mov赏金猎人活动普通

Bytom是一种多元比特资产的交互协议,运行在比原链区块链上的不同形态、异构的比特资产和原子资产可以通过该协议进行登记、交换、对赌、和给予合约的更具复杂性的交互操作。

期限:2020-03-10 - 2021-03-31
提交漏洞

描述

Bytom是一种多元比特资产的交互协议,运行在比原链区块链上的不同形态、异构的比特资产和原子资产可以通过该协议进行登记、交换、对赌、和给予合约的更具复杂性的交互操作。

简介

Bytom是一种多元比特资产的交互协议,运行在比原链区块链上的不同形态、异构的比特资产(原生的数字货币、数字资产)和原子资产(有传统物理世界对应物的权证、权益、股息、债券、情报资讯、预测信息等)可以通过该协议进行登记、交换、对赌、和给予合约的更具复杂性的交互操作。

漏洞发现奖励


严重漏洞 奖励10000 - 20000 btm

严重的漏洞是指,发生在核心系统业务系统,可造成大面积影响的。包括但不限于:

MOV协议:

    1. 双花、共识层漏洞

    2. 恶意销毁他人资金

    3. 通信层以较小的代价大面积ddos其他全节点

    4. 不投入资金的情况下,通过底层的漏洞操纵市场价格

钱包安全:

    1. 钱包私钥泄露

    2. 签名伪造 (不需获取私钥但成功对交易进行签名)


高危漏洞 2000 - 10000 btm

MOV协议:

    1. 通过全节点程序入侵服务器获取控制权限

    2. 涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)

    3. 治理和风控漏洞:包括资产组合潜在的关联风险、协议治理机制缺陷、利用经济系统恶意操纵自由市场或沽空、绕过抵押进行无成本攻击等等

Bockcenter安全

    1. 通过接口入侵服务器获取控制权限,无资金投入的情况下操纵价格引起市场波动

    2. 篡改交易信息

OFMF跨链合约安全:

    1. 通过合约漏洞,造成跨链资产的损失

 OFMF 服务器安全:

    1. 影响 ofmf 跨链, 导致跨链逻辑故障(比如 跨到了非对应的地址)

 

中危漏洞 500 - 2000 btm

    1. 普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等

    2. 拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等

    3. 本地保存的敏感认证信息泄露,需能做出有效利用

 

低危漏洞 100 - 500 btm

    1. 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由普通应用权限引起的问题等

    2. 普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等


漏洞需要提供:

    漏洞描述;

    可复现的攻击手法,如测试代码、脚本和详细说明。


赏金须知

    必须是新发现的,之前没有被反馈过的安全漏洞;

    对于链代码审计,找出的安全漏洞必须是Vapor GitHub上代码的一部分,而不是其他第三方代码;

    对于黑盒测试,请在测试服务器或者Tycoin上进行测试,不要攻击正式发布的软件   

    Vapor项目的员工、承包商、以及其它与比原链基金会或其任何子公司有业务关系者不能参加该活动;

    公开披露漏洞将失去获得赏金的资格。

    Bytom团队保留对所有与奖励相关条款的最终决定权。



规则

附录查看地址: https://tt.bugx.io


项目奖金

严重 10000 - 20000 BTM

高危 2000 - 10000 BTM

中危 500 - 2000 BTM

低危 100 - 500 BTM