プログラムの概要
LooksRare は、参加するトレーダー、コレクター、クリエイターに積極的に報酬を与える、コミュニティ初の NFT マーケットプレイスです。LooksRare のスマート コントラクトは、モジュール式システム内でカスタム構築されており、標準化された署名のおかげで、セキュリティを損なうことなく、時間の経過とともに新機能を展開できます。実行範囲を明確に定義します。
このバグ報奨金プログラムは、スマート コントラクト、Web サイト、アプリに焦点を当てており、以下の防止に重点を置いています。
- ユーザーのNFTの喪失。
- ユーザー資金の損失。
脅威レベル別の報酬
報酬は、脆弱性の影響に基づいて分配されます。 Immunefi脆弱性重大度分類システム。これは簡略化された 5 レベルのスケールであり、Web サイト/アプリとスマート コントラクト/ブロックチェーンに個別のスケールがあり、悪用の結果から、悪用の成功の可能性に必要な特権に至るまで、あらゆるものを網羅しています。
すべての Web/アプリのバグ レポートには、報酬の対象となるために、対象範囲内の資産に影響を与える最終影響を伴う PoC が添付されている必要があります。低、中、高、および重大なスマート コントラクトのすべてのバグ レポートでは、報酬の対象となる修正の提案が必要です。説明や発言は PoC として認められず、コードが必要です。
重大なスマートコントラクトの脆弱性は、主にリスクにさらされている資金だけでなく、チームの裁量で PR やブランディングの側面も考慮して、経済的損害の 10% に上限が定められています。ただし最低報酬はあります 50 000米ドル.
支払いは次の方法で処理されます。 ルックスレア チームと直接連携し、米ドル建てで行われます。ただし、支払いは次の方法で行われます。 LOOKS および ETH、比率の選択はチームの裁量で行われます。
スマートコントラクトとブロックチェーン
| レベル | 支払い |
| クリティカル | 最大 1,000,000 米ドル |
| ハイ | 在庫10,000 |
| M | 在庫2,000 |
| ロー | 在庫1,000 |
ウェブとアプリ
| レベル | 支払い |
| クリティカル | 在庫20,000 |
| ハイ | 在庫4,000 |
| M | 在庫2,000 |
| ロー | 在庫1,000 |
範囲内の資産
にいる人だけ スコープ内の資産テーブル バグ報奨金プログラムの範囲内とみなされます。で見つかったすべての脆弱性 https://docs.looksrare.org/ は対象外です。
優先順位付けされた脆弱性
範囲内の影響
このバグ報奨金プログラムでは、次の影響のみが認められます。他のすべての影響は、スコープ テーブル内の資産に影響を与える場合でも、スコープ内とは見なされません。
スマートコントラクト/ブロックチェーン
- 凍結や盗難による利用者資金(元本)の紛失
- ガバナンス資金の損失
- 受取人のいない収量の盗難
- 請求されていない収量の凍結
- スマートコントラクトを呼び出すことができません
- スマートコントラクトガス排水
- スマートコントラクトは約束された利益を達成できない
- 投票操作
- 不正なポーリングアクション
ウェブ/アプリ
- バックエンドのダウンタイムにつながるエクスプロイト
- ユーザーが許可されていないコンテンツの変更 (所有していないコレクションのコレクション情報など)
- NFT iframe を介した悪意のあるスクリプトの挿入
- 当社のドメイン名に影響を与える可能性のあるエクスプロイト
範囲外およびルール
次の脆弱性は、このバグ報奨金プログラムの報奨金から除外されます。
- 報告者自身がすでに悪用し、損害をもたらした攻撃
- 漏洩したキー/認証情報へのアクセスを必要とする攻撃
- 特権アドレスへのアクセスを必要とする攻撃 (ガバナンス、ストラテジスト)
スマートコントラクトとブロックチェーン
- サードパーティのオラクルによって提供された不正確なデータ
- オラクル操作/フラッシュローン攻撃を排除しない
- 基本的な経済ガバナンス攻撃 (例: 51% 攻撃)
- 流動性の欠如
- ベストプラクティスの批評
- シビルの攻撃
- 集中化のリスク
ウェブサイトとアプリ
- 証拠や実証のない理論上の脆弱性
- コンテンツのなりすまし/テキストインジェクションの問題
- 自己 XSS
- OCR を使用したキャプチャ バイパス
- セキュリティに影響を与えない CSRF (CSRF のログアウト、言語の変更など)
- HTTP セキュリティ ヘッダー (X-FRAME-OPTIONS など) または Cookie セキュリティ フラグ (「httponly」など) が欠落している
- IP、サーバー名、ほとんどのスタック トレースなどのサーバー側の情報開示
- ユーザーまたはテナントの存在を列挙または確認するために使用される脆弱性
- ありそうもないユーザーのアクションを必要とする脆弱性
- URL リダイレクト (別の脆弱性と組み合わされてより深刻な脆弱性が発生する場合を除く)
- SSL/TLS のベストプラクティスの欠如
- DDoS 脆弱性
- 組織内からの特権アクセスを必要とする攻撃
- 機能リクエスト
- ベストプラクティス
- トークンファーミングによる取引報酬の操作
このバグ報奨金プログラムでは、次の行為が禁止されています。
- メインネットまたはパブリック テストネット契約によるテスト。すべてのテストはプライベート テストネットで実行する必要があります
- 価格設定オラクルまたはサードパーティのスマートコントラクトを使用したテスト
- 当社の従業員および/または顧客に対してフィッシングまたはその他のソーシャル エンジニアリング攻撃を試みる
- サードパーティのシステムおよびアプリケーション (例: ブラウザ拡張機能)、および Web サイト (例: SSO プロバイダー、広告ネットワーク) を使用したテスト
- サービス拒否攻撃
- 大量のトラフィックを生成するサービスの自動テスト
- 禁輸された報奨金のパッチが適用されていない脆弱性の一般公開
免責事項: このウェブサイトの情報は一般的な市場解説として提供されており、投資アドバイスを構成するものではありません。 投資する前に、ご自身で調査を行うことをお勧めします。
CoinCu Telegramに参加して、ニュースを追跡します。 https://t.me/coincunews
CoinCuYoutubeチャンネルをフォローする | CoinCuFacebookページをフォローする
ヘイゼル
CoinCuニュース
著者
ニュース
LooksRare は、2022 年 XNUMX 月にバグ報奨金プログラムを発表しました。
プログラムの概要
LooksRare は、参加するトレーダー、コレクター、クリエイターに積極的に報酬を与える、コミュニティ初の NFT マーケットプレイスです。LooksRare のスマート コントラクトは、モジュール式システム内でカスタム構築されており、標準化された署名のおかげで、セキュリティを損なうことなく、時間の経過とともに新機能を展開できます。実行範囲を明確に定義します。
このバグ報奨金プログラムは、スマート コントラクト、Web サイト、アプリに焦点を当てており、以下の防止に重点を置いています。
- ユーザーのNFTの喪失。
- ユーザー資金の損失。
脅威レベル別の報酬
報酬は、脆弱性の影響に基づいて分配されます。 Immunefi脆弱性重大度分類システム。これは簡略化された 5 レベルのスケールであり、Web サイト/アプリとスマート コントラクト/ブロックチェーンに個別のスケールがあり、悪用の結果から、悪用の成功の可能性に必要な特権に至るまで、あらゆるものを網羅しています。
すべての Web/アプリのバグ レポートには、報酬の対象となるために、対象範囲内の資産に影響を与える最終影響を伴う PoC が添付されている必要があります。低、中、高、および重大なスマート コントラクトのすべてのバグ レポートでは、報酬の対象となる修正の提案が必要です。説明や発言は PoC として認められず、コードが必要です。
重大なスマートコントラクトの脆弱性は、主にリスクにさらされている資金だけでなく、チームの裁量で PR やブランディングの側面も考慮して、経済的損害の 10% に上限が定められています。ただし最低報酬はあります 50 000米ドル.
支払いは次の方法で処理されます。 ルックスレア チームと直接連携し、米ドル建てで行われます。ただし、支払いは次の方法で行われます。 LOOKS および ETH、比率の選択はチームの裁量で行われます。
スマートコントラクトとブロックチェーン
| レベル | 支払い |
| クリティカル | 最大 1,000,000 米ドル |
| ハイ | 在庫10,000 |
| M | 在庫2,000 |
| ロー | 在庫1,000 |
ウェブとアプリ
| レベル | 支払い |
| クリティカル | 在庫20,000 |
| ハイ | 在庫4,000 |
| M | 在庫2,000 |
| ロー | 在庫1,000 |
範囲内の資産
にいる人だけ スコープ内の資産テーブル バグ報奨金プログラムの範囲内とみなされます。で見つかったすべての脆弱性 https://docs.looksrare.org/ は対象外です。
優先順位付けされた脆弱性
範囲内の影響
このバグ報奨金プログラムでは、次の影響のみが認められます。他のすべての影響は、スコープ テーブル内の資産に影響を与える場合でも、スコープ内とは見なされません。
スマートコントラクト/ブロックチェーン
- 凍結や盗難による利用者資金(元本)の紛失
- ガバナンス資金の損失
- 受取人のいない収量の盗難
- 請求されていない収量の凍結
- スマートコントラクトを呼び出すことができません
- スマートコントラクトガス排水
- スマートコントラクトは約束された利益を達成できない
- 投票操作
- 不正なポーリングアクション
ウェブ/アプリ
- バックエンドのダウンタイムにつながるエクスプロイト
- ユーザーが許可されていないコンテンツの変更 (所有していないコレクションのコレクション情報など)
- NFT iframe を介した悪意のあるスクリプトの挿入
- 当社のドメイン名に影響を与える可能性のあるエクスプロイト
範囲外およびルール
次の脆弱性は、このバグ報奨金プログラムの報奨金から除外されます。
- 報告者自身がすでに悪用し、損害をもたらした攻撃
- 漏洩したキー/認証情報へのアクセスを必要とする攻撃
- 特権アドレスへのアクセスを必要とする攻撃 (ガバナンス、ストラテジスト)
スマートコントラクトとブロックチェーン
- サードパーティのオラクルによって提供された不正確なデータ
- オラクル操作/フラッシュローン攻撃を排除しない
- 基本的な経済ガバナンス攻撃 (例: 51% 攻撃)
- 流動性の欠如
- ベストプラクティスの批評
- シビルの攻撃
- 集中化のリスク
ウェブサイトとアプリ
- 証拠や実証のない理論上の脆弱性
- コンテンツのなりすまし/テキストインジェクションの問題
- 自己 XSS
- OCR を使用したキャプチャ バイパス
- セキュリティに影響を与えない CSRF (CSRF のログアウト、言語の変更など)
- HTTP セキュリティ ヘッダー (X-FRAME-OPTIONS など) または Cookie セキュリティ フラグ (「httponly」など) が欠落している
- IP、サーバー名、ほとんどのスタック トレースなどのサーバー側の情報開示
- ユーザーまたはテナントの存在を列挙または確認するために使用される脆弱性
- ありそうもないユーザーのアクションを必要とする脆弱性
- URL リダイレクト (別の脆弱性と組み合わされてより深刻な脆弱性が発生する場合を除く)
- SSL/TLS のベストプラクティスの欠如
- DDoS 脆弱性
- 組織内からの特権アクセスを必要とする攻撃
- 機能リクエスト
- ベストプラクティス
- トークンファーミングによる取引報酬の操作
このバグ報奨金プログラムでは、次の行為が禁止されています。
- メインネットまたはパブリック テストネット契約によるテスト。すべてのテストはプライベート テストネットで実行する必要があります
- 価格設定オラクルまたはサードパーティのスマートコントラクトを使用したテスト
- 当社の従業員および/または顧客に対してフィッシングまたはその他のソーシャル エンジニアリング攻撃を試みる
- サードパーティのシステムおよびアプリケーション (例: ブラウザ拡張機能)、および Web サイト (例: SSO プロバイダー、広告ネットワーク) を使用したテスト
- サービス拒否攻撃
- 大量のトラフィックを生成するサービスの自動テスト
- 禁輸された報奨金のパッチが適用されていない脆弱性の一般公開
免責事項: このウェブサイトの情報は一般的な市場解説として提供されており、投資アドバイスを構成するものではありません。 投資する前に、ご自身で調査を行うことをお勧めします。
CoinCu Telegramに参加して、ニュースを追跡します。 https://t.me/coincunews
CoinCuYoutubeチャンネルをフォローする | CoinCuFacebookページをフォローする
ヘイゼル
CoinCuニュース
その他の投稿
関連記事
