[赏金计划—火爆进行中]安全漏洞赏金—唯链雷神区块链






  • 企业的网络安全以及用户数据的安全是我们的首要任务。因此,唯链启动了一个安全漏洞赏金计划。

    业务范围

    这个计划仅适用于唯链雷神区块链源代码

    在测试网中检查代码中的逻辑漏洞以及安全隐患:唯链雷神是一个由唯链团队开发的全新公链。唯链雷神区块链运用了以太坊的一些特性,例如以太虚拟机。唯链团队在底层区块链加入了许多对企业友好的特性,因此任何开发者或用户都能在平台上轻松使用。以下为唯链雷神区块链的一些主要特征:

    • VET/VTHO双通证制,交易以及执行智能合约仅消耗VTHO
    • 多方支付协议
    • 全新的交易模型
    • PoA共识机制

    安装

    雷神区块链是唯链新一代的区块链项目,用Golang编写。

    1. 通过Github下载主网源代码,开发依赖包,以及唯链雷神教程
    2. 链接到测试网,生成测试网上钱包地址并通过faucet接收测试通证

    该找些什么样的漏洞
    协议与网络

    • Conceptual and practical security issues in the formal specification of the protocol.
    • Misaligned / unintended economic incentives and game theoretic flaws.
    • Security weaknesses / attacks on the P2P communication protocol and PoA consensus algorithm.
    • Attacks
    • Scenarios for DoS attacks.
    • 51% and other X% attacks
    • Finney attacks
    • Sybil attacks
    • Replay attacks
    • Transaction / messages malleability
    • Server configuration issues (open ports) Node function validation
    • Lack of validations of blocks, transactions and messages
    • Transaction
    • Block
    • Chain
    • Ethereum Virtual Machine code execution such as built-in contract, native function
    • Contract creation
    • Message calls
    • Calculation and enforcement of fees. Client application security, suggestions on the APIs
    • Data type overflow / wrap around, e.g. integer overflow.
    • Panics or not properly handled errors.
    • Concurrency, e.g. synchronization, state, races attacks.
    • Issues related to external libraries used (outdated software). Cryptographic primitives security
    • Incorrect implementation / usage / configuration of:
    • Elliptic curve (secp256k1, ECDSA,ECDH,ECIES).
    • Hash algorithms (Keccak-256,Blake2b).
    • Merkle Patricia trees.

    漏洞评级及奖励标准
    bug bounty 奖励.png

    *奖励将会依照实时币价以VET的形式发放

    如何提交漏洞报告

    请您通过此在线表格提交您的报告

    唯链网络安全计划规定如下:

    • 禁止扰乱任何生产服务或泄露个人数据
    • 您必须提交书面文件,阐述已经完成的工作以及复制漏洞的步骤
    • 提交报告后,请勿透露漏洞信息给任何人或机构。一旦漏洞公开,您将失去获奖资格
    • 如多人报告相似漏洞,只奖励最先提交者
    • 需要声明的是,如果您发现多个漏洞,我们将以其中风险等级最高的漏洞为标准为您提供奖励
    • 漏洞风险等级以及获奖资格最终解释权归唯链基金会所有

    您可在唯链开发者专区获取相关技术文件,或在唯链官方Gitter社区获取开发资源。提交申请前,请确保已阅读并同意唯链赏金计划规则。如有问题,请联系bounty@vechain.com


Log in to reply