# 百万美金!Aptos 漏洞赏金计划细则 By [AptosGlobal](https://paragraph.com/@0xaptosworld) · 2022-09-23 --- 本文来自于immunefi 的Bug 赏金计划,由Aptos world 编译,点击「阅读原文」可以查看更多细则。 **项目概述** Aptos正在构建一个安全、可升级和可生产的Layer 1区块链。Aptos实验室由一个由创造者、研究人员、设计师和建设者组成的高度成就的团队所创建,致力于为数十亿人提供普遍和公平的去中心化访问。 Aptos 的具有突破性的 layer1 技术和编程语言——Move 目的在于提高公链的可靠性和性能,并加强安全性。这是通过在共识、智能合约设计、系统安全、性能和去中心化方面的创新实现的,大大简化了开发人员构建扩展性和用户友好型的应用程序的过程。 **你可以通过以下链接了解更多关于Aptos 公链的信息:** [https://aptoslabs.com/](https://aptoslabs.com/) [https://github.com/aptos-labs/aptos-core/tree/main/aptos-move](https://github.com/aptos-labs/aptos-core/tree/main/aptos-move) Aptos 白皮书: [https://aptos.dev/aptos-white-paper/aptos-white-paper-index](https://aptos.dev/aptos-white-paper/aptos-white-paper-index) Aptos 技术文档: [https://aptos.dev/](https://aptos.dev/) **漏洞等级奖励** 基于Immunefi漏洞严重性标准 V2.2 [https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-2/](https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-2/) 将根据漏洞的影响力进行奖金分配。这是一个简化的5级量表,对网站/应用程序、智能合约和区块链/DLTs 都有单独的量表,重点关注报告的 Bug 的影响力。此标准涵盖了 Bug 的所有方面,从成功利用该漏洞的结果到利用漏洞所需的访问级别,再到利用漏洞尝试成功的可能性。 所有关键区块链/ DLT错误报告都需要概念验证(PoC)才有资格获得奖励。不接受解释和陈述作为 PoC,并且需要代码。该计划中关键错误报告的奖励是固定的;任何产生重大影响的错误报告都将有资格获得全额奖励。 **注意:Aptos有第二个BUG 赏金计划,您可以在这里找到:** [https://immunefi.com/bounty/aptosmovevm。](https://immunefi.com/bounty/aptosmovevm%E3%80%82) 确定 BUG 报告有效性的标准是符合关键影响的要求,如果需要跨 Aptos 资产的多个 Bug,需要创建单个关键影响,这些 Bug 将被视为用于确定奖励的单个报告。 此外,BUG报告在Aptos计划中被视为统一,在一个程序中奖励过的BUG 报告将会被取消在其他Aptos程序奖励的资格。当然,这不适用于单独的特定BUG报告,如果证明存在单独的影响,则可能有资格获得其他Aptos计划的新奖励。 **关键需求** 这个bug赏金计划只对OFAC限制国家以外的个人开放 [https://home.treasury.gov/policy-issues/financial-sanctions/sanctions-programs-and-country-information](https://home.treasury.gov/policy-issues/financial-sanctions/sanctions-programs-and-country-information) Bug 赏金猎人会被要求提供证据,证明他们不是这些国家的居民或公民。如果是美国人,将需要提供税务信息,如W-9表,以便正确签发1099。 Aptos要求对所有提交报告并希望获得奖励的bug赏金猎人进行KYC,需要W-9或W-8表格用于报税。所有的bug赏金猎人都需要通过社区平台(aptoslabs.com)进行个人的KYC,这些信息的收集将由Aptos项目团队完成。 本次赏金将会由Aptos团队以美元(USD)计价,以USDC或者是USDT 来支付,具体的比例由获奖团队自行选择。 **资产范围** [https://github.com/aptos-labs/aptos-core](https://github.com/aptos-labs/aptos-core) 只有在“范围内资产”表中的资产才被认为是bug赏金计划内的资产。Github存储库分支“main”被认为是确定报告有效性和奖励的标准。 如果可能会对 Aptos 管理的任何其他资产造成影响,而这些资产不在此表中,但其影响位于下面的“范围中的影响”部分中,则鼓励您提交该资产以供项目考虑。 当Immunefi 提交BUG 系统关闭以后,尽管Aptos仍将收到有关提交的通知,并有权重新打开它,但这种情况下,提交请求将视为无效,除非是非常重要的问题。 **范围的影响** 此 bug 赏金计划中仅接受以下影响。其他所有影响不被视为范围内,即使它们影响范围表中资产中的某些内容也是如此。 **超出范围和规则** 以下漏洞被排除在此漏洞赏金计划的奖励之外: 1、报告者已经利用这些BUG 对Aptos 造成过损害; 2、需要访问泄漏密钥/凭证的攻击。 3、需要访问特权地址(治理、策略)的攻击。 4、内部已知的问题、重复的问题或已经公开的问题;。、 5、依靠社会工程或需要物理访问受害者设备的攻击。 6、对安全影响最小的信息公开(例如:堆栈跟踪、路径公开、目录列出、日志) 7、标签抓取 8、与自动填写web表单相关的漏洞 9、漏洞只能在过时的浏览器或平台上利用 10、需要物理访问受害设备的攻击 11、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击) **区块链/ DLT** 1、基本经济治理攻击(例如,51%攻击)。 2、最佳实践批评 3、事件中缺少或不正确的数据。 4、基本的经济治理攻击(例如51%攻击) 5、女巫攻击 6、中心化风险 **智能合约** 1、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击;使用这样的方法来产生关键的影响仍然在本程序的范围内)。 2、基本经济治理攻击(例如,51%攻击)。 3、缺乏流动性。 4、事件中缺少或不正确的数据。 5、合约中不正确的命名(但数据仍然正确)。 6、较小的舍入误差不会导致资金的大量损失。 7、第三方oracle提供的数据不正确(不排除oracle操作/闪贷攻击) **此bug赏金计划禁止以下活动:** 1、使用主网或者公共测试网进行任何测试(所有测试都应该在私有测试网上进行:[https://aptos.dev/nodes/local-testnet/local-testnet-index/)](https://aptos.dev/nodes/local-testnet/local-testnet-index/%EF%BC%89) 2、使用定价预言机或第三方智能合约进行任何测试 3、试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击 4、对第三方系统和应用程序(例如,浏览器扩展)以及网站(例如,单点登录供应商,广告网络)的任何测试 5、任何拒绝服务攻击 6、自动化测试对服务产生大量流量 7、公开披露赏金计划中未修补的漏洞 * **关注Aptos world 公众号,了解更多Aptos 讯息!** ![](https://storage.googleapis.com/papyrus_images/4c2798a8d57fb2c4cbc35b436ef37e0d66dbb257eda05134234e4af3c8ed9efc.png) --- *Originally published on [AptosGlobal](https://paragraph.com/@0xaptosworld/aptos-2)*