理资金的损失；无人认领的收益的盗窃；冻结无人认领的收益；至少持续15分钟的资金暂时冻结；暂时无法调用智能合约；网络关闭；智能合约手续费流失；由于底层平行链内的缺陷或漏洞，智能合约无法交付承诺的收益；治理活动中断；操纵投票；不正确的投票行动；绕过外在验证（Origin 绕过或升级)；违反 Runtime 共识（将无效区块纳入规范）。

2、网络和应用程序方面，本漏洞赏金计划接受的影响仅包含：用户数据泄漏；用户数据删除；通过修改地址重新引导资金；用户欺骗其他用户；通过逻辑攻击和对不正常的服务进行慢速滚动攻击方式拒绝服务。

Moonbeam GitHub repo

优先考虑的漏洞

1、智能合约和区块链方面，优先考虑重入性；逻辑错误（包括用户认证错误）；不考虑 Solidity/EVM 细节（包括整数过流/欠流和未处理的异常）；EVM/自定义预编译的漏洞；托管信任/依赖漏洞（包括可组合性漏洞在内）；预言机故障/操控；新的治理攻击；经济/金融攻击（包括闪光贷款攻击）；拥堵和可扩展性（包括手续费用尽、区块填充、和易受抢跑攻击的影响）；共识失败；签名的可修改性、易受中继（relay）攻击的影响、薄弱的随机性、薄弱的加密技术等密码学问题；易受区块时间戳操控的影响；缺少访问控制/无保护的内部或调试接口；

2、网站和应用程序方面，优先考虑远程代码执行；托管信任/依赖性漏洞；垂直特权升级；XML外部实体注入；SQL注入；LFI/RFI；横向特权升级；存储的XSS；有影响的反射性XSS；有影响的CSRF；直接引用对象；内部SSRF；会话固定化；不安全的反序列化；DOM XSS；SSL错误配置；SSL/TLS问题（弱加密，设置不当）；URL重定向；点击劫持（必须附带PoC）；误导性的Unicode文本（例如，使用从右到左的覆盖字符）。

注意，以下漏洞不在本漏洞赏金计划范围内

• 报告人自己已经利用了的攻击，并导致了损失；

• 需要访问泄露的密钥/凭证的攻击；

• 需要访问特权地址的攻击（治理、战略）；

• 破解链接劫持不在范围内。

具体来说，分为以下两个方面：

1、智能合约和区块链方面，不接收的漏洞包含：

• 第三方预言机提供的不正确数据；

• 不排除预言机操控/闪电贷款攻击；

• 基本的经济治理攻击（如51%攻击）；

• 缺少流动性；

• 最佳实践批评；

• Sybil 攻击；

• 集中化风险。

2、网站和应用程序方面，不接收的漏洞包含：

• 没有任何证明或演示的理论性漏洞；

• 内容欺骗/文本注入问题；

• 自我 XSS；

• 使用 OCR 绕过验证码的问题；

• 没有安全影响的 CSRF（注销 CSRF，改变语言等）；

• 缺少 HTTP 安全标头（如X-FRAME-OPTIONS）或 cookie 安全标志（如“httponly”）；

• 服务器端的信息披露，如 IP、服务器名称和大多数堆栈痕迹；

• 用来列举或确认用户或租户存在的漏洞；

• 需要不可能的用户操作的漏洞；

• URL 重定向（除非与另一个漏洞结合，产生更严重的漏洞）；

• 缺少 SSL/TLS 的最佳实践；

• DDoS 漏洞；

• 需要来自组织内部的特权访问的攻击；

• 电子邮件域名的 SPF 记录；

• 功能请求；

• 最佳实践。

注意！本漏洞赏金计划禁止以下活动：

• 使用主网或公开测试网合约进行的测试（测试都应该在私人测试网上进行）；

• 使用预言机或第三方智能合约进行的测试；

• 试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击；

• 与第三方系统和应用程序（如浏览器插件）以及网站（如 SSO 供应商，广告网络）的测试；

• 任何服务攻击的否定；

• 对产生大量流量的服务进行的自动测试；

• 公开披露禁止的赏金中未修补的漏洞。

关于Moonbeam

Moonbeam 是波卡（Polkadot）网络中与以太坊兼容的智能合约平台，可实现轻松构建原生的互操作性去中心化应用。以太坊兼容特性允许开发者以最少的更改将现有的 Solidity 智能合约和DApp前端部署到 Moonbeam。如同其在 Kusama 上的姐妹网 Moonriver 一样，Moonbeam 将受益于 80 多个已上线网络的 DApp 和协议，生态开发者和使用者继续拓展Moonbeam。作为在波卡（Polkadot）网络上的平行链，Moonbeam 将受益于波卡（Polkadot）中继链的共享安全性和链接波卡（Polkadot）其他链的互操作优势。

如需了解更多信息，请访问： https://moonbeam.network/

关于我们

One Block+ 是中国最大的 Substrate 技术开发者社区，也是 Parity 在亚洲唯一的运营合作伙伴，波卡生态早期项目的创始人、CTO、核心开发者大部分都来自 One Block+ 社区。