[赏金计划—火爆进行中]安全漏洞赏金—唯链雷神区块链
-
企业的网络安全以及用户数据的安全是我们的首要任务。因此,唯链启动了一个安全漏洞赏金计划。
业务范围
这个计划仅适用于唯链雷神区块链源代码 。
在测试网中检查代码中的逻辑漏洞以及安全隐患:唯链雷神是一个由唯链团队开发的全新公链。唯链雷神区块链运用了以太坊的一些特性,例如以太虚拟机。唯链团队在底层区块链加入了许多对企业友好的特性,因此任何开发者或用户都能在平台上轻松使用。以下为唯链雷神区块链的一些主要特征:
- VET/VTHO双通证制,交易以及执行智能合约仅消耗VTHO
- 多方支付协议
- 全新的交易模型
- PoA共识机制
安装
雷神区块链是唯链新一代的区块链项目,用Golang编写。
- 通过Github下载主网源代码,开发依赖包,以及唯链雷神教程
- 链接到测试网,生成测试网上钱包地址并通过faucet接收测试通证
该找些什么样的漏洞
协议与网络- Conceptual and practical security issues in the formal specification of the protocol.
- Misaligned / unintended economic incentives and game theoretic flaws.
- Security weaknesses / attacks on the P2P communication protocol and PoA consensus algorithm.
- Attacks
- Scenarios for DoS attacks.
- 51% and other X% attacks
- Finney attacks
- Sybil attacks
- Replay attacks
- Transaction / messages malleability
- Server configuration issues (open ports) Node function validation
- Lack of validations of blocks, transactions and messages
- Transaction
- Block
- Chain
- Ethereum Virtual Machine code execution such as built-in contract, native function
- Contract creation
- Message calls
- Calculation and enforcement of fees. Client application security, suggestions on the APIs
- Data type overflow / wrap around, e.g. integer overflow.
- Panics or not properly handled errors.
- Concurrency, e.g. synchronization, state, races attacks.
- Issues related to external libraries used (outdated software). Cryptographic primitives security
- Incorrect implementation / usage / configuration of:
- Elliptic curve (secp256k1, ECDSA,ECDH,ECIES).
- Hash algorithms (Keccak-256,Blake2b).
- Merkle Patricia trees.
漏洞评级及奖励标准
*奖励将会依照实时币价以VET的形式发放
如何提交漏洞报告
请您通过此在线表格提交您的报告
唯链网络安全计划规定如下:
- 禁止扰乱任何生产服务或泄露个人数据
- 您必须提交书面文件,阐述已经完成的工作以及复制漏洞的步骤
- 提交报告后,请勿透露漏洞信息给任何人或机构。一旦漏洞公开,您将失去获奖资格
- 如多人报告相似漏洞,只奖励最先提交者
- 需要声明的是,如果您发现多个漏洞,我们将以其中风险等级最高的漏洞为标准为您提供奖励
- 漏洞风险等级以及获奖资格最终解释权归唯链基金会所有
您可在唯链开发者专区获取相关技术文件,或在唯链官方Gitter社区获取开发资源。提交申请前,请确保已阅读并同意唯链赏金计划规则。如有问题,请联系bounty@vechain.com