自 5 月 18 日 Nervos CKB 测试网发布以来,Nervos 团队不断地对 CKB 进行功能测试和 Bug 修复。安全是我们关注的重要核心,我们也非常重视个人为维护 Nervos 网络安全所付出的努力。
因此,我们启动了 Bug Bounty 计划。
Nervos Bug Bounty 计划将对被确认的 Bug 提供最高为2.5 万美元的奖励,赏金计划初始赏金总额为100 万美元。
Nervos CKB 主网上线在即,我们呼吁所有的漏洞赏金猎人来帮助我们找出并反馈 Nervos 网络中的 Bug。快来寻找 Bug 并获取奖励吧,详情请参见以下细则。
祝狩猎愉快~^0^~
规 则
必须是新发现的,之前没有被反馈过的安全漏洞;
找出的安全漏洞必须是「nervosnetwork」GitHub页面上代码的一部分,而不是其他第三方代码;
您没有写过任何与 Nervos 项目 Bug 相关的代码,也没有以其他方式参与到 Nervos 项目代码漏洞的生产过程中;
Nervos 项目的员工、承包商、以及其它与 Nervos 基金会或其任何子公司有业务关系者不能参加该计划;
您可以启动或分叉出一个私有链来寻找 Bug。请尊重 CKB 主网络和测试网络,不要攻击它;
公开披露漏洞将失去获得赏金的资格;
您必须符合 KYC 的标准要求,并通过审核才有资格领取赏金;
Nervos Bug Bounty 团队保留对参赛资格、分数、以及所有与奖励相关条款的最终决定权。
赏金范围
Nervos 漏洞赏金计划涉及的范围较广,包括但不限于:
共识模型、经济模型、Cell 模型、P2P 协议、PoW 算法等;
协议实现的安全性和完备性;
加密原语;
一些将终端用户账户置于危险之中的账户管理缺陷;
通用的软件安全漏洞。
我们邀请赏金猎人来检查 Nervos CKB 的核心组件:
CKB 共识协议:它是比特币中本聪共识的变体,在保留中本聪共识优点的同时,提升了其性能极限和抵抗自私挖矿攻击的能力。
经济模型:Nervos CKB 经济模型专为保护资产和其它类型的共同知识而设计。
PoW 哈希算法:Eaglesong 是一个 Sponge 架构,且仅使用了三种操作:添加、循环和 xor。
Cell 模型是一种从比特币 UTXO 模型中衍生出来的通用编程模型。
CKB的实现符合所有协议。
CKB-VM是基于RISC-V指令集的纯软件实现,用于 CKB 中的虚拟机脚本编写。
系统脚本是我们开发的重要合约。这些脚本的安全性对于系统来说非常重要,因为它们将得到广泛的使用。
P2P是一组框架和协议。我们建立了一个多路复用的 P2P 网络框架,以支持从头开始安装自定义协议。我们还定义并实现了以下协议:
区块同步
致密区块中继
交易中继
Discovery
CKB Cli是一个与 CKB 节点交互的控制台工具。
Neuron是桌面版钱包。
以下内容不属于赏金计划范畴:
Nervos 网站中的问题;
安全问题的重复报告,包括在内部已经得到确认的安全问题;
没有实际利用场景或攻击面的理论安全问题,或者需要通过复杂的终端用户交互才能被利用的问题;
确定为影响较小的问题。
奖励细则
Nervos 赏金计划期间,所发放的初始赏金总额为 100 万美元;
Nervos 赏金计划将于 2019 年 10 月 22 日启动,在初始奖金被领取完之后开启下一阶段赏金计划(请关注我们的官方渠道获取最新动态)。
我们采用了OWASP模型;奖励金额将取决于该漏洞的严重程度。
除严重程度外,Nervos 赏金计划还将根据其它一些变量来决定赏金金额,包括(但不限于):
描述的质量;
可再现性的质量,如测试代码、脚本和详细说明。
赏金的基本分类如下:
1 积分目前相当于 1 美元(以 USD、USDC、BTC、ETH 或者 CKB 支付),将来可能会有一些调整。此外,某些辖区也可能无法使用加密货币付款。
严重:15001 - 25000
容易破坏整个 CKB 网络的漏洞;
容易造成共识偏差的漏洞;
容易破坏 CKB 经济的漏洞。
高风险:10001 - 15000
容易破坏 CKB 节点的漏洞;
可以低成本地导致 CKB 网络拥堵的漏洞或不佳设计;
CKB-VM 或系统脚本不当的实现或行为。
中风险:2001 - 10000
CKB 状态存储机制的次优实现
低风险:501 - 2000
CKB 的其他重要性能改进
其他:0 - 500
任何本地的 RPC API 崩溃;
任何本地的命令行崩溃。
赏金评估流程
FAQ
赏金计划会在什么时候结束?
我们目前没有设定确切的结束日期,在初始奖金 100 万美元被领取之后会开启下一阶段赏金计划。请关注 Nervos 官方渠道获取最新动态。
如何提交一个 Bug 报告?
您在发现一个漏洞之后,请提供一个关于该漏洞的报告至邮箱:bounty@nervos.org,该报告中须包括您的姓名、电子邮件、公司名称(如果适用)、关于该漏洞的描述、您认为该漏洞会对 Nervos 有何潜在影响,以及您发现该漏洞的过程(步骤)。
我提交了一个问题 / 漏洞,但没有收到回复怎么办?
在公布或与他人共享任何有关于该报告的信息之前,我们需要一个合理的时间来审查和处理您所提交的问题。我们将尽快地检查并答复您的提交。如果您在提交后的两周内还没有收到回复,可以随时发送邮件给我们:bounty@nervos.org。
赏金将如何发放?
赏金可以以 USD、USDT、ETH、BTC 的形式发放,在一些特定的行政辖区,也可以以 CKB 的形式发放。赏金通常会在提交被确认后的几周后发放。根据当地法律要求,我们需要您提供您的身份证明。另外,我们会适当地需要您的银行账户信息或者 USDT、ETH、BTC、CKB 地址。
对于来自美国境内的参与者,所有赏金将仅以 USD、USDT、ETH 或 BTC 支付。
对于来自美国以外的参与者,可以选择 CKB 作为奖励,但是必须符合该计划条款中所述的特定资格规定。
领取专属 10元无门槛券
私享最新 技术干货