Chương trình Bounty Bug của IoTeX - Dành cho iotex-core
Posted by Huy Hoang 6 months ago

IoTeX rất vui mừng được công bố chương trình phần thưởng hoàn toàn mới cho các nhà phát triển trong cộng đồng của chúng tôi! Chương trình Bug Bounty là một đề nghị mở cho các cá nhân bên ngoài để nhận tiền thưởng khi báo cáo các lỗi iotex-core , đặc biệt liên quan đến chức năng bảo mật cốt lõi .

Không có công nghệ nào là hoàn hảo và IoTeX tin rằng làm việc với các nhà nghiên cứu, nhà phát triển, kỹ sư và công nghệ trên toàn cầu là rất quan trọng trong việc xác định các điểm yếu trong cơ sở hạ tầng blockchain của chúng tôi khi chúng tôi đang xây dựng. Nếu bạn tin rằng bạn đã tìm thấy sự cố bảo mật trong sản phẩm hoặc dịch vụ của chúng tôi, chúng tôi khuyến khích bạn thông báo cho chúng tôi. Chúng tôi hoan nghênh làm việc với bạn để giải quyết vấn đề kịp thời.

Thời gian chiến dịch

02/11/19 10:00 PM PST đến 03/03/19 10:00 PM PST

Phạm vi

Phạm vi của chương trình được giới hạn ở các lỗ hổng kỹ thuật trong phần mềm blockchain IoTeX mới nhất ,

https://github.com/iotexproject/iotex-core

đặc biệt tập trung vào các lỗ hổng tại:

  1. Lớp mạng P2P
  2. Lớp xử lý đồng thuận
  3. Lớp logic nghiệp vụ để xử lý các khối và giao dịch
  4. Lớp thực thi để chạy hợp đồng thông minh
  5. Phần mềm / lib của bên thứ 3 được sử dụng trong bốn lớp trên

Các mục thường được báo cáo sau đây đã được biết đến và KHÔNG nên báo cáo:

  1. Thực hành bảo mật để thiết lập DNS và xác thực email
  2. Thực hành bảo mật cho các trang web của chúng tôi (iotex.io, iotexscan.io, v.v.)
  3. Thư rác trên mạng xã hội
  4. Tấn công lừa đảo


Lỗ hổng đủ điều kiện

Để đủ điều kiện nhận tiền thưởng, lỗi bảo mật phải là bản gốc và chưa được báo cáo trước đó .

Chỉ các vấn đề thiết kế hoặc triển khai sau đây ảnh hưởng đáng kể đến tính ổn định hoặc bảo mật của blockchain IoTeX mới đủ điều kiện nhận phần thưởng. Ví dụ phổ biến bao gồm :

  1. Rò rỉ khóa riêng trong khi máy chủ không bị xâm phạm
  2. Kích hoạt các hành động trái phép trên tài khoản, ví dụ: chuyển tiền trái phép từ tài khoản
  3. Gói / tin nhắn / cuộc gọi đặc biệt khiến quá trình bị sập
  4. Gửi hợp đồng vào một vòng lặp vô hạn hoặc sử dụng một lượng lớn bộ nhớ


Đối với các tình huống không thuộc một trong các loại trên, chúng tôi vẫn đánh giá cao các báo cáo giúp chúng tôi bảo mật cơ sở hạ tầng và người dùng của chúng tôi và sẽ thưởng cho các báo cáo đó trong từng trường hợp cụ thể. Lưu ý rằng các quyết định khen thưởng tùy thuộc vào IoTeX Foundation.

Phần thưởng

Đối với những phát hiện đủ điều kiện,

Số tiền cơ bản của phần thưởng hiện là 10.000 IOTX và số tiền cụ thể phụ thuộc vào mức độ nghiêm trọng của lỗi được báo cáo, theo bảng sau.

Số tiền cuối cùng luôn được chọn theo quyết định của hội đồng khen thưởng.

Chúng tôi trả phần thưởng cao hơn cho các lỗ hổng thông minh hoặc nghiêm trọng khác thường và trả phần thưởng thấp hơn cho các lỗ hổng yêu cầu tương tác người dùng bất thường. Chúng tôi cũng quyết định rằng một báo cáo duy nhất thực sự cấu thành nhiều lỗi hoặc nhiều báo cáo có liên quan chặt chẽ đến mức chúng chỉ đảm bảo một phần thưởng duy nhất.

Đối với nhiều lỗ hổng với một nguyên nhân gốc tiềm ẩn, trong đó một sửa chữa có thể được áp dụng để khắc phục, chúng tôi coi đây là một lỗ hổng và chỉ trao giải một lần.

Báo cáo lỗi

Nếu bạn đã tìm thấy một lỗ hổng, vui lòng gửi báo cáo qua http://iotex.io/bugs với thông tin sau:

  1. Mức độ nghiêm trọng của vấn đề

2. Tóm tắt về lỗ hổng

3. Bất kỳ chi tiết bổ sung nào về lỗ hổng này

4. Các bước để tái sản xuất

5. Tài liệu hỗ trợ / Tài liệu tham khảo, ví dụ: mã nguồn, tập lệnh

6. Tác động an ninh mà kẻ tấn công có thể đạt được

7. Tên và quốc gia của bạn, ví dụ: người gửi không xác định sẽ không đủ điều kiện nhận thưởng


https://docs.google.com/forms/d/e/1FAIpQLScEGHvGBwxa-f_7R0G4bEAmvXY5n-J_35jxAkRLc7h727dwTA/viewform?usp=embedded_form_link

Lưu ý rằng

Bạn sẽ đủ điều kiện nhận phần thưởng chỉ khi bạn là người đầu tiên cảnh báo chúng tôi về một lỗ hổng chưa biết trước đó . Chúng tôi sẽ cập nhật cho bạn về tiến trình báo cáo của bạn khi nó được chấp nhận, xác thực, cố định và khi tiền thưởng được hoàn trả.

Các cuộc thảo luận kỹ thuật trong https://gitter.im/iotex-dev-community/Lulk được khuyến khích nhưng không tiết lộ chi tiết lỗi mà không thông báo cho chúng tôi trước.

Nhóm kỹ thuật của chúng tôi (người sẽ liên lạc với email @ iotex.io hợp lệ) có thể liên hệ với bạn để biết thêm thông tin về lỗi nếu cần.

Miễn trừ

Đây là chương trình phần thưởng thử nghiệm và tùy ý và tổ chức IoTeX có thể hủy chương trình bất cứ lúc nào và quyết định về việc có trả phần thưởng hay không hoàn toàn theo quyết định của tổ chức IoTeX. Khai thác hoặc thử nghiệm của người tham gia không được vi phạm bất kỳ luật nào, hoặc phá vỡ hoặc thỏa hiệp bất kỳ dữ liệu nào trái phép.

Cuối cùng

IoTeX luôn muốn cộng đồng của chúng ta tham gia vào công nghệ thú vị và tiên tiến của các nền tảng blockchain. Chúng tôi mong muốn được tương tác với các nhà phát triển nhiệt tình hơn, những người sẽ thay đổi thế giới với các sản phẩm được xây dựng trên IoTeX và thưởng cho những đóng góp của họ. Đi săn vui nhé!


Giới thiệu về IoTeX

Được thành lập như một dự án nguồn mở vào năm 2017, IoTeX đang xây dựng nền tảng blockchain tập trung vào quyền riêng tư hàng đầu thế giới cho Internet of Things (IoT). Nhiệm vụ của họ là xây dựng một kết cấu tin cậy phi tập trung cho một kỷ nguyên hợp tác và trao đổi dữ liệu mới giữa các thiết bị, ứng dụng và con người. Được hỗ trợ bởi một nhóm các nhà khoa học nghiên cứu và kỹ sư hàng đầu toàn cầu, IoTeX kết hợp blockchain, phần cứng đáng tin cậy và tính toán cạnh để nhận ra tiềm năng đầy đủ của IoT.

Hãy kết nối với chúng tôi!

Trang web: https://iotex.io/

Twitter: https://twitter.com/iotex_io

Kênh thông báo Telegram: https://t.me/iotexchannel

Nhóm Telegram: https://t.me/IoTeXgroup

Medium: https: //medium.com/@iotex

Reddit: https://www.reddit.com/r/IoTeX/

Tham gia với chúng tôi: https://iotex.io/careers

83 Views0 Replies1 Subscriptions
Loading