Moonbeam Bug Program 漏洞赏金计划

Moonbeam Bug Program 漏洞赏金计划主要针对 Moonriver 和 Moonbeam 平行链，以及生态内的 DApps，主要目的是为了防止：本金的盗窃和冻结、未结算收益的盗窃和冻结、治理资金的盗窃、治理活动的中断、网络关闭、网站瘫痪、用户数据泄露、用户数据删除、未经授权访问敏感网页。

参与须知：网站或应用程序的漏洞报告需附带 PoC 才有机会获奖。经团队决定，智能合约的漏洞报告可能需要附带一个 PoC，目的是为确定该漏洞的确存在，必要情况下还能计算该漏洞被利用后可能造成的损害程度。关键级漏洞的上限是经济损失的 10%，主要考量因素除了公关和品牌影响之外，还有资金影响。关键级漏洞的下限是 75000 美元。

参与入口：https://bugs.immunefi.com/

KYC 需求：Moonbeam 基金会要求所有赏金计划的参与者进行 KYC 验证，提交身份证扫描件和自拍照。

赏金支付：赏金由 Moonbeam 基金会直接支付，支付形式为 USDT 或 USDC。

注意：同时适用于 Moonbeam 和 Moonriver 网络的漏洞报告将视为同一份报告，只支付一次赏金。

赏金分类依据

赏金分类的依据是基于 Immunefi 漏洞严重程度分类系统的漏洞影响。Immunefi 是一个用于智能合约和加密货币项目的漏洞赏金平台。其漏洞严重程度分类系统是一个简化的 5 级标准，将漏洞按严重程度分为 5 类：关键级、高级、中级、低级、零级漏洞。其对网站与应用程序、智能合约与区块链有单独的标准，内容包含漏洞后果、所需特权、漏洞成功利用的可能性。该平台使安全研究人员能够审查代码、披露漏洞并获得报酬，并允许公司利用领先的安全人才来保护他们的项目。

赏金分类

赏金分为智能合约、区块链、网络和应用程序四个类别。各类别奖金分别为以下级别：

智能合约和区块链类奖金共有 4 个级别：

• 赏金高达 1 百万美元的关键级；

• 7.5 万美元的高级；

• 2 万美元的中级；

• 5 千美元的低级。

网络和应用程序类奖金共有 4 个级别：

• 赏金高达 1.5 万美元的关键级；

• 7500 美元的高级；

• 2500 美元的中级；

• 1000 美元的低级。

范围内的资产

Kusama 上的 Moonriver 平行链和 Polkadot 上的 Moonbeam 平行链都包括在资产范围内。

点击此链接 https://github.com/PureStake/，获取 Moonbeam 的所有源代码。

漏洞赏金计划范围内的影响

1、智能合约和区块链方面，本漏洞赏金计划接受的影响仅包含：因永久冻结或直接盗窃导致的用户资金损失；治理资金的损失；无人认领的收益的盗窃；冻结无人认领的收益；至少持续 15 分钟的资金暂时冻结；暂时无法调用智能合约；网络关闭；智能合约手续费流失；由于底层平行链内的缺陷或漏洞，智能合约无法交付承诺的收益；治理活动中断；操纵投票；不正确的投票行动；绕过外在验证（Origin 绕过或升级)；违反 Runtime 共识（将无效区块纳入规范）。

2、网络和应用程序方面，本漏洞赏金计划接受的影响仅包含：用户数据泄漏；用户数据删除；通过修改地址重新引导资金；用户欺骗其他用户；通过逻辑攻击和对不正常的服务进行慢速滚动攻击方式拒绝服务。

Moonbeam GitHub repo

区块链 - Moonbeamhttps://github.com/PureStake/moonbeam

区块链 - Nimbushttps://github.com/PureStake/nimbus

区块链 - Crowdloan Rewardshttps://github.com/PureStake/crowdloan-rewards

区块链 - Frontierhttps://github.com/paritytech/frontier

区块链 - RPC 基础设施 (Moonriver)https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1285.json  

区块链 - RPC 基础设施 (Moonbase Alpha)https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1287.json 

区块链 - RPC 基础设施 (Moonbeam)https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1287.json 

网络/应用程序  https://apps.moonbeam.network

网络/应用程序  https://crowdloan.moonbeam.foundation/

网络/应用程序  https://moonbeam.network/

网络/应用程序  https://moonbeam.foundation/

优先考虑的漏洞

1、智能合约和区块链方面，优先考虑重入性；逻辑错误（包括用户认证错误）；不考虑 Solidity/EVM 细节（包括整数过流/欠流和未处理的异常）；EVM/自定义预编译的漏洞；托管信任/依赖漏洞（包括可组合性漏洞在内）；预言机故障/操控；新的治理攻击；经济/金融攻击（包括闪光贷款攻击）；拥堵和可扩展性（包括手续费用尽、区块填充、和易受抢跑攻击的影响）；共识失败；签名的可修改性、易受中继（relay）攻击的影响、薄弱的随机性、薄弱的加密技术等密码学问题；易受区块时间戳操控的影响；缺少访问控制/无保护的内部或调试接口；

2、网站和应用程序方面，优先考虑远程代码执行；托管信任/依赖性漏洞；垂直特权升级；XML 外部实体注入；SQL 注入；LFI/RFI；横向特权升级；存储的 XSS；有影响的反射性 XSS；有影响的 CSRF；直接引用对象；内部 SSRF；会话固定化；不安全的反序列化；DOM XSS；SSL 错误配置；SSL/TLS 问题（弱加密，设置不当）；URL 重定向；点击劫持（必须附带 PoC）；误导性的 Unicode 文本（例如，使用从右到左的覆盖字符）。

注意，以下漏洞不在本漏洞赏金计划范围内

• 报告人自己已经利用了的攻击，并导致了损失；

• 需要访问泄露的密钥/凭证的攻击；

• 需要访问特权地址的攻击（治理、战略）；

• 破解链接劫持不在范围内。

具体来说，分为以下两个方面：

1、智能合约和区块链方面，不接收的漏洞包含：

• 第三方预言机提供的不正确数据；

• 不排除预言机操控/闪电贷款攻击；

• 基本的经济治理攻击（如 51%攻击）；

• 缺少流动性；

• 最佳实践批评；

• Sybil 攻击；

• 集中化风险。

2、网站和应用程序方面，不接收的漏洞包含：

• 没有任何证明或演示的理论性漏洞；

• 内容欺骗/文本注入问题；

• 自我 XSS；

• 使用 OCR 绕过验证码的问题；

• 没有安全影响的 CSRF（注销 CSRF，改变语言等）；

• 缺少 HTTP 安全标头（如 X-FRAME-OPTIONS）或 cookie 安全标志（如“httponly”）；

• 服务器端的信息披露，如 IP、服务器名称和大多数堆栈痕迹；

• 用来列举或确认用户或租户存在的漏洞；

• 需要不可能的用户操作的漏洞；

• URL 重定向（除非与另一个漏洞结合，产生更严重的漏洞）；

• 缺少 SSL/TLS 的最佳实践；

• DDoS 漏洞；

• 需要来自组织内部的特权访问的攻击；

• 电子邮件域名的 SPF 记录；

• 功能请求；

• 最佳实践。

注意！本漏洞赏金计划禁止以下活动：

• 使用主网或公开测试网合约进行的测试（测试都应该在私人测试网上进行）；

• 使用预言机或第三方智能合约进行的测试；

• 试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击；

• 与第三方系统和应用程序（如浏览器插件）以及网站（如 SSO 供应商，广告网络）的测试；

• 任何服务攻击的否定；

• 对产生大量流量的服务进行的自动测试；

• 公开披露禁止的赏金中未修补的漏洞。

关于 Moonbeam

Moonbeam 是波卡（Polkadot）网络中与以太坊兼容的智能合约平台，可实现轻松构建原生的互操作性去中心化应用。以太坊兼容特性允许开发者以最少的更改将现有的 Solidity 智能合约和 DApp 前端部署到 Moonbeam。如同其在 Kusama 上的姐妹网 Moonriver 一样，Moonbeam 将受益于 80 多个已上线网络的 DApp 和协议，生态开发者和使用者继续拓展 Moonbeam。作为在波卡（Polkadot）网络上的平行链，Moonbeam 将受益于波卡（Polkadot）中继链的共享安全性和链接波卡（Polkadot）其他链的互操作优势。

如需了解更多信息，请访问： https://moonbeam.network/

关于我们

One Block+ 是中国最大的 Substrate 技术开发者社区，也是 Parity 在亚洲唯一的运营合作伙伴，波卡生态早期项目的创始人、CTO、核心开发者大部分都来自 One Block+ 社区。

Twitter: https://twitter.com/OneBlock_

Medium: https://medium.com/@OneBlockplus

Telegram: https://t.me/oneblock_dev

Discord: https://discord.gg/z2XZZWEcaa

Bilibili: https://space.bilibili.com/1650224419

YouTube: https://www.youtube.com/channel/UCWo2r3wA6brw3ztr-JmzyXA