Sui基金会宣布与Immunefi合作开展Bug Bounty赏金计划
Bug Bounty漏洞赏金计划旨在激励白帽黑客发现有效的漏洞与问题,从而帮助维护平台的安全与稳定。
谨慎小心和保持警惕,在构建一个高度信任且安全的数字资产网络过程中非常关键。同其他复杂系统一样,在生态系统发展壮大的过程中,可能会有一些潜在的漏洞和薄弱环节暴露出来。因此,Sui基金会与Immunefi合作为白帽黑客推出Bug Bounty赏金计划,期望白帽黑客能够发现并及时反馈在网络运行中出现的问题。
影响范围
该计划将影响范围分为以下四个等级:
最高级
- 超过100亿SUI Token的最大供应量,同时让攻击者领取到超过最大供应量的资金
- 资金损失包括:
- 绕过或利用Move或Sui字节码验证程序中的错误,未经授权创建、复制、转移或销毁object
- Address Collision(地址冲突):创建两个不同的认证方案,哈希至相同的SUI地址,导致巨额资金损失
- Object ID冲突:创建两个具有相同ID的不同的object,导致巨额资金损失
- 使用未经授权的独享object作为交易输入,由于无法验证所有权和交易许可,导致巨额资金损失
- 动态加载不是由事务发送方直接拥有或传递性拥有的对象,导致巨额资金损失
- 未经授权对Move包进行升级,导致巨额资金损失
- 窃取属于其他用户的质押奖励,或领取规定以外的用户质押奖励,其中不包括因数据误差而对财务产生的轻微影响
- 违反拜占庭容错假设,获得与质押极不匹配的投票权重,或违反其他有关区块链PoS治理完整性的问题,但不包括:
- 由于一个或者多个验证节点已经拥有最大投票权重,导致投票权重重新分配
- 由于误差导致投票权重的轻微差异
- 非预期的永久链分裂需要硬分叉(需要硬分叉的网络分区)
- 网络无法确认新交易(整个网络关闭)
- 在未经修正的验证节点软件上执行任意的不是Move远程的代码
高级
- 意外的链分裂(网络分区)
- 临时性关闭整个网络(宕机时间超过10分钟)
中级
- 由于意外和不当的智能合约行为导致的漏洞,但相关资金无直接损失
- 无意的SUI Token意外地被永久销毁
- 未经强制性措施关闭大于等于30%的网络处理节点,并非关闭整个网络
低级
- 发送一笔交易,在未修正的验证节点软件中触发一个常规的错误代码
更多详情,请参阅Sui的GitHub代码库和Immunefi Bug Bounty页面。
提交所有的漏洞报告时,必须附带相关证明,说明该漏洞是在运行测试网还是主网时发现,以及最终影响的资产范围。满足这些条件才能被视为有效并参与奖励瓜分。但白帽黑客不必对发现的漏洞进行修复。漏洞报告必须通过Immunefi官方页面提交。
关于 Immunefi
Immunefi是 Web3 领域领先的漏洞悬赏和安全服务平台,拥有全球最大的 Web3 安全社区和漏洞悬赏计划。Immunefi 保护着 Wormhole、MakerDAO、Polygon、Chain、Arbitrum、Lido、Stacks、Optimism 等项目的数十亿用户资金。该公司已经阻止了数百个项目中危及数百亿美元的漏洞利用。