포상 프로그램 | RSK - Smart Contract Platform Secured by the Bitcoin Network

RSK 포상 프로그램

당사는 RSK 플랫폼 개선을 위해 시간과 노력을 헌신하는 보안 전문가, 소프트웨어 개발자 해커를 포상합니다.

취약점 제출

규칙 및 혜택

조사 결과를 제출하고 혜택을 받으십시오

제출자는 반드시 취약점을 찾아야 합니다. 취약점은 위임하여 제출할 수 없습니다.

당사는 익명 제출을 허용하고 있으나, 익명 제출의 경우 포상금은 자선단체에 기부됩니다.

제출자는 제출된 보고서의 일부 또는 전부를 사용하여 일반에게 취약점에 대해 알릴 수 있도록 RSK에 권리를 부여합니다.

RSK는 제출자 이름과 획득한 사항을 RSK 블로그 포스트 및 온라인 포상 랭킹에 인용할 수 있습니다.

제출자가 RSK 통신에서 자신의 실명이 식별되는 것을 원치 않는 경우, 제출 내용에 해당 의사를 명시하고 가명을 제공해 주셔야 합니다.

다른 사용자가 이미 제출했거나 RSK 팀이 이미 알고 있는 문제를 제출한 경우 포상금을 받을 수 없습니다.

취약점을 대중에게 공개하면 포상금을 받을 수 없습니다. 사용자가 취약점을 다른 보안 팀(예: 이더리움 또는 ETC)에 보고했지만 상당히 지연된 후에 해당 사실을 RSK에 뒤늦게 통지한 경우, RSK는 포상금을 줄이거나 취소할 수 있습니다.

사용자는 버그 헌팅을 위해 개인 체인을 시작하거나 분기할 수 있습니다. RSK 메인 체인 및 테스트 네트워크를 공격하지 마십시오. 또한 ETH 또는 ETC 메인 체인 및 테스트 네트워크를 공격하지 마십시오. 공격하면 해당 취약점 보고는 포상을 받을 자격이 없습니다.

RSK 개발 팀, 직원 및 RSK에서 직접 또는 간접으로 지급을 받는 모든 다른 사람은 포상을 받을 자격이 없습니다.

RSK 코드 베이스 변경 내용을 제출하는 사람은 제출한 변경 내용에서 시작되거나 트리거된 취약점에 대해 포상을 받을 자격이 없습니다.

RSK 웹사이트, 인프라 및 자산은 포상 프로그램의 일부가 아닙니다.

RSK 포상 프로그램은 포상을 결정함에 있어서 다양한 변수를 검토합니다.

자격, 점수 및 모든 포상과 관련된 사항의 결정은 RSK Labs의 유일하고 절대적인 재량에 따릅니다.

예

지불되는 포상의 가치는 심각도에 따라 달라집니다. 심각도는 영향 및 가능성을 기반으로 OWASP 위험 평가 모델에 따라 계산됩니다.

RSK 블록체인을 트랜잭션이 포함된 블록을 수용하는 일부 노드 및 해당 블록을 거부하는 일부 노드로 분기하는 단일 저가형 트랜잭션에 의해 트리거된 버그는 대개 높음으로 간주됩니다.

왜냐하면 해당 버그는 공격에 사용될 가능성이 높기 때문입니다. 그러나 이중으로 소비되는 공격은 자산 절도를 범하기도 하기 때문에 영향은 보통으로 간주됩니다. 해당 개인 키를 훔칠 확률이 매우 낮은 원격 공격은 대개 높음으로 간주됩니다. 왜냐하면 영향이 높지만 가능성은 보통이며, 공격자가 정확한 피해자를 찾을 때까지 많은 노드를 조사해야 하기 때문입니다.

블록체인을 파헤치는 공격 또는 비용이 예상보다 훨씬 낮은 상태는 대개 보통으로 간주됩니다.

자금 손실을 초래하지 않는 노드에 대한 일부 개인 정보를 드러내는 원격 공격은 대개 낮음으로 간주됩니다.

적용 범위

당사의 버그 포상 프로그램 엔드 투 엔드 범위

프로토콜의 건전성 ( 블록체인 합의 모델, 유선 및 P2P 프로토콜, 작업 증거 등) 및 프로토콜 구현 고전적인 클라이언트 보안 및 암호 기본체 보안도 프로그램의 일부입니다. 적용 범위 세부 정보:

프로토콜 설계 보안

RSK 프로토콜 스택은 몇 가지 면에서 이더리움과 유사하지만 다른 점이 많습니다. 합의, 블록체인 동기화, 상태 트라이(State Trie) 및 EVM 같은 대부분의 프로토콜은 재설계되거나 수정되었습니다. 현재 이러한 새 프로토콜에 대한 공식 설명이 없으므로, 프로토콜 설계의 취약점은 의도한 기능(명확하지 않을 수 있음)을 기준으로 평가할 수 있습니다.

당사는 연구자들이 다음 영역의 설계에서 문제점을 찾을 것을 권장합니다.

블록체인 브리지(양방향 연결)

연맹 구성원 관리

블록체인 난이도 조절 알고리즘

이기적 채굴 보상

SPV 보안

엉클(uncle) 채굴 보상

상태 트라이(State Trie) 보안

잘못된 / 의도하지 않은 경제적 보상 및 게임 이론상 결점

보안 취약점 / PoW 알고리즘 또는 병합 채굴 시스템 공격

실제 예로 가스를 아주 적게 소비하지만 많은 전산 처리를 초래하여 결국 DoS 공격의 문을 열어 주는 컨트랙트가 있습니다.

구현 보안 클라이언트 프로토콜 구현 보안

프로토콜 및 알고리즘 설계에 결점이 없다고 가정하면 클라이언트 구현은 의도한 행동을 준수하는 것일까요? 문제는 다음을 포함할 수 있습니다.

블록, 트랜잭션 및 메시지 유효성 검사

RSK 가상 머신 코드 실행

트랜잭션 실행

컨트랙트 생성

메시지 호출

가스 및 수수료 계산과 시행

네트워크 보안

이 카테고리는 전체 네트워크 또는 그 일부에 대한 일반적인 공격에 초점을 맞춥니다. 즉, 일반 공격

51% 및 기타 X% 공격

고립 공격(Isolation attack)

피니 공격(Finney attack)

시빌 공격(Sybil attack)

재생 공격(Replay attack)

트랜잭션 / 메시지 가변성

(글로벌) DoS

노드 보안

RSK 플랫폼과 관련된 단일 RSK에 대한 공격:

DoS / 자원 남용

계정 / 지갑 주소 수집/조사

브로드캐스트 / 보류 공격

애플리케이션 보안

이 카테고리는 더 고전적인 보안 문제를 다룹니다.

데이터 형식 오버플로 / 랩어라운드(예: 정수 오버플로)

공황상태 또는 올바르게 처리되지 않은 오류

동시성, 예: 동기화, 상태, 레이스

사용한 외부 라이브러리와 관련된 문제

Seguridad criptográfica aplicada

이 카테고리는 다음을 포함합니다.

잘못된 구현 / 사용 / 구성:

타원형 곡선(secp256k1, ECDSA).

해시 알고리즘(Keccak-256).

머클 패트리샤(Merkle Patricia) 트리

키 관리

무작위 소스 품질

사이드 채널 및 정보 누출

참고 문헌

RSK 시작하기 RSK 코드 @ 깃허브 저장소(GitHub rep) 액세스

좀 더 알고 싶으세요?

FAQ로 이동