ダウンロード
メニューを閉じる -
RSK奨励プログラム

時間と手間をかけてRSKプラットフォームを強化してくれたセキュリティ専門家、ソフトウェア開発者、ハッカーに対して、報酬を与えます。

ルールおよび報酬

発見内容を提出して報酬を獲得する

提出者は脆弱性を発見した本人でなくてはなりません。脆弱性の提出は他の人に委任できません。

匿名による提出を受け付けますが、その場合、奨励報酬は慈善団体に寄付されます。

提出者は、RSKに対し、脆弱性を一般に伝えるために提出された報告書の一部またはすべてを使用する権利を付与します。

RSKは、RSKブログへの投稿記事とオンライン奨励ランキングで、提出者の名前と獲得ポイント数について言及します。

RSKのコミュニケーションで実名での本人特定を希望しない場合は、この点を明らかにし、提出文書にペンネームを提示する必要があります。

別のユーザーが提出済みの問題や、RSKチームがすでに認識している問題は、奨励報酬の対象ではありません。

脆弱性の一般公開は、奨励の対象外となります。ユーザーが他のセキュリティ・チーム(Ethereum、ETCなど)に脆弱性を報告したものの、RSKへの報告がかなり遅れた場合、RSKは奨励金を減額または取り消すことがあります。

バグ探しのためのプライベート・チェーンを開始または分岐できます。RSKのメインチェーンとテスト・ネットワークを攻撃することはお控えください。なお、ETHやETCのメインチェーンとテスト・ネットワークを攻撃することもお控えください。攻撃することで、奨励の対象外となります。

RSKの開発チーム、従業員、RSKが直接的であれ間接的であれ支払いを行うその他すべての人は、報奨の対象ではありません。

RSKコードベースの変更を送信した人物は、送信された変更に起因する、もしくはそれによってトリガーされる脆弱性の報奨の対象ではありません。

RSKのWebサイト、インフラストラクチャ、アセットは奨励プログラムの一部ではありません。

RSK奨励プログラムは、報奨を決定するにあたり、数多くの変数を検討します。

受賞に関連する資格対象、スコア、すべての条件の判断は、RSK Labsの単独かつ絶対的な裁量により行われます。

支払われる報奨額は重大度によって異なります。重大度は、影響度と発生確率に基づくOWASPリスク評価モデルによって計算されます。

トランザクションを含むブロックを許可する一部のノードと、そのブロックを却下する一部のノードにRSKブロックチェーンを分岐する単一の低コストトランザクションによってトリガーされたバグは、一般的に「高」とみなされます。
これは、攻撃に利用される確率が高いものの影響度は中度であり、アセットを盗むには二重支払い攻撃も侵入する必要があるためです。
特定のノードへの非公開鍵を盗むリモート攻撃は、発生確率は非常に低いながらも、一般的に「高」とみなされます。
これは、影響度は高いものの発生確率は中度であり、攻撃者が適切な犠牲者を見つけるまで多くのノードをプローブする必要があるからです。
ブロックチェーンにスパムを送り込む攻撃や、対応費用が予想よりもはるかに低い状態は、一般的に「中」とみなされます。
資金の損失に至らないノードの一部の個人情報を明らかにするリモート攻撃は、一般的に「低」とみなされます。

スコープ内

当社のバグ奨励プログラム
全域に拡散

プロトコルの健全性
(ブロックチェーンのコンセンサス・モデル、ワイヤ、
p2pプロトコル、プルーフ・オブ・ワークなど)から、
プロトコルの実装まで。典型的なクライアントの
セキュリティや、暗号プリミティブのセキュリティ
もプログラムの一部です。
スコープの詳細は以下に従います:

プロトコル設計のセキュリティ

RSKプロトコル・スタックにはEthereumとの類似性が多少ありますが、多くの点で異なります。コンセンサス、ブロックチェーンの同期、ステート・トライ、EVMなど、ほとんどのプロトコルは再設計されるか修正されます。これらのプロトコルの正式な説明は現在ないため、プロトコル設計の脆弱性は、意図した機能に対して評価されます。ただし、これは確かなものではない可能性があります。

 

当社では、研究者が以下の領域の設計の問題を探すよう奨励しています。

ビットコイン・ブリッジ(2ウェイ・ペグ)
フェデレーション・メンバーの管理
ブロック難易度調整アルゴリズム
セルフィッシュ・マイニング・インセンティブ
SPVセキュリティ
アンクル・マイニング・インセンティブ
ステート・トライのセキュリティ
合致した / 意図的ではない経済的誘因とゲーム理論の欠陥
PoWアルゴリズムまたはマージマイニング・システム上のセキュリティの弱点 / 攻撃。
具体的な例は、ガスの消費量は非常に少ないものの、計算の手間が非常にかかるため、DoS攻撃の門戸を巧妙に開放してしまうコントラクトなどがあります。

実装のセキュリティ クライアント・プロトコル実装のセキュリティ

プロトコルとアルゴリズムの設計に欠陥がないと仮定して、クライアントの実装は意図した動作に適合していますか?問題として以下などが考えられます。

ブロック、トランザクションおよびメッセージの妥当性
RSK仮想マシンのコードの実行
トランザクションの実行
コントラクトの作成
メッセージの通話
ガスと料金の計算と強制執行

ネットワーク・セキュリティ

このカテゴリでは、以下のような、ネットワーク全体またはそのサブセットに対して一般化された攻撃に焦点を当てています:

51%攻撃およびその他のX%攻撃。
分離攻撃。
フィニー攻撃。
シビル攻撃。
リプレイ攻撃。
トランザクション / メッセージ展性。
(グローバル)DoS

ノード・セキュリティ

RSKプラットフォームに関連する単一のRSKクライアントに対する攻撃:

DoS / リソースの悪用
アカウント / ウォレットのアドレス収集/プローブ
ブロードキャスト / 隠し持ち攻撃

アプリケーション・セキュリティ

このカテゴリでは、以下のような、より典型的なセキュリティ問題に対処しています:

データ・タイプ・オーバーフロー / ラップアラウンド(例:整数のオーバーフロー)。
パニックまたは適切に処理されないエラー。
並行性(例:同期、ステート、レース)。
使用されている外部ライブラリに関連する問題。

高機能暗号のセキュリティ

このカテゴリでは、以下を対象としています:

以下の正しくない実装 / 使用 / 構成:
楕円曲線(secp256k1, ECDSA)。
ハッシュアルゴリズム(Keccak-256)。
マークル・パトリシア・ツリー。
鍵管理。
ランダムソースの品質。
サイドチャネルおよび情報漏洩。

GitHub担当者のRSK コードにアクセスする