BTC

$61032.778

-2.32%

ETH

$2968.701

-1.27%

BNB

$592.145

1.41%

XRP

$0.512

-2.07%

Actualité

LooksRare a annoncé son programme Bug Bounties en janvier 2022 !

27 janvier 2022 - Autour 4 min minutes pour lire
LooksPrimes de bugs rares
LooksRare a annoncé son programme Bug Bounties en janvier 2022 ! 2

Aperçu du programme

LooksRare est le premier marché NFT communautaire qui récompense activement les commerçants, les collectionneurs et les créateurs pour leur participation. Les contrats intelligents de LooksRare sont construits sur mesure au sein d'un système modulaire qui permet de déployer de nouvelles fonctionnalités au fil du temps – sans compromettre la sécurité – grâce à des signatures standardisées. qui définissent clairement le périmètre d’exécution.

Ce programme de bug bounty se concentre sur leurs contrats intelligents, leur site Web et leur application, et vise à prévenir :

  • Perte des NFT des utilisateurs.
  • Perte des fonds des utilisateurs.

Récompenses par niveau de menace

Les récompenses sont distribuées en fonction de l'impact de la vulnérabilité en fonction de la Système de classification de la gravité de la vulnérabilité Immunefi. Il s'agit d'une échelle simplifiée à 5 niveaux, avec des échelles distinctes pour les sites Web/applications et les contrats intelligents/blockchains, englobant tout, depuis les conséquences de l'exploitation jusqu'aux privilèges requis, en passant par la probabilité d'un exploit réussi.

Tous les rapports de bugs Web/applications doivent être accompagnés d'un PoC ayant un effet final impactant un actif concerné afin d'être pris en compte pour une récompense. Tous les rapports de bogues de contrats intelligents faibles, moyens, élevés et critiques nécessitent une suggestion de correctif pour être éligibles à une récompense. Les explications et les déclarations ne sont pas acceptées car un PoC et un code sont requis.

Les vulnérabilités critiques des contrats intelligents sont plafonnées à 10 % des dommages économiques, en tenant principalement compte des fonds à risque, mais également des aspects de relations publiques et de marque, à la discrétion de l'équipe. Il existe cependant une récompense minimale de 50 000 USD.

Les paiements sont gérés par le ApparenceRare directement à l'équipe et sont libellés en USD. Cependant, les paiements sont effectués en LOOKS ainsi que le ETH, avec le choix du ratio à la discrétion de l'équipe.

Contrats intelligents et Blockchain

Niveau Paiement
Critical Jusqu'à 1,000,000 XNUMX XNUMX $ USD
Haute USD $ 10,000
Moyenne USD $ 2,000
Faible USD $ 1,000

Web et applications

Niveau Paiement
Critical USD $ 20,000
Haute USD $ 4,000
Moyenne USD $ 2,000
Faible USD $ 1,000

Actifs concernés

Seuls ceux en le tableau Actifs concernés sont considérés comme faisant partie du programme de bug bounty. Toutes les vulnérabilités trouvées dans le https://docs.looksrare.org/ sont hors de portée.

Vulnérabilités prioritaires

Impacts dans la portée

Seuls les impacts suivants sont acceptés dans le cadre de ce programme de bug bounty. Tous les autres impacts ne sont pas considérés comme faisant partie du périmètre, même s'ils affectent quelque chose dans les actifs du tableau du périmètre.

Contrats intelligents/Blockchain

  • Perte des fonds des utilisateurs mis en jeu (principal) par gel ou vol
  • Perte de fonds de gouvernance
  • Vol de rendement non réclamé
  • Gel des rendements non réclamés
  • Impossible d'appeler un contrat intelligent
  • Drainage des gaz sous contrat intelligent
  • Le contrat intelligent ne parvient pas à fournir les rendements promis
  • Manipulation des votes
  • Actions de sondage incorrectes

Web/Application

  • Exploits entraînant des temps d’arrêt du backend
  • Modifier le contenu qu'un utilisateur n'est pas autorisé à faire (comme les informations sur les collections dont il ne possède pas)
  • Injection de scripts malveillants via l'iframe NFT
  • Tout exploit pouvant affecter nos noms de domaine

Hors de portée et règles

Les vulnérabilités suivantes sont exclues des récompenses de ce programme de bug bounty :

  • Des attaques que le journaliste a déjà exploitées lui-même, entraînant des dégâts
  • Attaques nécessitant l’accès à des clés/identifiants divulgués
  • Attaques nécessitant l’accès à des adresses privilégiées (gouvernance, stratège)

Contrats intelligents et Blockchain

  • Données incorrectes fournies par des oracles tiers
    • Ne pas exclure les attaques de manipulation d'oracle/prêt flash
  • Attaques de base sur la gouvernance économique (par exemple, attaque à 51 %)
  • Manque de liquidité
  • Critiques des meilleures pratiques
  • Attaques de Sybil
  • Risques de centralisation

Sites Web et applications

  • Des vulnérabilités théoriques sans aucune preuve ni démonstration
  • Usurpation de contenu / Problèmes d'injection de texte
  • Auto-XSS
  • Contournement du Captcha à l'aide de l'OCR
  • CSRF sans impact sur la sécurité (déconnexion CSRF, changement de langue, etc.)
  • En-têtes de sécurité HTTP manquants (tels que X-FRAME-OPTIONS) ou indicateurs de sécurité des cookies (tels que « httponly »)
  • Divulgation d'informations côté serveur telles que les adresses IP, les noms de serveur et la plupart des traces de pile
  • Vulnérabilités utilisées pour énumérer ou confirmer l'existence d'utilisateurs ou de locataires
  • Vulnérabilités nécessitant des actions improbables de la part de l'utilisateur
  • Redirections d'URL (sauf si elles sont combinées avec une autre vulnérabilité pour produire une vulnérabilité plus grave)
  • Manque de bonnes pratiques SSL/TLS
  • Vulnérabilités DDoS
  • Attaques nécessitant un accès privilégié depuis l’intérieur de l’organisation
  • Requêtes de nouvelles fonctionnalités
  • des pratiques d’excellence;
  • Manipulation des récompenses commerciales grâce à l'agriculture de jetons

Les activités suivantes sont interdites par ce programme de bug bounty :

  • Tout test avec des contrats de réseau principal ou de réseau de test public ; tous les tests doivent être effectués sur des réseaux de test privés
  • Tout test avec des oracles de tarification ou des contrats intelligents tiers
  • Tentative de phishing ou d'autres attaques d'ingénierie sociale contre nos employés et/ou clients
  • Tout test avec des systèmes et des applications tiers (par exemple des extensions de navigateur) ainsi que des sites Web (par exemple des fournisseurs de SSO, des réseaux publicitaires)
  • Toute attaque par déni de service
  • Tests automatisés des services générant des volumes de trafic importants
  • Divulgation publique d'une vulnérabilité non corrigée dans le cadre d'une prime sous embargo

AVIS DE NON-RESPONSABILITÉ : Les informations contenues sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir.

Rejoignez CoinCu Telegram pour suivre l'actualité : https://t.me/coincunews

Suivez la chaîne Youtube CoinCu | Suivez la page Facebook de CoinCu

Hazel

Nouvelles CoinCu

Actualité

LooksRare a annoncé son programme Bug Bounties en janvier 2022 !

LooksPrimes de bugs rares
LooksRare a annoncé son programme Bug Bounties en janvier 2022 ! 4

Aperçu du programme

LooksRare est le premier marché NFT communautaire qui récompense activement les commerçants, les collectionneurs et les créateurs pour leur participation. Les contrats intelligents de LooksRare sont construits sur mesure au sein d'un système modulaire qui permet de déployer de nouvelles fonctionnalités au fil du temps – sans compromettre la sécurité – grâce à des signatures standardisées. qui définissent clairement le périmètre d’exécution.

Ce programme de bug bounty se concentre sur leurs contrats intelligents, leur site Web et leur application, et vise à prévenir :

  • Perte des NFT des utilisateurs.
  • Perte des fonds des utilisateurs.

Récompenses par niveau de menace

Les récompenses sont distribuées en fonction de l'impact de la vulnérabilité en fonction de la Système de classification de la gravité de la vulnérabilité Immunefi. Il s'agit d'une échelle simplifiée à 5 niveaux, avec des échelles distinctes pour les sites Web/applications et les contrats intelligents/blockchains, englobant tout, depuis les conséquences de l'exploitation jusqu'aux privilèges requis, en passant par la probabilité d'un exploit réussi.

Tous les rapports de bugs Web/applications doivent être accompagnés d'un PoC ayant un effet final impactant un actif concerné afin d'être pris en compte pour une récompense. Tous les rapports de bogues de contrats intelligents faibles, moyens, élevés et critiques nécessitent une suggestion de correctif pour être éligibles à une récompense. Les explications et les déclarations ne sont pas acceptées car un PoC et un code sont requis.

Les vulnérabilités critiques des contrats intelligents sont plafonnées à 10 % des dommages économiques, en tenant principalement compte des fonds à risque, mais également des aspects de relations publiques et de marque, à la discrétion de l'équipe. Il existe cependant une récompense minimale de 50 000 USD.

Les paiements sont gérés par le ApparenceRare directement à l'équipe et sont libellés en USD. Cependant, les paiements sont effectués en LOOKS ainsi que le ETH, avec le choix du ratio à la discrétion de l'équipe.

Contrats intelligents et Blockchain

Niveau Paiement
Critical Jusqu'à 1,000,000 XNUMX XNUMX $ USD
Haute USD $ 10,000
Moyenne USD $ 2,000
Faible USD $ 1,000

Web et applications

Niveau Paiement
Critical USD $ 20,000
Haute USD $ 4,000
Moyenne USD $ 2,000
Faible USD $ 1,000

Actifs concernés

Seuls ceux en le tableau Actifs concernés sont considérés comme faisant partie du programme de bug bounty. Toutes les vulnérabilités trouvées dans le https://docs.looksrare.org/ sont hors de portée.

Vulnérabilités prioritaires

Impacts dans la portée

Seuls les impacts suivants sont acceptés dans le cadre de ce programme de bug bounty. Tous les autres impacts ne sont pas considérés comme faisant partie du périmètre, même s'ils affectent quelque chose dans les actifs du tableau du périmètre.

Contrats intelligents/Blockchain

  • Perte des fonds des utilisateurs mis en jeu (principal) par gel ou vol
  • Perte de fonds de gouvernance
  • Vol de rendement non réclamé
  • Gel des rendements non réclamés
  • Impossible d'appeler un contrat intelligent
  • Drainage des gaz sous contrat intelligent
  • Le contrat intelligent ne parvient pas à fournir les rendements promis
  • Manipulation des votes
  • Actions de sondage incorrectes

Web/Application

  • Exploits entraînant des temps d’arrêt du backend
  • Modifier le contenu qu'un utilisateur n'est pas autorisé à faire (comme les informations sur les collections dont il ne possède pas)
  • Injection de scripts malveillants via l'iframe NFT
  • Tout exploit pouvant affecter nos noms de domaine

Hors de portée et règles

Les vulnérabilités suivantes sont exclues des récompenses de ce programme de bug bounty :

  • Des attaques que le journaliste a déjà exploitées lui-même, entraînant des dégâts
  • Attaques nécessitant l’accès à des clés/identifiants divulgués
  • Attaques nécessitant l’accès à des adresses privilégiées (gouvernance, stratège)

Contrats intelligents et Blockchain

  • Données incorrectes fournies par des oracles tiers
    • Ne pas exclure les attaques de manipulation d'oracle/prêt flash
  • Attaques de base sur la gouvernance économique (par exemple, attaque à 51 %)
  • Manque de liquidité
  • Critiques des meilleures pratiques
  • Attaques de Sybil
  • Risques de centralisation

Sites Web et applications

  • Des vulnérabilités théoriques sans aucune preuve ni démonstration
  • Usurpation de contenu / Problèmes d'injection de texte
  • Auto-XSS
  • Contournement du Captcha à l'aide de l'OCR
  • CSRF sans impact sur la sécurité (déconnexion CSRF, changement de langue, etc.)
  • En-têtes de sécurité HTTP manquants (tels que X-FRAME-OPTIONS) ou indicateurs de sécurité des cookies (tels que « httponly »)
  • Divulgation d'informations côté serveur telles que les adresses IP, les noms de serveur et la plupart des traces de pile
  • Vulnérabilités utilisées pour énumérer ou confirmer l'existence d'utilisateurs ou de locataires
  • Vulnérabilités nécessitant des actions improbables de la part de l'utilisateur
  • Redirections d'URL (sauf si elles sont combinées avec une autre vulnérabilité pour produire une vulnérabilité plus grave)
  • Manque de bonnes pratiques SSL/TLS
  • Vulnérabilités DDoS
  • Attaques nécessitant un accès privilégié depuis l’intérieur de l’organisation
  • Requêtes de nouvelles fonctionnalités
  • des pratiques d’excellence;
  • Manipulation des récompenses commerciales grâce à l'agriculture de jetons

Les activités suivantes sont interdites par ce programme de bug bounty :

  • Tout test avec des contrats de réseau principal ou de réseau de test public ; tous les tests doivent être effectués sur des réseaux de test privés
  • Tout test avec des oracles de tarification ou des contrats intelligents tiers
  • Tentative de phishing ou d'autres attaques d'ingénierie sociale contre nos employés et/ou clients
  • Tout test avec des systèmes et des applications tiers (par exemple des extensions de navigateur) ainsi que des sites Web (par exemple des fournisseurs de SSO, des réseaux publicitaires)
  • Toute attaque par déni de service
  • Tests automatisés des services générant des volumes de trafic importants
  • Divulgation publique d'une vulnérabilité non corrigée dans le cadre d'une prime sous embargo

AVIS DE NON-RESPONSABILITÉ : Les informations contenues sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir.

Rejoignez CoinCu Telegram pour suivre l'actualité : https://t.me/coincunews

Suivez la chaîne Youtube CoinCu | Suivez la page Facebook de CoinCu

Hazel

Nouvelles CoinCu

Visité 73 fois, 1 visite(s) aujourd'hui