BTC

$63147.704

3.31%

ETH

$3032.402

1.75%

BNB

$595.5

0.05%

XRP

$0.515

0.12%

Noticias

¡LooksRare anunció su programa Bug Bounties en enero de 2022!

27 de enero de 2022 - Alrededor 4 minutos minutos para leer
Recompensas por errores de LooksRare
¡LooksRare anunció su programa Bug Bounties en enero de 2022! 2

Reseña del programa

LooksRare es el primer mercado NFT de la comunidad que recompensa activamente a los comerciantes, coleccionistas y creadores por participar. Los contratos inteligentes de LooksRare están personalizados dentro de un sistema modular que permite implementar nuevas funciones con el tiempo, sin comprometer la seguridad, gracias a firmas estandarizadas. que definan claramente el alcance de la ejecución.

Este programa de recompensas por errores se centra en sus contratos inteligentes, sitios web y aplicaciones, y se centra en prevenir:

  • Pérdida de NFT de usuarios.
  • Pérdida de fondos de los usuarios.

Recompensas por nivel de amenaza

Las recompensas se distribuyen de acuerdo con el impacto de la vulnerabilidad en función de la Sistema de clasificación de severidad de vulnerabilidad de inmunodeficiencia humana. Esta es una escala simplificada de 5 niveles, con escalas separadas para sitios web/aplicaciones y contratos inteligentes/cadenas de bloques, que abarca todo, desde las consecuencias de la explotación hasta los privilegios requeridos y la probabilidad de una explotación exitosa.

Todos los informes de errores web/aplicaciones deben venir con una PoC con un efecto final que afecte a un activo dentro del alcance para poder ser considerados para una recompensa. Todos los informes de errores de contratos inteligentes bajos, medios, altos y críticos requieren una sugerencia de solución para poder optar a una recompensa. No se aceptan explicaciones ni declaraciones como PoC y se requiere código.

Las vulnerabilidades críticas de los contratos inteligentes tienen un límite del 10 % del daño económico, teniendo en cuenta principalmente los fondos en riesgo, pero también los aspectos de relaciones públicas y de marca, a discreción del equipo. Sin embargo, existe una recompensa mínima de Dólar estadounidense 50 000.

Los pagos son manejados por el AparienciaRaro equipo directamente y están denominados en USD. Sin embargo, los pagos se realizan en MIRADAS y ETH, quedando la elección del ratio a criterio del equipo.

Contratos Inteligentes y Blockchain

Nivel Pago
Critical Hasta USD $1,000,000
Alta USD $10,000
Medio USD $2,000
Baja USD $1,000

Web y aplicaciones

Nivel Pago
Critical USD $20,000
Alta USD $4,000
Medio USD $2,000
Baja USD $1,000

Activos en alcance

Sólo aquellos en la tabla Activos en el alcance se consideran dentro del alcance del programa de recompensas por errores. Todas las vulnerabilidades encontradas en el https://docs.looksrare.org/ están fuera de alcance.

Vulnerabilidades priorizadas

Impactos en el alcance

Solo se aceptan los siguientes impactos dentro de este programa de recompensas por errores. Todos los demás impactos no se consideran dentro del alcance, incluso si afectan algo en los activos en la tabla de alcance.

Contratos inteligentes/Blockchain

  • Pérdida de fondos de usuario apostados (principal) por congelación o robo
  • Pérdida de fondos de gobernanza
  • Robo de rendimiento no reclamado
  • Congelación del rendimiento no reclamado
  • No se puede llamar al contrato inteligente
  • Drenaje de gas por contrato inteligente
  • El contrato inteligente no ofrece los rendimientos prometidos
  • Manipulación de votos
  • Acciones de votación incorrectas

Aplicación Web

  • Explotaciones que provocan tiempo de inactividad del backend
  • Modificar contenido que un usuario no tiene permitido (como información de colección para colecciones que no son de su propiedad)
  • Inyectar scripts maliciosos a través del iframe NFT
  • Cualquier exploit que pueda afectar nuestros nombres de dominio.

Fuera de alcance y reglas

Las siguientes vulnerabilidades están excluidas de las recompensas de este programa de recompensas por errores:

  • Ataques que el propio periodista ya ha explotado, provocando daños
  • Ataques que requieren acceso a claves/credenciales filtradas
  • Ataques que requieren acceso a direcciones privilegiadas (gobernanza, estratega)

Contratos Inteligentes y Blockchain

  • Datos incorrectos proporcionados por oráculos de terceros.
    • No excluir manipulación de Oracle/ataques de préstamos flash
  • Ataques básicos de gobernanza económica (por ejemplo, ataque del 51%)
  • Falta de liquidez
  • Críticas de mejores prácticas
  • Ataques de Sybil
  • Riesgos de centralización

Sitios web y aplicaciones

  • Vulnerabilidades teóricas sin ninguna prueba o demostración.
  • Suplantación de contenido/problemas de inyección de texto
  • Auto-XSS
  • Omitir captcha usando OCR
  • CSRF sin impacto en la seguridad (cerrar sesión en CSRF, cambiar idioma, etc.)
  • Faltan encabezados de seguridad HTTP (como X-FRAME-OPTIONS) o indicadores de seguridad de cookies (como "httponly")
  • Divulgación de información del lado del servidor, como direcciones IP, nombres de servidores y la mayoría de los seguimientos de pila.
  • Vulnerabilidades utilizadas para enumerar o confirmar la existencia de usuarios o inquilinos
  • Vulnerabilidades que requieren acciones improbables del usuario
  • Redireccionamientos de URL (a menos que se combinen con otra vulnerabilidad para producir una vulnerabilidad más grave)
  • Falta de mejores prácticas SSL/TLS
  • Vulnerabilidades DDoS
  • Ataques que requieren acceso privilegiado desde dentro de la organización
  • Peticiones de características
  • Mejores prácticas
  • Manipulación de recompensas comerciales mediante el cultivo de tokens

Este programa de recompensas por errores prohíbe las siguientes actividades:

  • Cualquier prueba con contratos de red principal o de red de prueba pública; todas las pruebas deben realizarse en redes de prueba privadas
  • Cualquier prueba con oráculos de precios o contratos inteligentes de terceros.
  • Intentar phishing u otros ataques de ingeniería social contra nuestros empleados y/o clientes.
  • Cualquier prueba con sistemas y aplicaciones de terceros (por ejemplo, extensiones de navegador), así como sitios web (por ejemplo, proveedores de SSO, redes de publicidad).
  • Cualquier ataque de denegación de servicio
  • Pruebas automatizadas de servicios que generan cantidades significativas de tráfico.
  • Divulgación pública de una vulnerabilidad sin parchear en una recompensa embargada

DESCARGO DE RESPONSABILIDAD: La información contenida en este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Le recomendamos que haga su propia investigación antes de invertir.

Únase a CoinCu Telegram para realizar un seguimiento de las noticias: https://t.me/coincunews

Siga el canal de Youtube de CoinCu | Siga la página de Facebook de CoinCu

Color avellana

CoinCu Noticias

Noticias

¡LooksRare anunció su programa Bug Bounties en enero de 2022!

Recompensas por errores de LooksRare
¡LooksRare anunció su programa Bug Bounties en enero de 2022! 4

Reseña del programa

LooksRare es el primer mercado NFT de la comunidad que recompensa activamente a los comerciantes, coleccionistas y creadores por participar. Los contratos inteligentes de LooksRare están personalizados dentro de un sistema modular que permite implementar nuevas funciones con el tiempo, sin comprometer la seguridad, gracias a firmas estandarizadas. que definan claramente el alcance de la ejecución.

Este programa de recompensas por errores se centra en sus contratos inteligentes, sitios web y aplicaciones, y se centra en prevenir:

  • Pérdida de NFT de usuarios.
  • Pérdida de fondos de los usuarios.

Recompensas por nivel de amenaza

Las recompensas se distribuyen de acuerdo con el impacto de la vulnerabilidad en función de la Sistema de clasificación de severidad de vulnerabilidad de inmunodeficiencia humana. Esta es una escala simplificada de 5 niveles, con escalas separadas para sitios web/aplicaciones y contratos inteligentes/cadenas de bloques, que abarca todo, desde las consecuencias de la explotación hasta los privilegios requeridos y la probabilidad de una explotación exitosa.

Todos los informes de errores web/aplicaciones deben venir con una PoC con un efecto final que afecte a un activo dentro del alcance para poder ser considerados para una recompensa. Todos los informes de errores de contratos inteligentes bajos, medios, altos y críticos requieren una sugerencia de solución para poder optar a una recompensa. No se aceptan explicaciones ni declaraciones como PoC y se requiere código.

Las vulnerabilidades críticas de los contratos inteligentes tienen un límite del 10 % del daño económico, teniendo en cuenta principalmente los fondos en riesgo, pero también los aspectos de relaciones públicas y de marca, a discreción del equipo. Sin embargo, existe una recompensa mínima de Dólar estadounidense 50 000.

Los pagos son manejados por el AparienciaRaro equipo directamente y están denominados en USD. Sin embargo, los pagos se realizan en MIRADAS y ETH, quedando la elección del ratio a criterio del equipo.

Contratos Inteligentes y Blockchain

Nivel Pago
Critical Hasta USD $1,000,000
Alta USD $10,000
Medio USD $2,000
Baja USD $1,000

Web y aplicaciones

Nivel Pago
Critical USD $20,000
Alta USD $4,000
Medio USD $2,000
Baja USD $1,000

Activos en alcance

Sólo aquellos en la tabla Activos en el alcance se consideran dentro del alcance del programa de recompensas por errores. Todas las vulnerabilidades encontradas en el https://docs.looksrare.org/ están fuera de alcance.

Vulnerabilidades priorizadas

Impactos en el alcance

Solo se aceptan los siguientes impactos dentro de este programa de recompensas por errores. Todos los demás impactos no se consideran dentro del alcance, incluso si afectan algo en los activos en la tabla de alcance.

Contratos inteligentes/Blockchain

  • Pérdida de fondos de usuario apostados (principal) por congelación o robo
  • Pérdida de fondos de gobernanza
  • Robo de rendimiento no reclamado
  • Congelación del rendimiento no reclamado
  • No se puede llamar al contrato inteligente
  • Drenaje de gas por contrato inteligente
  • El contrato inteligente no ofrece los rendimientos prometidos
  • Manipulación de votos
  • Acciones de votación incorrectas

Aplicación Web

  • Explotaciones que provocan tiempo de inactividad del backend
  • Modificar contenido que un usuario no tiene permitido (como información de colección para colecciones que no son de su propiedad)
  • Inyectar scripts maliciosos a través del iframe NFT
  • Cualquier exploit que pueda afectar nuestros nombres de dominio.

Fuera de alcance y reglas

Las siguientes vulnerabilidades están excluidas de las recompensas de este programa de recompensas por errores:

  • Ataques que el propio periodista ya ha explotado, provocando daños
  • Ataques que requieren acceso a claves/credenciales filtradas
  • Ataques que requieren acceso a direcciones privilegiadas (gobernanza, estratega)

Contratos Inteligentes y Blockchain

  • Datos incorrectos proporcionados por oráculos de terceros.
    • No excluir manipulación de Oracle/ataques de préstamos flash
  • Ataques básicos de gobernanza económica (por ejemplo, ataque del 51%)
  • Falta de liquidez
  • Críticas de mejores prácticas
  • Ataques de Sybil
  • Riesgos de centralización

Sitios web y aplicaciones

  • Vulnerabilidades teóricas sin ninguna prueba o demostración.
  • Suplantación de contenido/problemas de inyección de texto
  • Auto-XSS
  • Omitir captcha usando OCR
  • CSRF sin impacto en la seguridad (cerrar sesión en CSRF, cambiar idioma, etc.)
  • Faltan encabezados de seguridad HTTP (como X-FRAME-OPTIONS) o indicadores de seguridad de cookies (como "httponly")
  • Divulgación de información del lado del servidor, como direcciones IP, nombres de servidores y la mayoría de los seguimientos de pila.
  • Vulnerabilidades utilizadas para enumerar o confirmar la existencia de usuarios o inquilinos
  • Vulnerabilidades que requieren acciones improbables del usuario
  • Redireccionamientos de URL (a menos que se combinen con otra vulnerabilidad para producir una vulnerabilidad más grave)
  • Falta de mejores prácticas SSL/TLS
  • Vulnerabilidades DDoS
  • Ataques que requieren acceso privilegiado desde dentro de la organización
  • Peticiones de características
  • Mejores prácticas
  • Manipulación de recompensas comerciales mediante el cultivo de tokens

Este programa de recompensas por errores prohíbe las siguientes actividades:

  • Cualquier prueba con contratos de red principal o de red de prueba pública; todas las pruebas deben realizarse en redes de prueba privadas
  • Cualquier prueba con oráculos de precios o contratos inteligentes de terceros.
  • Intentar phishing u otros ataques de ingeniería social contra nuestros empleados y/o clientes.
  • Cualquier prueba con sistemas y aplicaciones de terceros (por ejemplo, extensiones de navegador), así como sitios web (por ejemplo, proveedores de SSO, redes de publicidad).
  • Cualquier ataque de denegación de servicio
  • Pruebas automatizadas de servicios que generan cantidades significativas de tráfico.
  • Divulgación pública de una vulnerabilidad sin parchear en una recompensa embargada

DESCARGO DE RESPONSABILIDAD: La información contenida en este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Le recomendamos que haga su propia investigación antes de invertir.

Únase a CoinCu Telegram para realizar un seguimiento de las noticias: https://t.me/coincunews

Siga el canal de Youtube de CoinCu | Siga la página de Facebook de CoinCu

Color avellana

CoinCu Noticias

Visitado 74 veces, 1 visita(s) hoy