Sui基金会与Immunefi合作推出了BugBounty计划,鼓励白帽黑客发现并报告平台的漏洞,以增强其数字资产网络的安全性和稳定性。该计划针对不同级别的漏洞设定了影响范围,从最高级的巨额资金损失到低级的常规错误代码触发,所有报告必须附带证明并通过Immunefi官方渠道提交。
Bug Bounty漏洞赏金计划旨在激励白帽黑客发现有效的漏洞与问题,从而帮助维护平台的安全与稳定。
谨慎小心和保持警惕,在构建一个高度信任且安全的数字资产网络过程中非常关键。同其他复杂系统一样,在生态系统发展壮大的过程中,可能会有一些潜在的漏洞和薄弱环节暴露出来。因此,Sui基金会与Immunefi合作为白帽黑客推出Bug Bounty赏金计划,期望白帽黑客能够发现并及时反馈在网络运行中出现的问题。
影响范围
该计划将影响范围分为以下四个等级:
最高级
超过100亿SUI Token的最大供应量,同时让攻击者领取到超过最大供应量的资金
资金损失包括:
- 绕过或利用Move或Sui字节码验证程序中的错误,未经授权创建、复制、转移或销毁object
- Address Collision(地址冲突):创建两个不同的认证方案,哈希至相同的SUI地址,导致巨额资金损失
- Object ID冲突:创建两个具有相同ID的不同的object,导致巨额资金损失
- 使用未经授权的独享object作为交易输入,由于无法验证所有权和交易许可,导致巨额资金损失
- 动态加载不是由事务发送方直接拥有或传递性拥有的对象,导致巨额资金损失
- 未经授权对Move包进行升级,导致巨额资金损失
- 窃取属于其他用户的质押奖励,或领取规定以外的用户质押奖励,其中不包括因数据误差而对财务产生的轻微影响
违反拜占庭容错假设,获得与质押极不匹配的投票权重,或违反其他有关区块链PoS治理完整性的问题,但不包括:
- 由于一个或者多个验证节点已经拥有最大投票权重,导致投票权重重新分配
- 由于误差导致投票权重的轻微差异
非预期的永久链分裂需要硬分叉(需要硬分叉的网络分区)
网络无法确认新交易(整个网络关闭)
在未经修正的验证节点软件上执行任意的不是Move远程的代码
高级
意外的链分裂(网络分区)
临时性关闭整个网络(宕机时间超过10分钟)
中级
由于意外和不当的智能合约行为导致的漏洞,但相关资金无直接损失
无意的SUI Token意外地被永久销毁。
未经强制性措施关闭大于等于30%的网络处理节点,并非关闭整个网络
低级
发送一笔交易,在未修正的验证节点软件中触发一个常规的错误代码
更多详情,请参阅Sui的GitHub repo和Sui的Immunefi Bug Bounty页面。
提交所有的漏洞报告时,必须附带相关证明,说明该漏洞是在运行测试网还是主网时发现,以及最终影响的资产范围。满足这些条件才能被视为有效并参与奖励瓜分。但白帽黑客不必对发现的漏洞进行修复。漏洞报告必须通过Immunefi官方页面提交。
关于 Sui Network
Sui是基于第一原理重新设计和构建而成的L1公有链,旨在为创作者和开发者提供能够承载Web3中下一个十亿用户的开发平台。Sui上的应用基于Move智能合约语言,并具有水平可扩展性,让开发者能够快速且低成本支持广泛的应用开发。获取更多信息:https://linktr.ee/sui_apac
扫一扫
512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
