合作｜Acala 攜手 Immunefi 開啟 Bug 賞金計(jì)劃

本次賞金計(jì)劃將根據(jù) BUG 嚴(yán)重程度分為以下幾種獎(jiǎng)勵(lì)：

Critical: 獎(jiǎng)勵(lì)上限為10萬美金，主要包含交易/共識操縱、雙花攻擊、發(fā)行未授權(quán)資產(chǎn)、治理問題、未知用戶對系統(tǒng)資產(chǎn)的未授權(quán)訪問。

High：獎(jiǎng)勵(lì)上限為5萬美金，主要包含阻止或修改治理流程或用戶操作，生成未處理鏈上錯(cuò)誤。這些操作可能導(dǎo)致治理或用用戶訪問資產(chǎn)系統(tǒng)功能癱瘓。

Medium：獎(jiǎng)勵(lì)上限為1萬美金，主要包含在不中斷系統(tǒng)或用戶執(zhí)行任務(wù)的情況下，將鏈上數(shù)據(jù)置于意外狀態(tài)，例如生成冗余事件、日志等。

核心漏洞涉及用戶資金的直接損失、雙花，或資產(chǎn)發(fā)行不超過 10% 的經(jīng)濟(jì)損失,考慮到主要的基金風(fēng)險(xiǎn)或資產(chǎn)的數(shù)量等綜合因素，交由團(tuán)隊(duì)衡量。然而，最低獎(jiǎng)勵(lì)是 5 萬美元。操縱或治理問題的結(jié)果是 100 萬美元整。

無需添加 PoC 和修復(fù)建議，如果參與者提供將會提高獎(jiǎng)金數(shù)量權(quán)重。

以上賞金獎(jiǎng)勵(lì)只適用于以下情況下：

• 該 BUG 在之前沒有人提交

• 在未完全修復(fù)之前，不可向其他第三方公開

• “ 賞金獵人 ”未利用該 BUG，其他人也未從中獲利

• “ 賞金獵人”在提交時(shí)沒有附加條件或以此要挾

• 尋找問題時(shí)沒有使用文件中定義不合法或禁止的活動進(jìn)行
  

• “ 賞金獵人”需在合理時(shí)間回復(fù)團(tuán)隊(duì)關(guān)于提交 BUG 的疑問

• 當(dāng)重復(fù)提交BUG時(shí)，將獎(jiǎng)勵(lì)第一個(gè)提交信息完整的“ 賞金獵人”
  

• 當(dāng)出現(xiàn)多個(gè)漏洞導(dǎo)致潛在問題時(shí)，將獎(jiǎng)勵(lì)第一個(gè)上報(bào)的 BUG

• 該漏洞存在于 Karura 的 runtime pallet 中（沒有 tests，或者不在 runtime 里的模塊，例如 live，可以被視為漏洞）

以上獎(jiǎng)勵(lì)由 Acala 團(tuán)隊(duì)直接獎(jiǎng)勵(lì)，以美元計(jì)價(jià)，以 kUSD 進(jìn)行支付。

只有涉及到 Karura Runtime Pallets 的代碼才屬于賞金范圍，那些不在其中(如測試)的模塊，和那些正在開發(fā)中以及其他模塊，都不屬于賞金范圍內(nèi)。

Acala 所有代碼都可以在 https://github.com/AcalaNetwork/ 上找到。然而，只有在賞金范圍內(nèi)的才可以獲得獎(jiǎng)勵(lì)。

影響范圍

此次獎(jiǎng)勵(lì)只在以下影響范圍內(nèi)，范圍外的不具有獎(jiǎng)勵(lì)贏取資格：

• 交易/共識操縱

• 雙花攻擊

• 發(fā)行未授權(quán)資產(chǎn)

• 治理問題

• 未知用戶對系統(tǒng)資產(chǎn)的未授權(quán)訪問

• 阻止或修改治理或用戶操作流程，生成未處理鏈上錯(cuò)誤

• 在不中斷系統(tǒng)或用戶執(zhí)行任務(wù)的情況下，將鏈上數(shù)據(jù)處于意外狀態(tài)，例如冗余事件、日志等

以下幾種是 Acala 研發(fā)團(tuán)隊(duì)最感興趣的獎(jiǎng)勵(lì)類型：

• 智能合約和區(qū)塊鏈

• 所有導(dǎo)致影響范圍部分所述影響的項(xiàng)目
  

以下 BUG 不包含在獎(jiǎng)勵(lì)之內(nèi)：

• 獵人已利用攻擊，造成了網(wǎng)絡(luò)影響

• 需要訪問泄漏密鑰/證書攻擊

• 需要訪問特權(quán)地址的攻擊(治理、策略)

• DDOS 攻擊

• 拒絕服務(wù)攻擊

• 垃圾郵件

• 任何對 Karura 資產(chǎn)或員工人身攻擊

• 網(wǎng)絡(luò)釣魚或其他社會工程攻擊 Karura 員工

以下行為將會被禁賽:

• 使用主網(wǎng)或公開測試網(wǎng)合約進(jìn)行測試，所有測試都應(yīng)該在私有測試網(wǎng)中進(jìn)行

• 任何使用定價(jià)預(yù)言或第三方智能合約的測試

• 試圖對員工和/或客戶進(jìn)行網(wǎng)絡(luò)釣魚或其他社會工程攻擊

• 使用第三方系統(tǒng)和應(yīng)用程序(如瀏覽器擴(kuò)展)以及網(wǎng)站(如SSO提供商、廣告網(wǎng)絡(luò))進(jìn)行測試

• 拒絕任何服務(wù)攻擊

• 產(chǎn)生大量通信量的服務(wù)的自動化測試

• 公開披露一份未修復(fù)的參賽 BUG

快來成為 Web3.0 DeFi 賞金獵人

贏取百萬獎(jiǎng)勵(lì)！

參與平臺鏈接：

https://immunefi.com/bounty/acala/

如果你有興趣獲得 Acala Bug 賞金，歡迎加入 Immunefi 平臺。開發(fā)者請查看 Acala GitHub 或加入 Acala Discord 頻道，隨時(shí)咨詢技術(shù)問題。

• Github：https://github.com/AcalaNetwork/Acala

• Discord：https://discord.gg/7StkSWeCmP