跳到主要内容

报告安全问题

在 OXN 中发现安全问题请通过下列渠道私下报告。在修复到位前公开披露会让用户面临风险。

报告什么

任何能用来做以下事情的都请报告:

  • 破坏机密性保证(读取本应加密的状态)。
  • 绕过协议或 SDK 层的访问控制。
  • 导致资金损失或未授权状态改动。
  • 让网络下线或停止共识。
  • 攻陷 enclave 或绕过 SGX 保护。
  • 从运行时、SDK、公共基础设施窃取密钥。

也欢迎:

  • RPC / 公共基础设施问题——错配、DoS 向量、信息泄漏。
  • SDK bug,导致不安全的客户端行为。
  • 文档错误,可能引导读者做出不安全实现。

联系方式

邮箱security@bout.network (占位符——待确认地址后替换)

包含:

  • 问题的清晰描述。
  • 复现步骤。
  • 推测的严重度与影响。
  • 你的联系方式(若你想被致谢)。
  • 是否计划就此发布研究。

PGP 加密(可选但受欢迎)

敏感报告用 OXN 安全团队 PGP key 加密。Key ID 与指纹待定——漏洞赏金项目上线后回来查看。

报告之后会怎样

  1. 确认在 3 个工作日内。
  2. 初步分诊在 7 个工作日内——确认问题是否复现、严重度、大致修复思路。
  3. 修复开发——取决于复杂度;与你保持沟通。
  4. 协调披露——就公开披露日期达成一致。业界惯例是报告后 90 天,修复更长可延长。
  5. 公开致谢——修复公告中致谢你(除非你想保持匿名)。

不要做什么

  • 修复前不要公开披露
  • 不要在主网测试用可能影响其他用户的方式。用测试网或本地 devnet 测。
  • 除演示问题必要外不要外泄数据
  • 不要勒索——我们与善意行事的研究员真诚合作。

奖励

漏洞赏金项目虽然还没上线,符合其预期标准的报告会被考虑追溯奖励。

下一步