Haven 协议 – $100,000 漏洞赏金计划

语境

从历史上看,Haven 协议团队临时使用漏洞赏金来奖励标记关键问题的开发人员。在 2021 年 6 月的漏洞利用之后,该团队迅速宣布增加这些赏金的规模,以激励更多的支持。

在此基础上,我们现在推出了一个更正式的漏洞赏金计划,让熟练的开发人员比以往任何时候都更容易支持该项目并赚取 xUSD。

计划目标

  • 建立更广泛的具有协议知识的专家社区 
  • 鼓励第 3 方定期和主动审核代码
  • 定义赏金流程和奖励结构,以明确可以获得什么

漏洞赏金流程将如何运作?

我们总结了以下 Haven 协议报告流程的关键要素:

  1. 什么是合格问题
  2. 应如何报告问题
  3. 问题将如何处理
  4. 赏金奖励结构

什么构成了资格问题?

乐队 细节
1 较小的 UX/UI 错误或问题,否则对网络或用户的问题几乎不会造成损害
2 网络或基础设施错误或问题如果不解决可能会导致安全性、稳定性或服务可靠性问题。可能对时间不敏感。
3 可能导致用户钱包中的硬币被盗、链上数据无效、费用操纵或无效交易的网络或基础设施错误或问题。
4 如果不解决时间敏感的关键网络或基础设施错误或问题,可能会导致大规模网络中断和/或非法铸造硬币,从而导致通货膨胀。

此赏金计划适用于在最新发布分支/标签中发现的任何问题,或以下 Github 存储库的 master 或 develop 分支的 HEAD。

此外,非关键(带 1)问题可以在 

https://github.com/haven-protocol-org/haven-blockchain-explorer

上述定义之外的任何其他报告问题将被视为对项目的影响并相应奖励。

如何报告问题

关键问题

应通过电子邮件向以下列表中的所有收件人报告关键或时效性问题。对于可用于黑客或破坏网络的敏感细节,请使用 PGP 加密。公钥:

----BEGIN PGP PUBLIC KEY BLOCK-----
Version: BCPG C# v1.6.1.0
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=EH5K

-----END PGP PUBLIC KEY BLOCK-----

发送电子邮件至: bugs@havenprotocol.org

这些电子邮件会自动转发给核心团队的关键成员。

非关键问题

只要网络没有风险,非关键问题可以通过我们常用的通信渠道直接消息报告给核心团队成员:

不和谐: https://discordapp.com/invite/CCtNxfG

电报: https://t.me/XHVHavenProtocol

推特: https://twitter.com/HavenXHV

的GitHub


请记住,通过 Github 报告的问题可能是公开可见的,除非私下这样做,否则不应将其用于严重错误:

https://github.com/haven-protocol-org

多份报告

如果超过一个人报告了相同的问题,第一个以正确格式报告的人将被考虑获得赏金。 

如果与其他人合作报告问题,则奖励将根据相关人员的共同意愿分配。

已知的问题

如果一个人报告了已知的问题,则不会支付赏金。

问题将如何处理?

记录后,所有问题将由项目负责人、项目经理或协议负责人处理,并分配给相关人员进行调查。 

如果确定问题足够严重,将召开会议,召集所有核心团队成员(响应团队)协调响应。

赏金将在 30 天内支付。

赏金奖励结构

此处概述的结构旨在为赏金支付提供一定程度的透明度。 

由于所涉及的代码和基础设施的复杂性,有时付款可能会超出上述范围。 

提交质量将是考虑补偿水平的一个因素。

请在您的提交中包含以下内容:

  • 问题说明
  • 问题潜在安全影响的描述
  • 受影响的资源。例如 URL、GitHub 代码片段、交易类型等
  • 任何其他相关信息

注意:请不要以任何形式向核心团队之外的任何人透露任何发现的问题。这将为项目提供适当的响应时间。向任何第三方披露可能会取消漏洞赏金资格。

负责任的调查和报告包括但不限于以下内容:

  • 不侵犯其他用户的隐私、破坏数据等。
  • 在您的研究过程中,请勿欺骗或伤害 Haven 协议网络或其用户;您应该真诚地努力不中断或降低我们的服务。
  • 不要针对网络的安全措施,或尝试使用社会工程、垃圾邮件、分布式拒绝服务 (DDoS) 攻击等。
  • 该问题应仅报告给 Haven 核心团队成员,而不应报告给其他任何人。
  • 在向其他人披露错误之前,给我们合理的时间来修复错误,并在向其他人披露之前给我们足够的书面警告。
  • 一般来说,请以合理、善意的努力不破坏协议或其用户的方式调查和报告错误,否则,您的行为可能会被解释为攻击,而不是试图提供帮助.

赏金支付将由 Haven 协议团队管理,并以 xUSD 支付。这使得报告/修复问题的人员的价值具有确定性,并通过简化预算和会计流程使项目财务部门受益。

出现悬赏金纠纷时,由响应团队确定严重程度(等级)。

赏金支付带

乐队 降低付款 高额付款  
1 $50 $500  
2 $1,000 $5,000  
3 $10,000 $50,000  
4 $25,000 $100,000  

请注意,核心团队将决定赏金索赔的资格。这是没有争议的,是最终的。 

这是 Haven 漏洞赏金计划的第一次迭代。我们目前正在与各种第三方漏洞赏金平台进行对话。

zh_CN简体中文