Moonbeam Bug Program 漏洞赏金计划
Moonbeam Bug Program 漏洞赏金计划主要针对 Moonriver 和 Moonbeam 平行链,以及生态内的 DApps,主要目的是为了防止:本金的盗窃和冻结、未结算收益的盗窃和冻结、治理资金的盗窃、治理活动的中断、网络关闭、网站瘫痪、用户数据泄露、用户数据删除、未经授权访问敏感网页。
赏金分类依据
赏金分类的依据是基于 Immunefi 漏洞严重程度分类系统的漏洞影响。Immunefi 是一个用于智能合约和加密货币项目的漏洞赏金平台。其漏洞严重程度分类系统是一个简化的 5 级标准,将漏洞按严重程度分为 5 类:关键级、高级、中级、低级、零级漏洞。其对网站与应用程序、智能合约与区块链有单独的标准,内容包含漏洞后果、所需特权、漏洞成功利用的可能性。该平台使安全研究人员能够审查代码、披露漏洞并获得报酬,并允许公司利用领先的安全人才来保护他们的项目。
赏金分类
赏金分为智能合约、区块链、网络和应用程序四个类别。各类别奖金分别为以下级别:
智能合约和区块链类奖金共有4个级别:
-
赏金高达 1 百万美元的关键级;
-
7.5 万美元的高级;
-
2 万美元的中级;
-
5 千美元的低级。
网络和应用程序类奖金共有4个级别:
-
赏金高达 1.5 万美元的关键级;
-
7500 美元的高级;
-
2500 美元的中级;
-
1000 美元的低级。
范围内的资产
Kusama 上的 Moonriver 平行链和 Polkadot 上的 Moonbeam 平行链都包括在资产范围内。
点击此链接 https://github.com/PureStake/,获取 Moonbeam 的所有源代码。
漏洞赏金计划范围内的影响
1、智能合约和区块链方面,本漏洞赏金计划接受的影响仅包含:因永久冻结或直接盗窃导致的用户资金损失;治理资金的损失;无人认领的收益的盗窃;冻结无人认领的收益;至少持续15分钟的资金暂时冻结;暂时无法调用智能合约;网络关闭;智能合约手续费流失;由于底层平行链内的缺陷或漏洞,智能合约无法交付承诺的收益;治理活动中断;操纵投票;不正确的投票行动;绕过外在验证(Origin 绕过或升级);违反 Runtime 共识(将无效区块纳入规范)。
2、网络和应用程序方面,本漏洞赏金计划接受的影响仅包含:用户数据泄漏;用户数据删除;通过修改地址重新引导资金;用户欺骗其他用户;通过逻辑攻击和对不正常的服务进行慢速滚动攻击方式拒绝服务。
Moonbeam GitHub repo
优先考虑的漏洞
1、智能合约和区块链方面,优先考虑重入性;逻辑错误(包括用户认证错误);不考虑 Solidity/EVM 细节(包括整数过流/欠流和未处理的异常);EVM/自定义预编译的漏洞;托管信任/依赖漏洞(包括可组合性漏洞在内);预言机故障/操控;新的治理攻击;经济/金融攻击(包括闪光贷款攻击);拥堵和可扩展性(包括手续费用尽、区块填充、和易受抢跑攻击的影响);共识失败;签名的可修改性、易受中继(relay)攻击的影响、薄弱的随机性、薄弱的加密技术等密码学问题;易受区块时间戳操控的影响;缺少访问控制/无保护的内部或调试接口;
2、网站和应用程序方面,优先考虑远程代码执行;托管信任/依赖性漏洞;垂直特权升级;XML外部实体注入;SQL注入;LFI/RFI;横向特权升级;存储的XSS;有影响的反射性XSS;有影响的CSRF;直接引用对象;内部SSRF;会话固定化;不安全的反序列化;DOM XSS;SSL错误配置;SSL/TLS问题(弱加密,设置不当);URL重定向;点击劫持(必须附带PoC);误导性的Unicode文本(例如,使用从右到左的覆盖字符)。
注意,以下漏洞不在本漏洞赏金计划范围内
-
报告人自己已经利用了的攻击,并导致了损失;
-
需要访问泄露的密钥/凭证的攻击;
-
需要访问特权地址的攻击(治理、战略);
-
破解链接劫持不在范围内。
具体来说,分为以下两个方面:
1、智能合约和区块链方面,不接收的漏洞包含:
-
第三方预言机提供的不正确数据;
-
不排除预言机操控/闪电贷款攻击;
-
基本的经济治理攻击(如51%攻击);
-
缺少流动性;
-
最佳实践批评;
-
Sybil 攻击;
-
集中化风险。
2、网站和应用程序方面,不接收的漏洞包含:
-
没有任何证明或演示的理论性漏洞;
-
内容欺骗/文本注入问题;
-
自我 XSS;
-
使用 OCR 绕过验证码的问题;
-
没有安全影响的 CSRF(注销 CSRF,改变语言等);
-
缺少 HTTP 安全标头(如X-FRAME-OPTIONS)或 cookie 安全标志(如“httponly”);
-
服务器端的信息披露,如 IP、服务器名称和大多数堆栈痕迹;
-
用来列举或确认用户或租户存在的漏洞;
-
需要不可能的用户操作的漏洞;
-
URL 重定向(除非与另一个漏洞结合,产生更严重的漏洞);
-
缺少 SSL/TLS 的最佳实践;
-
DDoS 漏洞;
-
需要来自组织内部的特权访问的攻击;
-
电子邮件域名的 SPF 记录;
-
功能请求;
-
最佳实践。
注意!本漏洞赏金计划禁止以下活动:
-
使用主网或公开测试网合约进行的测试(测试都应该在私人测试网上进行);
-
使用预言机或第三方智能合约进行的测试;
-
试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击;
-
与第三方系统和应用程序(如浏览器插件)以及网站(如 SSO 供应商,广告网络)的测试;
-
任何服务攻击的否定;
-
对产生大量流量的服务进行的自动测试;
-
公开披露禁止的赏金中未修补的漏洞。
关于Moonbeam
Moonbeam 是波卡(Polkadot)网络中与以太坊兼容的智能合约平台,可实现轻松构建原生的互操作性去中心化应用。以太坊兼容特性允许开发者以最少的更改将现有的 Solidity 智能合约和DApp前端部署到 Moonbeam。如同其在 Kusama 上的姐妹网 Moonriver 一样,Moonbeam 将受益于 80 多个已上线网络的 DApp 和协议,生态开发者和使用者继续拓展Moonbeam。作为在波卡(Polkadot)网络上的平行链,Moonbeam 将受益于波卡(Polkadot)中继链的共享安全性和链接波卡(Polkadot)其他链的互操作优势。
如需了解更多信息,请访问: https://moonbeam.network/
关于我们
One Block+ 是中国最大的 Substrate 技术开发者社区,也是 Parity 在亚洲唯一的运营合作伙伴,波卡生态早期项目的创始人、CTO、核心开发者大部分都来自 One Block+ 社区。