必须是新发现的,之前没有被反馈过的安全漏洞;
找出的安全漏洞必须是 「nervosnetwork」GitHub 上代码的一部分,而不是其他第三方代码;
您必须没有写过任何与 Nervos 项目 Bug 相关的代码,也不能以其他方式参与到 Nervos 项目代码漏洞的生产过程中;
Nervos 项目的员工、承包商、以及其它与 Nervos 基金会或其任何子公司有业务关系者不能参加该计划;
您可以启动或分叉出一个私有链来寻找 Bug。请尊重 CKB 主网络和测试网络,不要攻击它。
公开披露漏洞将失去获得赏金的资格。
您必须符合 KYC 的标准要求,并通过审核才有资格领取赏金。
Nervos Bug Bounty 团队保留对参赛资格、分数、以及所有与奖励相关条款的最终决定权。
Nervos 赏金计划为所有参与者设置了总计为 100 万美元的初始奖金;
Nervos 赏金计划将于 2019 年 10 月 22 日启动,在初始奖金被领取之后开启下一阶段赏金计划(请关注我们的官方渠道获取最新动态)。
我们采用了 OWASP 模型;奖励金额主要取决于该漏洞的严重程度。
除严重程度外,Nervos 赏金计划还将根据其它一些变量来决定赏金金额,包括(但不限于):
描述的质量;
可再现性的质量,如测试代码、脚本和详细说明。
以下分类和示例仅用于说明不同严重程度的大致范围,并非完整或排他的漏洞清单。实际等级和积分将由 Nervos Bug Bounty 团队根据漏洞影响、可利用性、影响范围、报告质量和其他相关因素综合判断。
1 积分目前相当于 1 美元(以 USDC、BTC、ETH 或者 CKB 支付),将来可能会有所变化。
1. 容易破坏整个 CKB 网络的漏洞;
2. 容易造成共识偏差的漏洞;
3. 容易破坏 CKB 经济的漏洞。
1. 容易破坏 CKB 节点的漏洞;
2. 可以低成本地导致 CKB 网络拥堵的漏洞或不佳设计;
3. CKB-VM 或系统脚本不当的实现或行为。
1. CKB 状态存储机制的次优实现。
1. CKB 的其他重要性能改进。
1. 任何本地的 RPC API 崩溃;
2. 任何本地的命令行崩溃。
您在发现一个漏洞之后,请提供一个关于该漏洞的报告至邮箱:[email protected],该报告中须包括您的姓名、电子邮件、公司名称(如果适用)、关于该漏洞的描述、您认为该漏洞会对 Nervos 有何潜在影响,以及您发现该漏洞的过程(步骤)。
Nervos 漏洞赏金计划涉及的范围较广,包括但不限于:
共识模型、经济模型、Cell 模型、P2P 协议、PoW 算法等;
协议实现的安全性和完备性;
加密原语;
一些将终端用户账户置于危险之中的帐户管理缺陷;
通用的软件安全漏洞。
CKB 共识协议 CKB 共识协议:它是比特币中本聪共识的变体,在保留中本聪共识优点的同时,提升了其性能极限和抵抗自私挖矿攻击的能力。 RFC
经济模型 经济模型:Nervos CKB 经济模型专为保护资产和其它类型的共同知识而设计。 RFC
PoW 哈希算法 Cell 模型是一种从比特币 UTXO 模型中衍生出来的通用编程模型。 RFC Request
Cell 模型 Cell 模型是一种从比特币 UTXO 模型中衍生出来的通用编程模型。 RFC
CKB CKB 的实现符合所有协议。 Source Code
CKB VM CKB-VM 是基于 RISC-V 指令集的纯软件实现, 用于 CKB 中的虚拟机脚本编写。 Source Code
系统脚本 系统脚本是我们开发的重要合约。这些脚本的安全性对于系统来说非常重要,因为它们将得到广泛的使用。 Source Code
P2P P2P 是一组框架和协议。我们建立了一个多路复用的 p2p 网络框架 ,以支持从头开始安装自定义协议。我们还定义并实现了以下协议:
区块同步
致密区块中继
交易中继
Discovery
CKB Cli CKB Cli 是一个与 CKB 节点交互的控制台工具。 Source Code
Neuron Neuron 是桌面版钱包。 Source Code
针对正式发布版本和已上线运行的 mainnet / 产品版本的报告符合标准赏金奖励资格。欢迎提交针对开发分支、未发布代码、候选发布版本(RC)或其他预发布版本的报告,但不会自动符合标准赏金奖励资格,是否给予奖励将由 Nervos Bug Bounty 团队酌情决定。
Nervos 网站中的问题
安全问题的重复报告,包括在内部已经得到确认的安全问题
可由公开可用的 AI 扫描器、自动化扫描工具或通用静态分析工具直接发现,且未包含新的攻击路径、影响分析或可复现利用证明的问题,通常视为内部可发现问题
没有实际利用场景或攻击面的理论安全问题,或者需要通过复杂的终端用户交互才能被利用的问题
确定为影响较小的问题
欢迎参加 Nervos 基金会举办的 Bug 赏金计划(Nervos 赏金计划),如果您相信您能发现 符合 Nervos 赏金计划指南(https//bounty.nervos.org)规定的 Bug 或安全漏洞,我们诚邀您按照以下指南告知给 Nervos 基金会(Nervos)。
参与 Nervos 赏金计划,您承认并同意您的参与始终限制在 Nervos Bug 赏金计划条款和条件("条款")中规定的条款。
Nervos 赏金计划及条款及其任何方面均可由 Nervos 随时更改或取消,无论是否提前通知您。Nervos 可随时在此发布修订版或通过其他沟通方式修改或更新本条款。在这些变化之后继续参加 Nervos 赏金计划,表明您接受了新的修改条款。
您只有在以下情况下才能参加 Nervos 赏金计划并提交安全漏洞报告("提交"): 您需要
已满 18 周岁;
不是居民或目前没有居住在美国对其实施了一般贸易禁令的国家或地区(截至本条款生效日期当天,这些国家和地区包括伊朗,古巴,乌克兰的克里米亚地区,朝鲜和叙利亚); 和
不得以任何方式受雇于 Nervos 或其任何附属公司,也不是其任何成员的直系亲属。
Nervos 赏金计划适用于 Nervos 赏金计划指南中规定的奖励范围内的安全漏洞("漏洞"。此外,漏洞必须在 “Nervosnetwork” GitHub页面下的代码中发现,而不能在第三方代码中发现。
您已同意您向 Nervos 提交的漏洞符合Nervos赏金计划指南中规定的规则。
您需同意不做与您参加 Nervos 赏金计划或其他有关的下列任何事情:
执行或试图执行任何拒绝服务;
未经任何第三者同意,则与该第三方进行互动(包括修改或从该第三方获取资料);
垃圾邮件或使用任何可能产生大量流量的自动漏洞工具;
出于任何原因以任何方式利用您发现的任何漏洞,包括利用通过此类漏洞发现的任何数据;
对Nervos员工或承包商实施社交工程手段(包括“网络钓鱼”);
故意违反任何其他适用法律或法规,包括禁止未经授权访问数据的法律或法规;
试图访问 Nervos 财产;和
公开任何个人、财务或位置信息。
您需同意做与您参加 Nervos 赏金计划或其他有关的下列 任何 事情:
通过以下提交过程发现任何漏洞后,请尽快通知我们;
将您接收、收集或发现的关于Nervos、其关联公司、客户、用户或与 Nervos 赏金计划相关代理的所有信息(包括所有 bugs 和漏洞)视为机密信息,除非为了 Nervos 赏金计划而与 Nervos 共享任何此类信息;
请诚实守信,避免侵犯他人隐私和干扰他人的行为,包括但不限于未经授权访问或破坏数据、盗窃、干扰或危害我们的服务。
Nervos 保留唯一权利,从 Nervos 赏金计划中排除某些类别的漏洞或 bug 。
您在发现一个漏洞之后,请提供一个关于该漏洞的报告至邮箱: [email protected] ,该报告中须包括您的姓名、电子邮件、公司名称(如果适用)、关于该漏洞的描述、您认为该漏洞会对 Nervos 有何潜在影响,以及您发现该漏洞的过程(步骤)。
根据上述提交流程和Nervos赏金计划指南,正确提交和记录
针对给定漏洞的第一次提交。
提交的文件将由我们的安全团队进行审查。我们的目标是在收到提交后的几天内提供响应,但是响应可能会延迟,这取决于安全审查人员的安排以及我们的安全团队目前是否正在解决其他更严重的漏洞。Nervos 全权决定你的提交是否符合上述标准以及是作为此漏洞的第一个提交, Nervos 将会根据很多因素发送奖励,包括但不限于的漏洞的类型和严重程度等,更多细节请查看Nervos 赏金计划指南。
为了获得奖励资格,您必须向 Nervos 提供关于您的准确、完整和最新的信息,包括您的姓名、电子邮件地址和 Nervos 合理要求的任何其他信息,以便Nervos向您发送奖励。
如果您在美国境内,您可能没有资格获得代币作为奖励。如果您没有资格获得代币作为奖励,您收到的任何和所有奖励将仅以美元、USDT、ETH或BTC支付。如果您位于美国境外,您可以选择接受CKB 代币奖励。在您获得奖励之前,您必须签署并将Nervos可能要求并提供的任何附加协议或表格返还给Nervos,包括但不限于,如果您的奖励将以CKB代币支付,则未来代币收益奖励的通知。Nervos 不保证代币在任何货币中的价值。
你有责任支付所有与奖励有关的税。
您同意任何提交将是属于 Nervos 的独家财产。一经提交,您即不可撤销地向 Nervos 转让,并同意不可撤销地向 Nervos 转让您在提交文件中享有的所有权利和利益,包括但不限于全球范围内的所有专利权、版权、商业机密以及其他专利或知识产权。
一经提交,即代表提交和 Nervos 针对提交的任何使用将不会侵犯,挪用、或侵犯第三方的知识产权,或公开隐私,以及导致违反任何适用的法律或法规,包括出口管制法律。
您不是 Nervos 的雇员、承包商或代理人,而是希望参与 Nervos 赏金计划的独立第三方。条款中没有任何内容旨在使 Nervos 和您成为合资企业、合作伙伴或雇主和雇员。在任何情况下,Nervos 都不应被视为您的雇主,您也不应享有作为 Nervos 雇员的任何权利。
我们目前没有设定确切的结束日期,在初始奖金 100 万美元被领取之后会开启下一阶段赏金计划。请关注 Nervos 官方渠道获取最新动态。
赏金可以以 USD、USDT、ETH、BTC 的形式发放,在一些特定的行政辖区,也可以以 CKB 的形式发放。赏金通常会在提交被确认后的几周后发放。根据当地法律要求,我们需要您提供您的身份证明。另外,我们会适当地需要您的银行账户信息或者 USDT、ETH、BTC、CKB 地址。
对于来自美国境内的参与者,所有赏金将仅以 USD、USDT、ETH 或 BTC 支付。
对于来自美国以外的参与者,可以选择 CKB 作为奖励,但是必须符合该计划条款中所述的特定资格规定。
您在发现一个漏洞之后,请提供一个关于该漏洞的报告至邮箱: [email protected] ,该报告中须包括您的姓名、电子邮件、公司名称(如果适用)、关于该漏洞的描述、您认为该漏洞会对 Nervos 有何潜在影响,以及您发现该漏洞的过程(步骤)。
我们的目标是尽快对提交的内容做出回应。在公布或与他人共享任何有关于该报告的信息之前,我们需要一个合理的时间来审查和处理您所提交的问题。我们将尽快地检查并答复您的提交。如果您在提交后的两周内还没有收到回复,可以随时发送邮件给我们: [email protected] 。
如果您还有其他更多的问题,欢迎发送电子邮件咨询我们: [email protected] 。
