IoTeX从创立初始,就一直坚持技术领域的探索与创新。我们也深刻地认识到,与全球的研究人员、技术人员、开发工程师的合作可以帮助我们更好的打磨IoTeX区块链技术,找出并修改潜在安全漏洞,提升用户体验!同时,为主网上线做好充分准备,我们正式启动最新的社区奖励活动:IoTeX安全渗透测试大赛,重金“悬赏”捉虫查漏高手!
亲爱的社区成员们,
如果您发现了IoTeX (iotex–core)的安全漏洞、
或者其他产品和服务中存在的漏洞,
尤其是与核心功能安全性相关的问题,
请及时报告给我们,
IoTeX团队为您准备了丰厚的奖励!
社区成员们,
擦亮双眼,
一起来“找茬”,赢大奖!
活动时间
2019年02月14日上午11:00 – 2019年3月31日晚上11:00
活动范围
请见 iotex–core Github,链接:
IoTeX捉虫赏金大赛范围仅限于IoTeX区块链中的技术漏洞,特别是以下几个方面的漏洞:
- P2P(点对点)网络层
- 共识处理层
- 用于处理区块和交易的业务逻辑层
- 用于运行智能合约的执行层
- 在上述模块中使用到的第三方软件 / lib文件
此外,如下问题IoTeX团队已经知悉,大家可不必再报告。
- DNS设置及电子邮件身份验证的安全实践
- IoTeX网站的安全实践(iotex.io, iotexscan.io 等)
- 社交媒体垃圾邮件
- 网络钓鱼攻击
合格的“虫子”
该漏洞从未被其他社区成员报告过。
该漏洞会影响IoTeX区块链的稳定性和安全性。 比如:
- 导致主机的私钥泄漏
- 在账户上触发未经授权的操作,例如:未经授权从账户中转移通证
- 可导致进程崩溃的消息和调用
- 智能合约进入死循环或占用过多内存
如果您发现了不属于上述示例的漏洞,也可以上报给我们,IoTeX团队会根据漏洞的具体情况向您发放奖励(IoTeX基金会对奖励数量有自由裁量权)。
赏金
被认定为捉到合格的 “虫子” 后将获得如下赏金奖励:
- 目前,奖励的基础金额为10000 IOTX,具体金额将根据上报漏洞的严重程度而定,如下表所示:
- 如果您发现了非常严重的漏洞,您将获得更高的奖励;而涉及到用户异常交互的漏洞仅会获得较低的奖励。此外,如果您的报告中包含多个漏洞,或者上报的多个漏洞之间关联性很大,您仅会获得一次奖励。
- 对于由一个问题导致的多个漏洞,且只需要修复一次,将被认定为一个“虫子”,只获得一次奖励。
- IoTeX团队具有活动奖励的最终解释权。
捉虫漏洞报告
请社区小伙伴们通过此链接上报漏洞给我们:
同时,请在报告中提供以下信息:
- 问题的严重性
- 漏洞概述
- 关于此漏洞的任何其他细节
- 重现漏洞的步骤
- 支持材料/参考资料,例如源代码、脚本
- 攻击者可以通过漏洞造成的安全影响
- 您的姓名和国家(身份不明的提交者将没有获得奖励的资格)
注意事项
对于相同的漏洞报告,只有第一个上报的人才有资格获得奖励。如果您的报告被接受,我们将向您更新报告的进展,包括漏洞的验证、修改以及奖励的发放。
我们鼓励您在https://gitter.im/iotex-dev-community/Lobby 上讨论技术问题,但请不要在通知我们之前泄露您发现的漏洞细节。
我们的技术团队可能会通过IoTeX官方邮箱(@iotex.io)联系您,以获取有关该漏洞的更多资料。
免责声明
这是一个实验性的奖励活动,IoTeX基金会可以在任何时候取消该活动。IoTeX基金会具有活动奖励的最终解释权。参与者在测试漏洞时不应违反任何法律,未经授权不应破坏或损害任何数据。
快来“捉虫”,赢IoTeX大奖!
IoTeX一直希望社区成员们能够参与、体验到区块链的前沿技术。我们也期待着与更多区块链技术爱好者、开发工程师进行交流合作,有你们的帮助,IoTeX将如虎添翼!我们离“用区块链接世界”的目标又近了一步!