跳到主要内容

漏洞赏金

公开的漏洞赏金项目奖励负责任披露 OXN 或其用户会受影响漏洞的安全研究员。

状态

漏洞赏金项目尚未启动。 范围、奖励等级、提交流程会在主网前发布。过渡期内安全问题仍可负责任报告——见报告安全问题

预期范围

启动后项目预期覆盖:

  • 协议漏洞——OXN 运行时里能绕过机密性、未授权状态改动、共识失败、经济漏洞的 bug。
  • 客户端 SDK 漏洞——SDK 里可能导致错误加密、密钥暴露、客户端攻击的 bug。
  • 公共基础设施漏洞——OXN 运营的 RPC 端点、区块浏览器、水龙头、网页钱包中的 bug。

应用层漏洞(构建在 OXN 上的 dApp 的问题)通常由那些 dApp 自己的赏金项目覆盖,不是 OXN 的。

预期奖励等级

奖励按严重度分级。具体数字待定;行业惯例:

  • 关键(资金损失、共识破坏、大规模机密性泄漏)——重要奖励。
  • (针对性机密性泄漏、网络 DoS)——中等奖励。
  • (意外 revert、RPC 方法 bug)——较小奖励。
  • (文档错误、UX 问题)——小奖励或致谢。

范围外(典型)

  • 简单量攻击造成的拒绝服务。
  • 需要 SGX 固件被攻陷才能利用的问题。
  • 第三方 dApp 里的问题。
  • 社会工程。

项目还没上线之前

仍请通过报告安全问题渠道负责任报告。经验证的报告作者会被致谢,符合条件的报告项目启动后会考虑追溯奖励。

下一步