报告安全问题
在 OXN 中发现安全问题请通过下列渠道私下报告。在修复到位前公开披露会让用户面临风险。
报告什么
任何能用来做以下事情的都请报告:
- 破坏机密性保证(读取本应加密的状态)。
- 绕过协议或 SDK 层的访问控制。
- 导致资金损失或未授权状态改动。
- 让网络下线或停止共识。
- 攻陷 enclave 或绕过 SGX 保护。
- 从运行时、SDK、公共基础设施窃取密钥。
也欢迎:
- RPC / 公共基础设施问题——错配、DoS 向量、信息泄漏。
- SDK bug,导致不安全的客户端行为。
- 文档错误,可能引导读者做出不安全实现。
联系方式
邮箱:security@bout.network (占位符——待确认地址后替换)
包含:
- 问题的清晰描述。
- 复现步骤。
- 推测的严重度与影响。
- 你的联系方式(若你想被致谢)。
- 是否计划就此发布研究。
PGP 加密(可选但受欢迎)
敏感报告用 OXN 安全团队 PGP key 加密。Key ID 与指纹待定——漏洞赏金项目上线后回来查看。
报告之后会怎样
- 确认在 3 个工作日内。
- 初步分诊在 7 个工作日内——确认问题是否复现、严重度、大致修复思路。
- 修复开发——取决于复杂度;与你保持沟通。
- 协调披露——就公开披露日期达成一致。业界惯例是报告后 90 天,修复更长可延长。
- 公开致谢——修复公告中致谢你(除非你想保持匿名)。
不要做什么
- 修复前不要公开披露。
- 不要在主网测试用可能影响其他用户的方式。用测试网或本地 devnet 测。
- 除演示问题必要外不要外泄数据。
- 不要勒索——我们与善意行事的研究员真诚合作。
奖励
漏洞赏金项目虽然还没上线,符合其预期标准的报告会被考虑追溯奖励。