如果您能够为 Haven 项目捐款和贡献,请 点击这里。 谢谢。
漏洞赏金计划
计划目标
- 建立更广泛的具有协议知识的专家社区
- 鼓励第 3 方定期和主动审核代码
- 定义赏金流程和奖励结构,以明确可以获得什么
漏洞赏金流程将如何运作?
我们总结了以下 Haven 协议报告流程的关键要素:
- 什么是合格问题
- 应如何报告问题
- 问题将如何处理
- 赏金奖励结构
什么构成了资格问题?
乐队 | 细节 |
1 | 较小的 UX/UI 错误或问题,否则对网络或用户的问题几乎不会造成损害 |
2 | 网络或基础设施错误或问题如果不解决可能会导致安全性、稳定性或服务可靠性问题。可能对时间不敏感。 |
3 | 可能导致用户钱包中的硬币被盗、链上数据无效、费用操纵或无效交易的网络或基础设施错误或问题。 |
4 | 如果不解决时间敏感的关键网络或基础设施错误或问题,可能会导致大规模网络中断和/或非法铸造硬币,从而导致通货膨胀。 |
此赏金计划适用于在最新发布分支/标签中发现的任何问题,或以下 Github 存储库的 master 或 develop 分支的 HEAD。
- https://github.com/haven-protocol-org/haven-main
- https://github.com/haven-protocol-org/haven-web-core
- https://github.com/haven-protocol-org/haven-web-app
- https://github.com/haven-protocol-org/haven-web-cpp
- https://github.com/haven-protocol-org/node-cryptoforknote-util
此外,非关键(带 1)问题可以在
https://github.com/haven-protocol-org/haven-blockchain-explorer
上述定义之外的任何其他报告问题将被视为对项目的影响并相应奖励。
如何报告问题
关键问题
应通过电子邮件向以下列表中的所有收件人报告关键或时效性问题。对于可用于黑客或破坏网络的敏感细节,请使用 PGP 加密。公钥:
----BEGIN PGP PUBLIC KEY BLOCK-----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=g/J8
-----END PGP PUBLIC KEY BLOCK-----
发送电子邮件至: [email protected]
这些电子邮件会自动转发给核心团队的关键成员。
非关键问题
只要网络没有风险,非关键问题可以通过我们常用的通信渠道直接消息报告给核心团队成员:
不和谐: https://discordapp.com/invite/CCtNxfG
电报: https://t.me/XHVHavenProtocol
推特: https://twitter.com/HavenXHV
的GitHub
请记住,通过 Github 报告的问题可能是公开可见的,除非私下这样做,否则不应将其用于严重错误:
https://github.com/haven-protocol-org
多份报告
如果超过一个人报告了相同的问题,第一个以正确格式报告的人将被考虑获得赏金。
如果与其他人合作报告问题,则奖励将根据相关人员的共同意愿分配。
已知的问题
如果一个人报告了已知的问题,则不会支付赏金。
问题将如何处理?
记录后,所有问题将由项目负责人、项目经理或协议负责人处理,并分配给相关人员进行调查。
如果确定问题足够严重,将召开会议,召集所有核心团队成员(响应团队)协调响应。
赏金将在 30 天内支付。
赏金奖励结构
此处概述的结构旨在为赏金支付提供一定程度的透明度。
由于所涉及的代码和基础设施的复杂性,有时付款可能会超出上述范围。
提交质量将是考虑补偿水平的一个因素。
请在您的提交中包含以下内容:
- 问题说明
- 问题潜在安全影响的描述
- 受影响的资源。例如 URL、GitHub 代码片段、交易类型等
- 任何其他相关信息
注意:请不要以任何形式向核心团队之外的任何人透露任何发现的问题。这将为项目提供适当的响应时间。向任何第三方披露可能会取消漏洞赏金资格。
负责任的调查和报告包括但不限于以下内容:
- 不侵犯其他用户的隐私、破坏数据等。
- 在您的研究过程中,请勿欺骗或伤害 Haven 协议网络或其用户;您应该真诚地努力不中断或降低我们的服务。
- 不要针对网络的安全措施,或尝试使用社会工程、垃圾邮件、分布式拒绝服务 (DDoS) 攻击等。
- 该问题应仅报告给 Haven 核心团队成员,而不应报告给其他任何人。
- 在向其他人披露错误之前,给我们合理的时间来修复错误,并在向其他人披露之前给我们足够的书面警告。
- 一般来说,请以合理、善意的努力不破坏协议或其用户的方式调查和报告错误,否则,您的行为可能会被解释为攻击,而不是试图提供帮助.
赏金支付将由 Haven 协议团队管理,并以 xUSD 支付。这使得报告/修复问题的人员的价值具有确定性,并通过简化预算和会计流程使项目财务部门受益。
出现悬赏金纠纷时,由响应团队确定严重程度(等级)。
赏金支付带
乐队 | 较低的付款 | 高额付款 |
1 | $50 | $500 |
2 | $500 | $5,000 |
3 | $5,000 | $25,000 |
4 | $25,000 | $100,000 |
请注意,核心开发人员/贡献者将决定赏金索赔的资格。这是没有争议的,是最终的。
这是 Haven 漏洞赏金计划的第一次迭代,因此将定期进行审查以确保它仍然适用于目的。