The first Aptos APAC Community since May, 2022. Member of Move Accelerator. We're committed to building in Aptos ecosystem.
The first Aptos APAC Community since May, 2022. Member of Move Accelerator. We're committed to building in Aptos ecosystem.
Subscribe to AptosGlobal
Subscribe to AptosGlobal
<100 subscribers
<100 subscribers
Share Dialog
Share Dialog
本文来自于immunefi 的Bug 赏金计划,由Aptos world 编译,点击「阅读原文」可以查看更多细则。
项目概述
Aptos正在构建一个安全、可升级和可生产的Layer 1区块链。Aptos实验室由一个由创造者、研究人员、设计师和建设者组成的高度成就的团队所创建,致力于为数十亿人提供普遍和公平的去中心化访问。
Aptos 的具有突破性的 layer1 技术和编程语言——Move 目的在于提高公链的可靠性和性能,并加强安全性。这是通过在共识、智能合约设计、系统安全、性能和去中心化方面的创新实现的,大大简化了开发人员构建扩展性和用户友好型的应用程序的过程。
你可以通过以下链接了解更多关于Aptos 公链的信息:
https://github.com/aptos-labs/aptos-core/tree/main/aptos-move
Aptos 白皮书: https://aptos.dev/aptos-white-paper/aptos-white-paper-index
Aptos 技术文档: https://aptos.dev/
漏洞等级奖励
基于Immunefi漏洞严重性标准 V2.2
https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-2/
将根据漏洞的影响力进行奖金分配。这是一个简化的5级量表,对网站/应用程序、智能合约和区块链/DLTs 都有单独的量表,重点关注报告的 Bug 的影响力。此标准涵盖了 Bug 的所有方面,从成功利用该漏洞的结果到利用漏洞所需的访问级别,再到利用漏洞尝试成功的可能性。
所有关键区块链/ DLT错误报告都需要概念验证(PoC)才有资格获得奖励。不接受解释和陈述作为 PoC,并且需要代码。该计划中关键错误报告的奖励是固定的;任何产生重大影响的错误报告都将有资格获得全额奖励。
注意:Aptos有第二个BUG 赏金计划,您可以在这里找到:
https://immunefi.com/bounty/aptosmovevm。
确定 BUG 报告有效性的标准是符合关键影响的要求,如果需要跨 Aptos 资产的多个 Bug,需要创建单个关键影响,这些 Bug 将被视为用于确定奖励的单个报告。
此外,BUG报告在Aptos计划中被视为统一,在一个程序中奖励过的BUG 报告将会被取消在其他Aptos程序奖励的资格。当然,这不适用于单独的特定BUG报告,如果证明存在单独的影响,则可能有资格获得其他Aptos计划的新奖励。
关键需求
这个bug赏金计划只对OFAC限制国家以外的个人开放
Bug 赏金猎人会被要求提供证据,证明他们不是这些国家的居民或公民。如果是美国人,将需要提供税务信息,如W-9表,以便正确签发1099。
Aptos要求对所有提交报告并希望获得奖励的bug赏金猎人进行KYC,需要W-9或W-8表格用于报税。所有的bug赏金猎人都需要通过社区平台(aptoslabs.com)进行个人的KYC,这些信息的收集将由Aptos项目团队完成。
本次赏金将会由Aptos团队以美元(USD)计价,以USDC或者是USDT 来支付,具体的比例由获奖团队自行选择。
资产范围
https://github.com/aptos-labs/aptos-core
只有在“范围内资产”表中的资产才被认为是bug赏金计划内的资产。Github存储库分支“main”被认为是确定报告有效性和奖励的标准。
如果可能会对 Aptos 管理的任何其他资产造成影响,而这些资产不在此表中,但其影响位于下面的“范围中的影响”部分中,则鼓励您提交该资产以供项目考虑。
当Immunefi 提交BUG 系统关闭以后,尽管Aptos仍将收到有关提交的通知,并有权重新打开它,但这种情况下,提交请求将视为无效,除非是非常重要的问题。
范围的影响
此 bug 赏金计划中仅接受以下影响。其他所有影响不被视为范围内,即使它们影响范围表中资产中的某些内容也是如此。
超出范围和规则
以下漏洞被排除在此漏洞赏金计划的奖励之外:
1、报告者已经利用这些BUG 对Aptos 造成过损害;
2、需要访问泄漏密钥/凭证的攻击。
3、需要访问特权地址(治理、策略)的攻击。
4、内部已知的问题、重复的问题或已经公开的问题;。、
5、依靠社会工程或需要物理访问受害者设备的攻击。
6、对安全影响最小的信息公开(例如:堆栈跟踪、路径公开、目录列出、日志)
7、标签抓取
8、与自动填写web表单相关的漏洞
9、漏洞只能在过时的浏览器或平台上利用
10、需要物理访问受害设备的攻击
11、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击)
区块链/ DLT
1、基本经济治理攻击(例如,51%攻击)。
2、最佳实践批评
3、事件中缺少或不正确的数据。
4、基本的经济治理攻击(例如51%攻击)
5、女巫攻击
6、中心化风险
智能合约
1、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击;使用这样的方法来产生关键的影响仍然在本程序的范围内)。
2、基本经济治理攻击(例如,51%攻击)。
3、缺乏流动性。
4、事件中缺少或不正确的数据。
5、合约中不正确的命名(但数据仍然正确)。
6、较小的舍入误差不会导致资金的大量损失。
7、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击)
此bug赏金计划禁止以下活动:
1、使用主网或者公共测试网进行任何测试(所有测试都应该在私有测试网上进行:https://aptos.dev/nodes/local-testnet/local-testnet-index/)
2、使用定价预言机或第三方智能合约进行任何测试
3、试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击
4、对第三方系统和应用程序(例如,浏览器扩展)以及网站(例如,单点登录供应商,广告网络)的任何测试
5、任何拒绝服务攻击
6、自动化测试对服务产生大量流量
7、公开披露赏金计划中未修补的漏洞
关注Aptos world 公众号,了解更多Aptos 讯息!
本文来自于immunefi 的Bug 赏金计划,由Aptos world 编译,点击「阅读原文」可以查看更多细则。
项目概述
Aptos正在构建一个安全、可升级和可生产的Layer 1区块链。Aptos实验室由一个由创造者、研究人员、设计师和建设者组成的高度成就的团队所创建,致力于为数十亿人提供普遍和公平的去中心化访问。
Aptos 的具有突破性的 layer1 技术和编程语言——Move 目的在于提高公链的可靠性和性能,并加强安全性。这是通过在共识、智能合约设计、系统安全、性能和去中心化方面的创新实现的,大大简化了开发人员构建扩展性和用户友好型的应用程序的过程。
你可以通过以下链接了解更多关于Aptos 公链的信息:
https://github.com/aptos-labs/aptos-core/tree/main/aptos-move
Aptos 白皮书: https://aptos.dev/aptos-white-paper/aptos-white-paper-index
Aptos 技术文档: https://aptos.dev/
漏洞等级奖励
基于Immunefi漏洞严重性标准 V2.2
https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-2/
将根据漏洞的影响力进行奖金分配。这是一个简化的5级量表,对网站/应用程序、智能合约和区块链/DLTs 都有单独的量表,重点关注报告的 Bug 的影响力。此标准涵盖了 Bug 的所有方面,从成功利用该漏洞的结果到利用漏洞所需的访问级别,再到利用漏洞尝试成功的可能性。
所有关键区块链/ DLT错误报告都需要概念验证(PoC)才有资格获得奖励。不接受解释和陈述作为 PoC,并且需要代码。该计划中关键错误报告的奖励是固定的;任何产生重大影响的错误报告都将有资格获得全额奖励。
注意:Aptos有第二个BUG 赏金计划,您可以在这里找到:
https://immunefi.com/bounty/aptosmovevm。
确定 BUG 报告有效性的标准是符合关键影响的要求,如果需要跨 Aptos 资产的多个 Bug,需要创建单个关键影响,这些 Bug 将被视为用于确定奖励的单个报告。
此外,BUG报告在Aptos计划中被视为统一,在一个程序中奖励过的BUG 报告将会被取消在其他Aptos程序奖励的资格。当然,这不适用于单独的特定BUG报告,如果证明存在单独的影响,则可能有资格获得其他Aptos计划的新奖励。
关键需求
这个bug赏金计划只对OFAC限制国家以外的个人开放
Bug 赏金猎人会被要求提供证据,证明他们不是这些国家的居民或公民。如果是美国人,将需要提供税务信息,如W-9表,以便正确签发1099。
Aptos要求对所有提交报告并希望获得奖励的bug赏金猎人进行KYC,需要W-9或W-8表格用于报税。所有的bug赏金猎人都需要通过社区平台(aptoslabs.com)进行个人的KYC,这些信息的收集将由Aptos项目团队完成。
本次赏金将会由Aptos团队以美元(USD)计价,以USDC或者是USDT 来支付,具体的比例由获奖团队自行选择。
资产范围
https://github.com/aptos-labs/aptos-core
只有在“范围内资产”表中的资产才被认为是bug赏金计划内的资产。Github存储库分支“main”被认为是确定报告有效性和奖励的标准。
如果可能会对 Aptos 管理的任何其他资产造成影响,而这些资产不在此表中,但其影响位于下面的“范围中的影响”部分中,则鼓励您提交该资产以供项目考虑。
当Immunefi 提交BUG 系统关闭以后,尽管Aptos仍将收到有关提交的通知,并有权重新打开它,但这种情况下,提交请求将视为无效,除非是非常重要的问题。
范围的影响
此 bug 赏金计划中仅接受以下影响。其他所有影响不被视为范围内,即使它们影响范围表中资产中的某些内容也是如此。
超出范围和规则
以下漏洞被排除在此漏洞赏金计划的奖励之外:
1、报告者已经利用这些BUG 对Aptos 造成过损害;
2、需要访问泄漏密钥/凭证的攻击。
3、需要访问特权地址(治理、策略)的攻击。
4、内部已知的问题、重复的问题或已经公开的问题;。、
5、依靠社会工程或需要物理访问受害者设备的攻击。
6、对安全影响最小的信息公开(例如:堆栈跟踪、路径公开、目录列出、日志)
7、标签抓取
8、与自动填写web表单相关的漏洞
9、漏洞只能在过时的浏览器或平台上利用
10、需要物理访问受害设备的攻击
11、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击)
区块链/ DLT
1、基本经济治理攻击(例如,51%攻击)。
2、最佳实践批评
3、事件中缺少或不正确的数据。
4、基本的经济治理攻击(例如51%攻击)
5、女巫攻击
6、中心化风险
智能合约
1、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击;使用这样的方法来产生关键的影响仍然在本程序的范围内)。
2、基本经济治理攻击(例如,51%攻击)。
3、缺乏流动性。
4、事件中缺少或不正确的数据。
5、合约中不正确的命名(但数据仍然正确)。
6、较小的舍入误差不会导致资金的大量损失。
7、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击)
此bug赏金计划禁止以下活动:
1、使用主网或者公共测试网进行任何测试(所有测试都应该在私有测试网上进行:https://aptos.dev/nodes/local-testnet/local-testnet-index/)
2、使用定价预言机或第三方智能合约进行任何测试
3、试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击
4、对第三方系统和应用程序(例如,浏览器扩展)以及网站(例如,单点登录供应商,广告网络)的任何测试
5、任何拒绝服务攻击
6、自动化测试对服务产生大量流量
7、公开披露赏金计划中未修补的漏洞
关注Aptos world 公众号,了解更多Aptos 讯息!
No activity yet