BTC

$61032.778

-2.32%

ETH

$2968.701

-1.27%

BNB

$592.145

1.41%

XRP

$0.512

-2.07%

Aktuelles

LooksRare hat im Januar 2022 sein Bug-Bounties-Programm angekündigt!

27. Januar 2022 – Ungefähr 4 min Minuten zum Lesen
Sieht selten aus, Bug Bounties
LooksRare hat im Januar 2022 sein Bug-Bounties-Programm angekündigt! 2

Programmübersicht

LooksRare ist der Community-First-NFT-Marktplatz, der Händler, Sammler und Ersteller aktiv für ihre Teilnahme belohnt. Die Smart Contracts von LooksRare werden in einem modularen System maßgeschneidert, das dank standardisierter Signaturen die Einführung neuer Funktionen im Laufe der Zeit ermöglicht – ohne Kompromisse bei der Sicherheit die den Ausführungsumfang klar definieren.

Dieses Bug-Bounty-Programm konzentriert sich auf ihre Smart Contracts, ihre Website und ihre App und zielt darauf ab, Folgendes zu verhindern:

  • Verlust von Benutzer-NFTs.
  • Verlust von Benutzergeldern.

Belohnungen nach Bedrohungsstufe

Die Belohnungen werden entsprechend den Auswirkungen der Sicherheitsanfälligkeit auf der Grundlage der verteilt System zur Klassifizierung des Schweregrads von Immunfi-Schwachstellen. Hierbei handelt es sich um eine vereinfachte 5-stufige Skala mit separaten Skalen für Websites/Apps und Smart Contracts/Blockchains, die alles von den Folgen einer Ausnutzung über die erforderlichen Privilegien bis hin zur Wahrscheinlichkeit einer erfolgreichen Ausnutzung abdeckt.

Alle Web-/App-Fehlermeldungen müssen mit einem PoC versehen sein, der sich am Ende auf ein Asset im Umfang auswirkt, um für eine Belohnung berücksichtigt zu werden. Alle niedrigen, mittleren, hohen und kritischen Smart Contract-Fehlermeldungen erfordern einen Lösungsvorschlag, um für eine Belohnung in Frage zu kommen. Erklärungen und Stellungnahmen werden nicht akzeptiert, da PoC und Code erforderlich sind.

Kritische Schwachstellen bei Smart Contracts sind auf 10 % des wirtschaftlichen Schadens begrenzt, wobei in erster Linie gefährdete Fonds, aber auch PR- und Branding-Aspekte nach Ermessen des Teams berücksichtigt werden. Es gibt jedoch eine Mindestvergütung von 50 000 $.

Die Auszahlung erfolgt über die Sieht selten aus direkt an das Team vergeben und lauten auf USD. Auszahlungen erfolgen jedoch in SIEHT AUS und ETH, wobei die Wahl des Verhältnisses im Ermessen des Teams liegt.

Smart Contracts und Blockchain

Niveau Auszahlungs
Kritisch Bis zu 1,000,000 USD
GUTE USD $ 10,000
Medium USD $ 2,000
Sneaker USD $ 1,000

Web und Apps

Niveau Auszahlungs
Kritisch USD $ 20,000
GUTE USD $ 4,000
Medium USD $ 2,000
Sneaker USD $ 1,000

Vermögenswerte im Geltungsbereich

Nur die in die Tabelle „Assets im Umfang“. gelten als im Umfang des Bug-Bounty-Programms enthalten. Alle gefundenen Schwachstellen in der https://docs.looksrare.org/ sind außerhalb des Geltungsbereichs.

Priorisierte Schwachstellen

Auswirkungen im Umfang

Im Rahmen dieses Bug-Bounty-Programms werden nur die folgenden Auswirkungen akzeptiert. Alle anderen Auswirkungen gelten nicht als im Umfang enthalten, auch wenn sie sich auf etwas in den Vermögenswerten in der Umfangstabelle auswirken.

Intelligente Verträge/Blockchain

  • Verlust der eingesetzten Benutzergelder (Kapital) durch Einfrieren oder Diebstahl
  • Verlust von Governance-Mitteln
  • Diebstahl nicht beanspruchter Erträge
  • Einfrieren nicht beanspruchter Erträge
  • Smart Contract kann nicht aufgerufen werden
  • Intelligente Vertragsgasentwässerung
  • Smart Contract liefert keine versprochenen Renditen
  • Wahlmanipulation
  • Falsche Abfrageaktionen

Web-App

  • Exploits führen zu Backend-Ausfällen
  • Ändern von Inhalten, zu denen ein Benutzer nicht berechtigt ist (z. B. Sammlungsinformationen für Sammlungen, deren Eigentümer er nicht ist)
  • Einschleusen bösartiger Skripte über den NFT-Iframe
  • Alle Exploits, die sich auf unsere Domainnamen auswirken könnten

Außerhalb des Geltungsbereichs und der Regeln

Die folgenden Schwachstellen sind von den Belohnungen für dieses Bug-Bounty-Programm ausgeschlossen:

  • Angriffe, die der Reporter bereits selbst ausgenutzt hat, führen zu Schäden
  • Angriffe, die den Zugriff auf geleakte Schlüssel/Anmeldeinformationen erfordern
  • Angriffe, die Zugriff auf privilegierte Adressen erfordern (Governance, Stratege)

Smart Contracts und Blockchain

  • Falsche Daten von Drittanbieter-Orakeln
    • Oracle-Manipulation/Flash-Loan-Angriffe sind nicht auszuschließen
  • Grundlegende Angriffe auf die Wirtschaftsführung (z. B. 51 %-Angriff)
  • Mangel an Liquidität
  • Best-Practice-Kritiken
  • Sybil greift an
  • Zentralisierungsrisiken

Webseiten und Apps

  • Theoretische Schwachstellen ohne Beweise oder Demonstration
  • Probleme mit Content-Spoofing/Text-Injection
  • Selbst-XSS
  • Captcha-Umgehung mit OCR
  • CSRF ohne Auswirkungen auf die Sicherheit (CSRF abmelden, Sprache ändern usw.)
  • Fehlende HTTP-Sicherheitsheader (z. B. X-FRAME-OPTIONS) oder Cookie-Sicherheitsflags (z. B. „httponly“)
  • Offenlegung serverseitiger Informationen wie IP-Adressen, Servernamen und die meisten Stack-Traces
  • Schwachstellen, die zur Aufzählung oder Bestätigung der Existenz von Benutzern oder Mandanten verwendet werden
  • Sicherheitslücken, die unwahrscheinliche Benutzeraktionen erfordern
  • URL-Weiterleitungen (es sei denn, sie werden mit einer anderen Sicherheitslücke kombiniert, um eine schwerwiegendere Sicherheitslücke zu erzeugen)
  • Fehlende SSL/TLS-Best Practices
  • DDoS-Schwachstellen
  • Angriffe, die einen privilegierten Zugriff innerhalb der Organisation erfordern
  • Feature-Anfragen
  • Best Practices
  • Manipulation von Handelsprämien durch Token-Farming

Die folgenden Aktivitäten sind durch dieses Bug-Bounty-Programm verboten:

  • Alle Tests mit Mainnet- oder öffentlichen Testnet-Verträgen; Alle Tests sollten auf privaten Testnetzen durchgeführt werden
  • Alle Tests mit Preisorakeln oder Smart Contracts von Drittanbietern
  • Versuche von Phishing- oder anderen Social-Engineering-Angriffen gegen unsere Mitarbeiter und/oder Kunden
  • Jegliche Tests mit Systemen und Anwendungen Dritter (z. B. Browsererweiterungen) sowie Websites (z. B. SSO-Anbieter, Werbenetzwerke)
  • Jegliche Denial-of-Service-Angriffe
  • Automatisiertes Testen von Diensten, die erhebliche Mengen an Datenverkehr generieren
  • Öffentliche Offenlegung einer ungepatchten Schwachstelle in einem Embargo

HAFTUNGSAUSSCHLUSS: Die Informationen auf dieser Website dienen als allgemeine Marktkommentare und stellen keine Anlageberatung dar. Wir empfehlen Ihnen, vor einer Investition eigene Recherchen durchzuführen.

Melden Sie sich bei CoinCu Telegram an, um Neuigkeiten zu verfolgen: https://t.me/coincunews

Folgen Sie dem Youtube-Kanal von CoinCu | Folgen Sie der Facebook-Seite von CoinCu

Hasel

CoinCu-Neuigkeiten

Aktuelles

LooksRare hat im Januar 2022 sein Bug-Bounties-Programm angekündigt!

Sieht selten aus, Bug Bounties
LooksRare hat im Januar 2022 sein Bug-Bounties-Programm angekündigt! 4

Programmübersicht

LooksRare ist der Community-First-NFT-Marktplatz, der Händler, Sammler und Ersteller aktiv für ihre Teilnahme belohnt. Die Smart Contracts von LooksRare werden in einem modularen System maßgeschneidert, das dank standardisierter Signaturen die Einführung neuer Funktionen im Laufe der Zeit ermöglicht – ohne Kompromisse bei der Sicherheit die den Ausführungsumfang klar definieren.

Dieses Bug-Bounty-Programm konzentriert sich auf ihre Smart Contracts, ihre Website und ihre App und zielt darauf ab, Folgendes zu verhindern:

  • Verlust von Benutzer-NFTs.
  • Verlust von Benutzergeldern.

Belohnungen nach Bedrohungsstufe

Die Belohnungen werden entsprechend den Auswirkungen der Sicherheitsanfälligkeit auf der Grundlage der verteilt System zur Klassifizierung des Schweregrads von Immunfi-Schwachstellen. Hierbei handelt es sich um eine vereinfachte 5-stufige Skala mit separaten Skalen für Websites/Apps und Smart Contracts/Blockchains, die alles von den Folgen einer Ausnutzung über die erforderlichen Privilegien bis hin zur Wahrscheinlichkeit einer erfolgreichen Ausnutzung abdeckt.

Alle Web-/App-Fehlermeldungen müssen mit einem PoC versehen sein, der sich am Ende auf ein Asset im Umfang auswirkt, um für eine Belohnung berücksichtigt zu werden. Alle niedrigen, mittleren, hohen und kritischen Smart Contract-Fehlermeldungen erfordern einen Lösungsvorschlag, um für eine Belohnung in Frage zu kommen. Erklärungen und Stellungnahmen werden nicht akzeptiert, da PoC und Code erforderlich sind.

Kritische Schwachstellen bei Smart Contracts sind auf 10 % des wirtschaftlichen Schadens begrenzt, wobei in erster Linie gefährdete Fonds, aber auch PR- und Branding-Aspekte nach Ermessen des Teams berücksichtigt werden. Es gibt jedoch eine Mindestvergütung von 50 000 $.

Die Auszahlung erfolgt über die Sieht selten aus direkt an das Team vergeben und lauten auf USD. Auszahlungen erfolgen jedoch in SIEHT AUS und ETH, wobei die Wahl des Verhältnisses im Ermessen des Teams liegt.

Smart Contracts und Blockchain

Niveau Auszahlungs
Kritisch Bis zu 1,000,000 USD
GUTE USD $ 10,000
Medium USD $ 2,000
Sneaker USD $ 1,000

Web und Apps

Niveau Auszahlungs
Kritisch USD $ 20,000
GUTE USD $ 4,000
Medium USD $ 2,000
Sneaker USD $ 1,000

Vermögenswerte im Geltungsbereich

Nur die in die Tabelle „Assets im Umfang“. gelten als im Umfang des Bug-Bounty-Programms enthalten. Alle gefundenen Schwachstellen in der https://docs.looksrare.org/ sind außerhalb des Geltungsbereichs.

Priorisierte Schwachstellen

Auswirkungen im Umfang

Im Rahmen dieses Bug-Bounty-Programms werden nur die folgenden Auswirkungen akzeptiert. Alle anderen Auswirkungen gelten nicht als im Umfang enthalten, auch wenn sie sich auf etwas in den Vermögenswerten in der Umfangstabelle auswirken.

Intelligente Verträge/Blockchain

  • Verlust der eingesetzten Benutzergelder (Kapital) durch Einfrieren oder Diebstahl
  • Verlust von Governance-Mitteln
  • Diebstahl nicht beanspruchter Erträge
  • Einfrieren nicht beanspruchter Erträge
  • Smart Contract kann nicht aufgerufen werden
  • Intelligente Vertragsgasentwässerung
  • Smart Contract liefert keine versprochenen Renditen
  • Wahlmanipulation
  • Falsche Abfrageaktionen

Web-App

  • Exploits führen zu Backend-Ausfällen
  • Ändern von Inhalten, zu denen ein Benutzer nicht berechtigt ist (z. B. Sammlungsinformationen für Sammlungen, deren Eigentümer er nicht ist)
  • Einschleusen bösartiger Skripte über den NFT-Iframe
  • Alle Exploits, die sich auf unsere Domainnamen auswirken könnten

Außerhalb des Geltungsbereichs und der Regeln

Die folgenden Schwachstellen sind von den Belohnungen für dieses Bug-Bounty-Programm ausgeschlossen:

  • Angriffe, die der Reporter bereits selbst ausgenutzt hat, führen zu Schäden
  • Angriffe, die den Zugriff auf geleakte Schlüssel/Anmeldeinformationen erfordern
  • Angriffe, die Zugriff auf privilegierte Adressen erfordern (Governance, Stratege)

Smart Contracts und Blockchain

  • Falsche Daten von Drittanbieter-Orakeln
    • Oracle-Manipulation/Flash-Loan-Angriffe sind nicht auszuschließen
  • Grundlegende Angriffe auf die Wirtschaftsführung (z. B. 51 %-Angriff)
  • Mangel an Liquidität
  • Best-Practice-Kritiken
  • Sybil greift an
  • Zentralisierungsrisiken

Webseiten und Apps

  • Theoretische Schwachstellen ohne Beweise oder Demonstration
  • Probleme mit Content-Spoofing/Text-Injection
  • Selbst-XSS
  • Captcha-Umgehung mit OCR
  • CSRF ohne Auswirkungen auf die Sicherheit (CSRF abmelden, Sprache ändern usw.)
  • Fehlende HTTP-Sicherheitsheader (z. B. X-FRAME-OPTIONS) oder Cookie-Sicherheitsflags (z. B. „httponly“)
  • Offenlegung serverseitiger Informationen wie IP-Adressen, Servernamen und die meisten Stack-Traces
  • Schwachstellen, die zur Aufzählung oder Bestätigung der Existenz von Benutzern oder Mandanten verwendet werden
  • Sicherheitslücken, die unwahrscheinliche Benutzeraktionen erfordern
  • URL-Weiterleitungen (es sei denn, sie werden mit einer anderen Sicherheitslücke kombiniert, um eine schwerwiegendere Sicherheitslücke zu erzeugen)
  • Fehlende SSL/TLS-Best Practices
  • DDoS-Schwachstellen
  • Angriffe, die einen privilegierten Zugriff innerhalb der Organisation erfordern
  • Feature-Anfragen
  • Best Practices
  • Manipulation von Handelsprämien durch Token-Farming

Die folgenden Aktivitäten sind durch dieses Bug-Bounty-Programm verboten:

  • Alle Tests mit Mainnet- oder öffentlichen Testnet-Verträgen; Alle Tests sollten auf privaten Testnetzen durchgeführt werden
  • Alle Tests mit Preisorakeln oder Smart Contracts von Drittanbietern
  • Versuche von Phishing- oder anderen Social-Engineering-Angriffen gegen unsere Mitarbeiter und/oder Kunden
  • Jegliche Tests mit Systemen und Anwendungen Dritter (z. B. Browsererweiterungen) sowie Websites (z. B. SSO-Anbieter, Werbenetzwerke)
  • Jegliche Denial-of-Service-Angriffe
  • Automatisiertes Testen von Diensten, die erhebliche Mengen an Datenverkehr generieren
  • Öffentliche Offenlegung einer ungepatchten Schwachstelle in einem Embargo

HAFTUNGSAUSSCHLUSS: Die Informationen auf dieser Website dienen als allgemeine Marktkommentare und stellen keine Anlageberatung dar. Wir empfehlen Ihnen, vor einer Investition eigene Recherchen durchzuführen.

Melden Sie sich bei CoinCu Telegram an, um Neuigkeiten zu verfolgen: https://t.me/coincunews

Folgen Sie dem Youtube-Kanal von CoinCu | Folgen Sie der Facebook-Seite von CoinCu

Hasel

CoinCu-Neuigkeiten

73 Mal besucht, 1 Besuch(e) heute