LooksRare объявила о своей программе вознаграждений за ошибки в январе 2022 года!
Обзор Программы
LooksRare — это первая в сообществе торговая площадка NFT, которая активно вознаграждает трейдеров, коллекционеров и создателей за участие. Смарт-контракты LooksRare создаются в рамках модульной системы, которая позволяет со временем развертывать новые функции — без ущерба для безопасности — благодаря стандартизированным подписям. которые четко определяют объем выполнения.
Эта программа вознаграждения за обнаружение ошибок ориентирована на их смарт-контракты, веб-сайт и приложение и направлена на предотвращение:
- Потеря пользовательских NFT.
- Потеря средств пользователей.
Награды по уровню угрозы
Награды распределяются в зависимости от воздействия уязвимости на основе Система классификации серьезности уязвимостей Immunefi. Это упрощенная пятиуровневая шкала с отдельными шкалами для веб-сайтов/приложений и смарт-контрактов/блокчейнов, охватывающая все: от последствий эксплуатации до привилегий, необходимых для вероятности успешной эксплуатации.
Все отчеты об ошибках в Интернете и приложениях должны сопровождаться PoC с конечным эффектом, влияющим на рассматриваемый актив, чтобы их можно было рассматривать для получения вознаграждения. Все отчеты об ошибках смарт-контрактов низкого, среднего, высокого и критического уровня требуют предложения по исправлению, чтобы иметь право на вознаграждение. Пояснения и заявления не принимаются, поскольку требуется подтверждение подлинности и код.
Критические уязвимости смарт-контрактов ограничены 10% экономического ущерба, в первую очередь принимая во внимание подверженные риску средства, а также аспекты PR и брендинга, по усмотрению команды. Однако существует минимальная награда в размере 50 000 долларов США.
Выплаты осуществляются через ВыглядитРедкий команды напрямую и номинированы в долларах США. Однако выплаты производятся в ВЗГЛЯДЫ и ETH, с выбором соотношения на усмотрение команды.
Смарт-контракты и блокчейн
уровень | Выплаты |
критический | До 1,000,000 XNUMX XNUMX долларов США |
High | USD $ 10,000 |
Medium | USD $ 2,000 |
Низкий | USD $ 1,000 |
Интернет и приложения
уровень | Выплаты |
критический | USD $ 20,000 |
High | USD $ 4,000 |
Medium | USD $ 2,000 |
Низкий | USD $ 1,000 |
Активы в объеме
Только те, кто в таблица «Активы в объеме» считаются объектом программы вознаграждения за ошибки. Все уязвимости, обнаруженные в https://docs.looksrare.org/ выходят за рамки.
Приоритетные уязвимости
Воздействие по масштабу
В рамках этой программы вознаграждения за ошибки принимаются только следующие воздействия. Все остальные воздействия не рассматриваются как охватываемые областью действия, даже если они затрагивают какие-либо активы в таблице области действия.
Смарт-контракты/Блокчейн
- Потеря поставленных на кон (основных) средств пользователя в результате замораживания или кражи
- Потеря средств управления
- Кража невостребованного урожая
- Замораживание невостребованного урожая
- Невозможно вызвать смарт-контракт
- Смарт-контракт газоотвода
- Смарт-контракт не приносит обещанной прибыли
- Манипулирование голосованием
- Неправильные действия при опросе
Интернет/приложение
- Эксплойты, приводящие к простою серверной части
- Изменение контента, доступ к которому пользователю запрещен (например, информации о коллекциях, которыми он не владеет).
- Внедрение вредоносных скриптов через NFT iframe
- Любые эксплойты, которые могут повлиять на наши доменные имена.
Вне сферы применения и правил
Следующие уязвимости исключены из вознаграждений по этой программе вознаграждения за ошибки:
- Атаки, которыми репортер уже воспользовался и которые привели к ущербу
- Атаки, требующие доступа к утекшим ключам/учетным данным
- Атаки, требующие доступа к привилегированным адресам (управление, стратег)
Смарт-контракты и блокчейн
- Неверные данные, предоставленные сторонними оракулами
- Не исключать манипулирование оракулом/атаки с быстрым кредитом
- Базовые атаки на экономическое управление (например, атака 51%)
- Отсутствие ликвидности
- Критика лучших практик
- Сибильные атаки
- Риски централизации
Веб-сайты и приложения
- Теоретические уязвимости без каких-либо доказательств или демонстрации
- Подмена контента/проблемы с внедрением текста
- Самостоятельный XSS
- Обход капчи с помощью OCR
- CSRF без влияния на безопасность (выход из CSRF, смена языка и т. д.)
- Отсутствуют заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности файлов cookie (например, «httponly»).
- Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека.
- Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов.
- Уязвимости, требующие маловероятных действий пользователя
- Перенаправления URL-адресов (если только они не объединены с другой уязвимостью, создавая более серьезную уязвимость)
- Отсутствие лучших практик SSL/TLS.
- DDoS-уязвимости
- Атаки, требующие привилегированного доступа изнутри организации
- пожелания
- Лучшие практики
- Манипулирование торговыми вознаграждениями посредством выращивания токенов
В рамках программы вознаграждения за ошибки запрещены следующие действия:
- Любое тестирование с использованием контрактов основной сети или общедоступной тестовой сети; все тестирование должно проводиться в частных тестовых сетях
- Любое тестирование с использованием оракулов ценообразования или сторонних смарт-контрактов.
- Попытка фишинга или других атак с использованием социальной инженерии против наших сотрудников и/или клиентов.
- Любое тестирование с использованием сторонних систем и приложений (например, расширений браузера), а также веб-сайтов (например, поставщиков единого входа, рекламных сетей).
- Любые атаки типа «отказ в обслуживании»
- Автоматизированное тестирование сервисов, генерирующих значительные объёмы трафика
- Публичное раскрытие неисправленной уязвимости в рамках вознаграждения, на которое наложено эмбарго
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте представлена в качестве общего комментария к рынку и не представляет собой инвестиционный совет. Мы рекомендуем вам провести собственное исследование, прежде чем инвестировать.
Присоединяйтесь к CoinCu Telegram, чтобы следить за новостями: https://t.me/coincunews
Следите за каналом CoinCu на YouTube | Следите за страницей CoinCu в Facebook
орешник
Новости CoinCu