# Voltz 漏洞赏金详解 | Immunefi

By [白开水](https://paragraph.com/@baikaishui) · 2022-04-15

---

### 计划概述

Voltz是利率掉期（IRS）的非托管自动做市商。Voltz仅使用集中流动性虚拟AMM（vAMM）进行价格发现，并由保证金引擎执行基础资产管理。

这些模块的综合影响使交易对手能够通过比替代利率掉期模型高3，000倍的资本效率的机制来创建和交易固定和可变利率，同时还为流动性提供者和交易者提供对其头寸的显着控制和灵活性。

有关Voltz的更多信息，请访问 [https://www.voltz.xyz/](https://www.voltz.xyz/)。

### 按威胁级别划分的奖励

奖励根据基于 [Immunefi 漏洞严重性分类系统 V2.1 的漏洞](https://immunefi.com/immunefi-vulnerability-severity-classification-system-v2-1/)影响进行分配。这是一个简化的5级量表，对网站/应用程序，智能合约和区块链/ DLT有单独的量表，重点关注所报告漏洞的影响。

所有严重/高严重性智能合约错误报告必须附带一个最终影响范围内资产的最终效应的PoC，才能考虑获得奖励。不接受解释和声明，因为 PoC 和代码是必需的。

先前在以下审计报告中强调的问题被视为超出范围：

*   [https://docs.google.com/spreadsheets/d/1RDdZD5W26UhjY-GTCDcUpIJHaSJDko6EaUkpky62mYg/edit#gid=0](https://docs.google.com/spreadsheets/d/1RDdZD5W26UhjY-GTCDcUpIJHaSJDko6EaUkpky62mYg/edit#gid=0)
    
*   [https://drive.google.com/file/d/1dcb5onZCRIFyCdt-1eun09qsjU-0LMK9/view?usp=sharing](https://drive.google.com/file/d/1dcb5onZCRIFyCdt-1eun09qsjU-0LMK9/view?usp=sharing)
    

一些额外的错误报告指南：

*   每次提交报告一个漏洞，除非有必要链接漏洞以提供有关任何问题的上下文。
    
*   记者不能是Voltz现任或前任团队成员之一，供应商，承包商或任何这些承包商或供应商的员工。
    

付款由**Voltz**团队直接处理，并以美元计价。但是，付款以**USDC**或**USDT**完成，由团队自行决定。

**智能合约**

> 漏洞等级 危急
> 
> 悬赏美元 $100，000
> 
> 需要 PoC

> 漏洞等级 高
> 
> 悬赏美元 $15，000
> 
> 需要 PoC

> 漏洞等级 中等
> 
> 悬赏美元 $5，000

> 漏洞等级 低
> 
> 悬赏美元 $1，000

![](https://storage.googleapis.com/papyrus_images/c714b2ec21b72f3ddf723d32146df0e7eaee467b426a48784713152c1d9287c3.png)

### 范围内的资产

*   [https://kovan.etherscan.io/address/0x0Acae90cc4927bAd5BA6a51754771582783a95bb](https://kovan.etherscan.io/address/0x0Acae90cc4927bAd5BA6a51754771582783a95bb)
    
    智能合约 - 工厂（部署地址）
    
*   [https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/Factory.sol](https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/Factory.sol)
    
    智能合约 - 工厂 （Github）
    
*   [https://kovan.etherscan.io/address/0x01CAFCbD7D80592332Ce42C0a0b42Ab646cFB213](https://kovan.etherscan.io/address/0x01CAFCbD7D80592332Ce42C0a0b42Ab646cFB213)
    
    智能合约 - 保证金引擎（部署地址）
    
*   [https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/MarginEngine.sol](https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/MarginEngine.sol)
    
    智能合约 - MarginEngine （Github）
    
*   [https://kovan.etherscan.io/address/0xa24Ee30a27C7BA4f29C615caBD38bE8c4c783374](https://kovan.etherscan.io/address/0xa24Ee30a27C7BA4f29C615caBD38bE8c4c783374)
    
    智能合约 - VAMM（已部署地址）
    
*   [https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/VAMM.sol](https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/VAMM.sol)
    
    智能合约 - VAMM （Github）
    
*   [https://kovan.etherscan.io/address/0xEBA6f8D7d4d4787f29441dB1164548299Ef4641F](https://kovan.etherscan.io/address/0xEBA6f8D7d4d4787f29441dB1164548299Ef4641F)
    
    智能合约 - AaveRateOracle（已部署地址）
    
*   [https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/rate\_oracles/AaveRateOracle.sol](https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/rate_oracles/AaveRateOracle.sol)
    
    智能合约 - AaveRateOracle （Github）
    
*   [https://kovan.etherscan.io/address/0xae5626653fd961D814EE2c7eD85d15fBDfe22794](https://kovan.etherscan.io/address/0xae5626653fd961D814EE2c7eD85d15fBDfe22794)
    
    智能合约 - AaveFCM（已部署地址）
    
*   [https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/AaveFCM.sol](https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/AaveFCM.sol)
    
    智能合约 - AaveFCM （Github）
    
*   [https://kovan.etherscan.io/address/0x4cb93ed60a3Dd9013979c6251C14117e02A6DfA1](https://kovan.etherscan.io/address/0x4cb93ed60a3Dd9013979c6251C14117e02A6DfA1)
    
    智能合约 - 外围（已部署地址）
    
*   [https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/periphery/Periphery.sol](https://github.com/Voltz-Protocol/voltz-core/blob/main/contracts/periphery/Periphery.sol)
    
    智能合约 - 外围 （Github）
    

### 优先处理的漏洞

**范围内的影响**

此漏洞赏金计划中仅接受以下影响。所有其他影响均不被视为作用域内，即使它们影响作用域表中资产中的某些内容也是如此。

**智能合约**

**危急**

*   直接窃取任何用户资金，无论是静止的还是动态的，除了无人认领的收益
    
*   永久冻结资金
    

**高**

*   协议破产
    
*   盗窃无人认领的收益
    
*   永久冻结无人认领的产量
    

**中等**

*   智能合约因资金不足而无法运作
    
*   以牟利为目的的块填充
    
*   气体盗窃
    
*   无限气体消耗量（气体排放）
    

**低**

*   智能合约未能提供承诺的回报，但不会失去价值
    

### 超出范围和规则

以下漏洞已从此漏洞赏金计划的奖励中排除：

*   记者已经利用自己的攻击，导致损害
    
*   需要访问泄露的密钥/凭据的攻击
    
*   需要访问特权地址（治理）的攻击
    

**智能合约和区块链**

*   第三方预言机提供的数据不正确
    
*   基本经济治理攻击（例如 51% 攻击）
    
*   DDOS 攻击
    
*   缺乏流动性
    
*   最佳实践批评
    
*   西比尔攻击
    
*   集中化风险
    

此漏洞赏金计划禁止以下活动：

*   使用主网或公共测试网合同进行任何测试;所有测试都应在私人测试网上进行
    
*   使用定价预言机或第三方智能合约进行任何测试
    
*   试图针对我们的员工和/或客户进行网络钓鱼或其他社交工程攻击
    
*   使用第三方系统和应用程序（例如浏览器扩展）以及网站（例如SSO提供商，广告网络）进行的任何测试
    
*   任何拒绝服务攻击
    
*   自动测试产生大量流量的服务
    
*   公开披露禁运赏金中未修补的漏洞

---

*Originally published on [白开水](https://paragraph.com/@baikaishui/voltz-immunefi)*