Sui基金会宣布与Immunefi合作开展Bug Bounty赏金计划

谨慎小心和保持警惕，在构建一个高度信任且安全的数字资产网络过程中非常关键。同其他复杂系统一样，在生态系统发展壮大的过程中，可能会有一些潜在的漏洞和薄弱环节暴露出来。因此，Sui基金会与Immunefi合作为白帽黑客推出Bug Bounty赏金计划，期望白帽黑客能够发现并及时反馈在网络运行中出现的问题。

影响范围

该计划将影响范围分为以下四个等级：

最高级

• 超过100亿SUI Token的最大供应量，同时让攻击者领取到超过最大供应量的资金
• 资金损失包括：
  • 绕过或利用Move或Sui字节码验证程序中的错误，未经授权创建、复制、转移或销毁object
  • Address Collision（地址冲突）：创建两个不同的认证方案，哈希至相同的SUI地址，导致巨额资金损失
  • Object ID冲突：创建两个具有相同ID的不同的object，导致巨额资金损失
  • 使用未经授权的独享object作为交易输入，由于无法验证所有权和交易许可，导致巨额资金损失
  • 动态加载不是由事务发送方直接拥有或传递性拥有的对象，导致巨额资金损失
  • 未经授权对Move包进行升级，导致巨额资金损失
  • 窃取属于其他用户的质押奖励，或领取规定以外的用户质押奖励，其中不包括因数据误差而对财务产生的轻微影响
• 违反拜占庭容错假设，获得与质押极不匹配的投票权重，或违反其他有关区块链PoS治理完整性的问题，但不包括：
  • 由于一个或者多个验证节点已经拥有最大投票权重，导致投票权重重新分配
  • 由于误差导致投票权重的轻微差异
• 非预期的永久链分裂需要硬分叉（需要硬分叉的网络分区）
• 网络无法确认新交易（整个网络关闭）
• 在未经修正的验证节点软件上执行任意的不是Move远程的代码

高级

• 意外的链分裂（网络分区）
• 临时性关闭整个网络（宕机时间超过10分钟）

中级

• 由于意外和不当的智能合约行为导致的漏洞，但相关资金无直接损失
• 无意的SUI Token意外地被永久销毁
• 未经强制性措施关闭大于等于30%的网络处理节点，并非关闭整个网络

低级

• 发送一笔交易，在未修正的验证节点软件中触发一个常规的错误代码

更多详情，请参阅Sui的GitHub代码库和Immunefi Bug Bounty页面。

提交所有的漏洞报告时，必须附带相关证明，说明该漏洞是在运行测试网还是主网时发现，以及最终影响的资产范围。满足这些条件才能被视为有效并参与奖励瓜分。但白帽黑客不必对发现的漏洞进行修复。漏洞报告必须通过Immunefi官方页面提交。

关于 Immunefi

Immunefi是 Web3 领域领先的漏洞悬赏和安全服务平台，拥有全球最大的 Web3 安全社区和漏洞悬赏计划。Immunefi 保护着 Wormhole、MakerDAO、Polygon、Chain、Arbitrum、Lido、Stacks、Optimism 等项目的数十亿用户资金。该公司已经阻止了数百个项目中危及数百亿美元的漏洞利用。