项目概述
LooksRare 是社区优先的 NFT 市场,积极奖励参与的交易者、收藏家和创作者。LooksRare 的智能合约是在模块化系统中定制的,借助标准化签名,该系统能够随着时间的推移推出新功能,而不会影响安全性明确定义执行范围。
该错误赏金计划专注于他们的智能合约、网站和应用程序,并重点防止:
- 用户 NFT 丢失。
- 用户资金损失。
威胁等级奖励
奖励根据漏洞的影响分配,基于 免疫漏洞严重性分类系统。这是一个简化的 5 级量表,网站/应用程序和智能合约/区块链有单独的量表,涵盖从利用后果到所需特权再到成功利用的可能性的一切。
所有 Web/应用程序错误报告都必须附带具有影响范围内资产的最终效果的 PoC,才能考虑获得奖励。所有低、中、高和严重的智能合约错误报告都需要提出修复建议才有资格获得奖励。不接受解释和陈述,因为需要 PoC 和代码。
关键智能合约漏洞的经济损失上限为 10%,主要考虑到风险资金,但也考虑到公关和品牌方面,由团队自行决定。不过,最低奖励为 50美元.
付款由 看起来稀有 直接团队并以美元计价。然而,付款是在 LOOKS 和 ETH,由团队自行决定比例的选择。
智能合约和区块链
Level | 赔率 |
危急 | 高达 1,000,000 美元 |
高 | USD $ 10,000 |
中 | USD $ 2,000 |
低 | USD $ 1,000 |
网络和应用程序
Level | 赔率 |
危急 | USD $ 20,000 |
高 | USD $ 4,000 |
中 | USD $ 2,000 |
低 | USD $ 1,000 |
范围内的资产
只有那些在 范围内的资产表 被视为错误赏金计划的范围内。发现的所有漏洞 https://docs.looksrare.org/ 超出范围。
优先考虑的漏洞
影响范围
此错误赏金计划仅接受以下影响。所有其他影响都不被视为范围内,即使它们影响范围表中资产中的某些内容。
智能合约/区块链
- 由于冻结或盗窃而导致用户质押资金(本金)损失
- 治理资金损失
- 盗窃无人认领的收益
- 冻结无人认领的收益
- 无法调用智能合约
- 智能合约瓦斯抽采
- 智能合约未能兑现承诺的回报
- 投票操纵
- 不正确的轮询操作
网络/应用程序
- 导致后端停机的漏洞
- 修改用户无权修改的内容(例如不属于他们的馆藏的馆藏信息)
- 通过NFT iframe注入恶意脚本
- 任何可能影响我们域名的漏洞
超出范围和规则
以下漏洞不参与此漏洞赏金计划的奖励:
- 记者已经利用的攻击,导致损害
- 需要访问泄露的密钥/凭证的攻击
- 需要访问特权地址的攻击(治理、策略师)
智能合约和区块链
- 第三方预言机提供的数据不正确
- 不排除预言机操纵/闪贷攻击
- 基础经济治理攻击(如51%攻击)
- 缺乏流动性
- 最佳实践批评
- 西比尔袭击
- 中心化风险
网站和应用程序
- 没有任何证据或论证的理论漏洞
- 内容欺骗/文本注入问题
- 自我XSS
- 使用 OCR 绕过验证码
- 无安全影响的 CSRF(注销 CSRF、更改语言等)
- 缺少 HTTP 安全标头(例如 X-FRAME-OPTIONS)或 cookie 安全标志(例如“httponly”)
- 服务器端信息泄露,例如 IP、服务器名称和大多数堆栈跟踪
- 用于枚举或确认用户或租户存在的漏洞
- 需要不太可能的用户操作的漏洞
- URL 重定向(除非与另一个漏洞结合产生更严重的漏洞)
- 缺乏 SSL/TLS 最佳实践
- DDoS 漏洞
- 需要组织内部特权访问的攻击
- 功能请求
- 最佳实践
- 通过代币挖矿操纵交易奖励
此错误赏金计划禁止以下活动:
- 使用主网或公共测试网合约进行的任何测试;所有测试都应在私有测试网上完成
- 使用定价预言机或第三方智能合约进行的任何测试
- 尝试对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击
- 对第三方系统和应用程序(例如浏览器扩展)以及网站(例如 SSO 提供商、广告网络)的任何测试
- 任何拒绝服务攻击
- 对产生大量流量的服务进行自动测试
- 公开披露禁运赏金中未修补的漏洞
免责声明:本网站上的信息作为一般市场评论提供,并不构成投资建议。 我们鼓励您在投资之前进行自己的研究。
加入CoinCu Telegram以跟踪新闻: https://t.me/coincunews
关注CoinCu Youtube频道 |关注 CoinCu Facebook 页面
榛
CoinCu新闻