漏洞赏金
公开的漏洞赏金项目奖励负责任披露 OXN 或其用户会受影响漏洞的安全研究员。
状态
漏洞赏金项目尚未启动。 范围、奖励等级、提交流程会在主网前发布。过渡期内安全问题仍可负责任报告——见报告安全问题。
预期范围
启动后项目预期覆盖:
- 协议漏洞——OXN 运行时里能绕过机密性、未授权状态改动、共识失败、经济漏洞的 bug。
- 客户端 SDK 漏洞——SDK 里可能导致错误加密、密钥暴露、客户端攻击的 bug。
- 公共基础设施漏洞——OXN 运营 的 RPC 端点、区块浏览器、水龙头、网页钱包中的 bug。
应用层漏洞(构建在 OXN 上的 dApp 的问题)通常由那些 dApp 自己的赏金项目覆盖,不是 OXN 的。
预期奖励等级
奖励按严重度分级。具体数字待定;行业惯例:
- 关键(资金损失、共识破坏、大规模机密性泄漏)——重要奖励。
- 高(针对性机密性泄漏、网络 DoS)——中等奖励。
- 中(意外 revert、RPC 方法 bug)——较小奖励。
- 低(文档错误、UX 问题)——小奖励或致谢。
范围外(典型)
- 简单量攻击造成的拒绝服务。
- 需要 SGX 固件被攻陷才能利用的问题。
- 第三方 dApp 里的问题。
- 社会工程。
项目还没上线之前
仍请通过报告安全问题渠道负责任报告。经验证的报告作者会被致谢,符合条件的报告项目启动后会考虑追溯奖励。