唯链安全漏洞与威胁情报赏金计划

返回首页 EN
目录
正文

VeChain - 全球领先的区块链商品和信息平台

业务范围

1、唯链雷神公链源代码及内置智能合约,GitHub 地址:https://github.com/vechain/thor ,接受的漏洞范围如下,漏洞评级使用 CVSSv3 规范,奖励标准和下表相同。

Protocol security

Implementation security

Client protocol implementation security

Assuming that the protocols and algorithms are flawless, does a client implementation conform to the formal protocol specification? Issues could include:

Network security

This category focuses on generalized attacks on the whole network or a subset of it:

Client application security

This category addresses more classical security issues:

Cryptographic primitives security

This category includes:

2、唯链雷神移动钱包 App ,获取地址:iOS  Android

3、【网络安全-限时悬赏】 VIP 191 安全漏洞赏金计划

什么是 VIP191?

VIP 191 是 Totient Lab 基于唯链雷神区块链多方支付协议(https://www.totientlabs.com/)提出的费用代付协议,通过该协议可以指定第三方代为支付交易费用(https://github.com/vechain/VIPs/blob/master/vips/VIP-191.md)。VIP 191 扩展了签名字段,基于该协议的交易同时包含交易发起方的签名字段以及交易费用代付方的签名字段,即:在 VIP191 协议下,交易发起方与交易费用代付方可以同时为同一笔交易签名,并由交易费用代付方支付交易费用。由此,VIP191 能够扩大交易费用多方支付功能的应用场景,例如:

唯链雷神区块链的多方支付协议(MPP)功能在第一批dApp的应用推广中发挥了重要作用,同时,我们也在持续推动区块链技术在日益增长的实际商业应用场景中实现落地。在此,我们很高兴地告诉大家,新增 VIP191 协议的唯链雷神区块链 v1.1.0 版本(https://github.com/vechain/thor/releases/tag/v1.1.0)已在唯链雷神区块链测试网第 2,898,800 区块激活(约在格林尼治时间 2019 年 5 月 28 日 04:00)启动。在安全运行测试完成后,VIP191 将在主网上被启动。

您可以在 Totient 官方 Medium 账号上发表的文章中获取更多有关 VIP191 的信息。

基于 VIP 191 的交易代码示例

目标

* VIP 191 安全漏洞赏金计划时间为:2019 年 5月 28 日至 6 月 18 日

处理流程

报告阶段

报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面(URL:https://slowmist.io/bug-bounty.html)提交威胁情报(状态:待审核)

处理阶段

1. 一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题, 同时将情报反馈给 唯链对接人(状态:审核中)

2. 三个工作日内,唯链技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助

修复阶段

1. 唯链业务部门修复威胁情报中反馈的安全问题并安排更更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定

2. 报告者复查安全问题是否修复(状态:已复查/复查异议)

3. 报告者确认安全问题已修复后,唯链技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)

漏洞评级及奖励标准

等级 唯链奖励* 慢雾区奖励
严重 10,000 USD 512 慢雾币
高危 5,000 USD 256 慢雾币
中危 2,500 USD 100 慢雾币
低危 500 USD 32 慢雾币

*备注:最终发放的奖励取决于漏洞严重程度和漏洞真实影响,表格中的数值为各等级最高奖励。唯链奖励部分会以发放前一日 CoinMarketCap VET/USD EOD 价格以 VET 的形式发放。

唯链网络安全计划规定如下:

严重漏洞

严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。

包括但不限于:

高危漏洞

中危漏洞

低危漏洞

此处参考了先知漏洞定级标准,在此表示感谢。