LooksRare anunciou seu programa Bug Bounties em janeiro de 2022!
Visão Geral do Programa
LooksRare é o primeiro mercado NFT da comunidade que recompensa ativamente comerciantes, colecionadores e criadores pela participação. Os contratos inteligentes da LooksRare são personalizados dentro de um sistema modular que permite que novos recursos sejam implementados ao longo do tempo - sem comprometer a segurança - graças a assinaturas padronizadas que definam claramente o escopo de execução.
Este programa de recompensas por bugs está focado em seus contratos inteligentes, site e aplicativo, e está focado na prevenção:
- Perda de NFTs do usuário.
- Perda de fundos do usuário.
Recompensas por nível de ameaça
As recompensas são distribuídas de acordo com o impacto da vulnerabilidade com base no Sistema de classificação de gravidade de vulnerabilidade do Immunefi. Esta é uma escala simplificada de 5 níveis, com escalas separadas para sites/aplicativos e contratos inteligentes/blockchains, abrangendo tudo, desde a consequência da exploração até o privilégio necessário e a probabilidade de uma exploração bem-sucedida.
Todos os relatórios de bugs da web/aplicativo devem vir com um PoC com um efeito final impactando um ativo no escopo para serem considerados para uma recompensa. Todos os relatórios de bugs de contratos inteligentes baixos, médios, altos e críticos exigem uma sugestão de correção para serem elegíveis para uma recompensa. Explicações e declarações não são aceitas como PoC e o código é obrigatório.
As vulnerabilidades críticas dos contratos inteligentes são limitadas a 10% dos danos económicos, tendo principalmente em consideração os fundos em risco, mas também aspectos de relações públicas e de marca, a critério da equipa. No entanto, existe uma recompensa mínima de USD 50.
Os pagamentos são administrados pelo Aparência Rara equipe diretamente e são denominados em dólares americanos. No entanto, os pagamentos são feitos em OLHARES e ETH, ficando a escolha da proporção a critério da equipe.
Contratos inteligentes e Blockchain
Nível | Pagamento |
Crítico | Até US$ 1,000,000 |
Alta | USD $ 10,000 |
Médio | USD $ 2,000 |
Baixo | USD $ 1,000 |
Web e aplicativos
Nível | Pagamento |
Crítico | USD $ 20,000 |
Alta | USD $ 4,000 |
Médio | USD $ 2,000 |
Baixo | USD $ 1,000 |
Ativos no escopo
Somente aqueles em a tabela Ativos no escopo são considerados dentro do escopo do programa de recompensas por bugs. Todas as vulnerabilidades encontradas no https://docs.looksrare.org/ estão fora do escopo.
Vulnerabilidades priorizadas
Impactos no escopo
Apenas os seguintes impactos são aceitos neste programa de recompensas por bugs. Todos os outros impactos não são considerados dentro do escopo, mesmo que afetem algo nos ativos da tabela de escopo.
Contratos Inteligentes/Blockchain
- Perda de fundos do usuário apostados (principal) por congelamento ou roubo
- Perda de fundos de governança
- Roubo de rendimento não reclamado
- Congelamento de rendimentos não reclamados
- Não é possível ligar para o contrato inteligente
- Drenagem de gás por contrato inteligente
- Contrato inteligente não entrega os retornos prometidos
- Manipulação de votos
- Ações de pesquisa incorretas
Aplicativo web
- Explorações que levam ao tempo de inatividade do back-end
- Modificar conteúdo para o qual um usuário não tem permissão (como informações de coleta de coleções que ele não possui)
- Injetando scripts maliciosos por meio do iframe NFT
- Quaisquer explorações que possam afetar nossos nomes de domínio
Fora do escopo e regras
As seguintes vulnerabilidades estão excluídas das recompensas deste programa de recompensas por bugs:
- Ataques que o repórter já explorou, causando danos
- Ataques que exigem acesso a chaves/credenciais vazadas
- Ataques que exigem acesso a endereços privilegiados (governança, estrategista)
Contratos inteligentes e Blockchain
- Dados incorretos fornecidos por oráculos de terceiros
- Não excluir manipulação de oráculos/ataques de empréstimos instantâneos
- Ataques básicos de governação económica (por exemplo, ataque de 51%)
- Falta de liquidez
- Críticas de melhores práticas
- Ataques de Sybil
- Riscos de centralização
Sites e aplicativos
- Vulnerabilidades teóricas sem qualquer prova ou demonstração
- Problemas de falsificação de conteúdo/injeção de texto
- Auto-XSS
- Ignorar Captcha usando OCR
- CSRF sem impacto na segurança (fechar CSRF, alterar idioma, etc.)
- Cabeçalhos de segurança HTTP ausentes (como X-FRAME-OPTIONS) ou sinalizadores de segurança de cookies (como “httponly”)
- Divulgação de informações do lado do servidor, como IPs, nomes de servidores e a maioria dos rastreamentos de pilha
- Vulnerabilidades usadas para enumerar ou confirmar a existência de usuários ou locatários
- Vulnerabilidades que exigem ações improváveis do usuário
- Redirecionamentos de URL (a menos que combinados com outra vulnerabilidade para produzir uma vulnerabilidade mais grave)
- Falta de práticas recomendadas de SSL/TLS
- Vulnerabilidades DDoS
- Ataques que exigem acesso privilegiado de dentro da organização
- Solicitações de recursos
- Melhores práticas
- Manipulação de recompensas comerciais por meio de cultivo de tokens
As seguintes atividades são proibidas por este programa de recompensas de bugs:
- Qualquer teste com contratos mainnet ou testnet públicos; todos os testes devem ser feitos em testnets privadas
- Qualquer teste com oráculos de preços ou contratos inteligentes de terceiros
- Tentativa de phishing ou outros ataques de engenharia social contra nossos funcionários e/ou clientes
- Qualquer teste com sistemas e aplicativos de terceiros (por exemplo, extensões de navegador), bem como sites (por exemplo, provedores de SSO, redes de publicidade)
- Qualquer ataque de negação de serviço
- Teste automatizado de serviços que geram quantidades significativas de tráfego
- Divulgação pública de uma vulnerabilidade não corrigida em uma recompensa embargada
AVISO LEGAL: As informações neste site são fornecidas como comentários gerais do mercado e não constituem conselhos de investimento. Nós encorajamos você a fazer sua própria pesquisa antes de investir.
Junte-se ao CoinCu Telegram para acompanhar as novidades: https://t.me/coincunews
Siga o canal CoinCu no Youtube | Siga a página do Facebook da CoinCu
aveleira
Notícias CoinCu