Bug Bounty

Bug Bounty 漏洞赏金计划旨在激励白帽黑客发现有效的漏洞与问题，从而帮助维护平台的安全与稳定。

谨慎小心和保持警惕，在构建一个高度信任且安全的数字资产网络过程中非常关键。同其他复杂系统一样，在生态系统发展壮大的过程中，可能会有一些潜在的漏洞和薄弱环节暴露出来。因此，Sui 基金会与 Immunefi 合作为白帽黑客推出 Bug Bounty 赏金计划，期望白帽黑客能够发现并及时反馈在网络运行中出现的问题。

影响范围

该计划将影响范围分为以下四个等级：

最高级

⭐️ 超过 100 亿 SUI Token 的最大供应量，同时让攻击者领取到超过最大供应量的资金

⭐️ 资金损失包括：

绕过或利用 Move 或 Sui 字节码验证程序中的错误，未经授权创建、复制、转移或销毁 object Address Collision（地址冲突）：创建两个不同的认证方案，哈希至相同的 SUI 地址，导致巨额资金损失 Object ID 冲突：创建两个具有相同 ID 的不同的 object，导致巨额资金损失 使用未经授权的独享 object 作为交易输入，由于无法验证所有权和交易许可，导致巨额资金损失 动态加载不是由事务发送方直接拥有或传递性拥有的对象，导致巨额资金损失 未经授权对 Move 包进行升级，导致巨额资金损失 窃取属于其他用户的质押奖励，或领取规定以外的用户质押奖励，其中不包括因数据误差而对财务产生的轻微影响

⭐️ 违反拜占庭容错假设，获得与质押极不匹配的投票权重，或违反其他有关区块链 PoS 治理完整性的问题，但不包括：

由于一个或者多个验证节点已经拥有最大投票权重，导致投票权重重新分配 由于误差导致投票权重的轻微差异

⭐️ 非预期的永久链分裂需要硬分叉（需要硬分叉的网络分区）

⭐️ 网络无法确认新交易（整个网络关闭）

⭐️ 在未经修正的验证节点软件上执行任意的不是 Move 远程的代码

高级

⭐️ 意外的链分裂（网络分区）

⭐️ 临时性关闭整个网络（宕机时间超过 10 分钟）

中级

⭐️ 由于意外和不当的智能合约行为导致的漏洞，但相关资金无直接损失

⭐️ 无意的 SUI Token 意外地被永久销毁

⭐️ 未经强制性措施关闭大于等于 30% 的网络处理节点，并非关闭整个网络

低级

⭐️ 发送一笔交易，在未修正的验证节点软件中触发一个常规的错误代码

更多详情，请参阅以下链接：

➡️ Sui GitHub repo：

https://github.com/MystenLabs/sui/blob/main/SECURITY.md

➡️ Sui Immunefi Bug Bounty 页面：

https://immunefi.com/bounty/sui/

提交所有的漏洞报告时，必须附带相关证明，说明该漏洞是在运行测试网还是主网时发现，以及最终影响的资产范围。满足这些条件才能被视为有效并参与奖励瓜分。

但白帽黑客不必对发现的漏洞进行修复。漏洞报告必须通过 Immunefi 官方页面提交：http://bugs.immunefi.com/

关于 Sui Network

Sui 是基于第一原理重新设计和构建而成的 L1 公有链，旨在为创作者和开发者提供能够承载 Web3 中下一个十亿用户的开发平台。Sui 上的应用基于 Move 智能合约语言，并具有水平可扩展性，让开发者能够快速且低成本支持广泛的应用开发。