Мы призываем тех, кто посвящает свое время и энергию совершенствованию платформы RSK.
Правила и вознаграждения
Присылайте свои находки и получайте вознаграждения
Отправителем сообщения должен быть тот, кто нашел уязвимость. Уведомление об уязвимости нельзя делегировать другому лицу.
Мы принимаем анонимные заявки, но в этом случае вознаграждение будет пожертвовано на благотворительность.
Отправитель предоставляет RSK право использовать весь предоставленный отчет или его фрагменты для информирования общественности об этой уязвимости.
RSK может указывать имя отправителя и баллы, которые он заработал за сообщения в блогах RSK, а также онлайн-рейтинги программы поощрений.
Если вы не хотите, чтобы в сообщениях RSK было указано ваше настоящее имя, этот момент необходимо уточнить и в своем сообщении указать псевдоним.
Вознаграждение не начисляется за сообщение о проблемах, о которых уже сообщили другие пользователи или о которых уже известно сотрудникам RSK.
Публичное раскрытие информации об уязвимости лишает заявителя права на вознаграждение. Если пользователь сообщает об этой уязвимости другим службам безопасности (например, Ethereum или ETC), а затем сообщает в RSK со значительной задержкой, RSK имеет право уменьшить или отменить вознаграждение.
Вы можете запустить или развивать частную цепочку для поиска ошибок. Мы просим вас воздержаться от атак на главную цепочку и тестовые сети RSK. Мы также просим вас воздержаться от атак на главные цепочки и тестовые сети ETH и ETC. При использовании атаки вознаграждение за обнаружение уязвимости не начисляется.
Команда разработчиков и сотрудники RSK, а также все прочие лица, работа которых прямо или косвенно оплачивается RSK, не имеют права на вознаграждение.
Человек, который представил изменение в кодовой базе RSK, не имеет права на вознаграждение за сообщение об уязвимости, которая возникла в результате представленного им изменения или была инициирована таким изменением.
Веб-сайты, инфраструктура и активы RSK НЕ являются частью программы поощрения.
Программа поощрения RSK учитывает ряд переменных при определении размера вознаграждения.
Определение права на участие, проведение оценки и определение условий вознаграждения осуществляются исключительно RSK Labs.
Примеры
Размер выплачиваемого вознаграждения зависит от степени серьезности обнаруженной уязвимости. Степень серьезности рассчитывается с помощью модели оценки рисков OWASP, в основе которой лежит оценка воздействия и вероятности.
Ошибке, вызванной единственной недорогой транзакцией, которая разветвляет RSK blockchain на несколько узлов, которые принимают блок, содержащий транзакцию, и несколько узлов, которые отклоняют этот блок, обычно присваивается высокая степень серьезности.
Это связано с тем, что высока вероятность того, что она будет использована для атаки, хотя воздействие будет средним, поскольку для кражи активов необходимо осуществить атаку с двойной тратой средств.
Удаленной атаке на конкретный узел, при которой с некоторой очень низкой вероятностью похищаются частные ключи, обычно присваивается высокая степень серьезности.
Это связано с тем, что несмотря на высокое воздействие, такая атака имеет среднюю степень вероятности, поэтому проверяется много узлов, пока злоумышленник не найдет нужную жертву.
Атаке, которая засыпает блокчейн спамом, или состоянию, стоимость которого значительно ниже ожидаемого, обычно присваивается средняя степень серьезности.
Удаленной атаке, при которой раскрывается личная информация узла, не приводящая к потере средств, обычно присваивается низкая степень серьезности.
Наша программа поощрения
является комплексной,
начиная с обоснованности протоколов (таких как согласованная модель блокчейна, проводные и одноранговые протоколы, подтверждения работы и т. д.) и реализации протокола. Классическая безопасность
клиента, а также безопасность простейших криптографических элементов также являются частью программы. Подробное описание сферы применения:
Стек протоколов RSK имеет определенное сходство с системой Ethereum, но по многим аспектам значительно отличается от нее. Большинство характеристик, таких как согласованность, синхронизация, состояние TRIE-структуры и EVM, были в значительной степени изменены. Поскольку в настоящее время нет формального описания этих новых протоколов, уязвимости в структуре протокола будут оцениваться с учетом предполагаемой функциональности, которая может быть неясной.
Мы призываем искать проблемы в следующих сферах разработки:
Связь с биткойном (двухсторонняя привязка)
Управление федеральными субъектами
Алгоритм регулировки сложности блоков
Эгоистичные стимулы для майнинга
Безопасность SPV
Стимулы для майнинга анкл-блоков
Безопасность состояния TRIE-структуры
Несогласованные / нежелательные экономические стимулы и недостатки теории игр.
Недостатки системы безопасности / атаки на алгоритм PoW или систему слитного майнинга.
Конкретным примером может служить контракт, который потребляет очень мало газа, но генерирует множество вычислений, эффективно открывая дверь для DoS-атак.
Если предположить, что структура протоколов и алгоритмов является безупречной, соответствуют ли действия клиента предполагаемому поведению? Вопросы могли бы включать:
Проверки блоков, транзакций и сообщений
Выполнение кода виртуальной машины RSK
Выполнение транзакции
Создание контракта
Отправка сообщения
Расчет и применение газа и сборов
Эта категория нацелена на обобщенные атаки на всю сеть или ее часть:
51% и другие атаки X%.
Изоляционные атаки
Атака Финни.
Атака Сибил.
Атака повторного воспроизведения.
Приспособляемость транзакций/сообщений.
(Глобальная) DoS-атака.
Атаки на одного клиента RSK, связанные со всей платформой RSK:
DoS / злоупотребление ресурсами
Сбор/проверка адреса учетной записи/кошелька
Широковещательные/скрытые атаки
В этой категории рассматриваются более классические проблемы безопасности:
Переполнение/зацикливание типа данных, например, переполнение целочисленного значения.
Паника или неправильно обработанные ошибки.
Совпадение, например, синхронизация, состояние, гонки.
Вопросы, связанные с использованием внешних библиотек.
Эта категория включает:
Неправильная реализация/использование/конфигурация следующих элементов:
Эллиптическая кривая (secp256k1, ECDSA).
Хеш-алгоритмы (Keccak-256).
Улучшенная реализация дерева Меркла.
Управление ключами защиты
Качество случайного источника
Побочные каналы и утечка информации
Хотите узнать больше?