Moonbeam Bug Program 漏洞赏金计划

最新推荐文章于 2025-08-15 15:39:02 发布

转载最新推荐文章于 2025-08-15 15:39:02 发布 · 394 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：https://mp.weixin.qq.com/s/qexQavokzRKtPsGDBRVIrw

文章标签：

#区块链

Moonbeam 专栏收录该内容

385 篇文章

订阅专栏

Moonbeam Bug Program 漏洞赏金计划主要针对 Moonriver 和 Moonbeam 平行链，以及生态内的 DApps，主要目的是为了防止：本金的盗窃和冻结、未结算收益的盗窃和冻结、治理资金的盗窃、治理活动的中断、网络关闭、网站瘫痪、用户数据泄露、用户数据删除、未经授权访问敏感网页。

参与须知：网站或应用程序的漏洞报告需附带PoC才有机会获奖。经团队决定，智能合约的漏洞报告可能需要附带一个PoC，目的是为确定该漏洞的确存在，必要情况下还能计算该漏洞被利用后可能造成的损害程度。关键级漏洞的上限是经济损失的10%，主要考量因素除了公关和品牌影响之外，还有资金影响。关键级漏洞的下限是75000美元。

参与入口：https://bugs.immunefi.com/

KYC 需求：Moonbeam 基金会要求所有赏金计划的参与者进行 KYC 验证，提交身份证扫描件和自拍照。

赏金支付：赏金由 Moonbeam 基金会直接支付，支付形式为USDT 或 USDC。

注意：同时适用于 Moonbeam 和 Moonriver 网络的漏洞报告将视为同一份报告，只支付一次赏金。

赏金分类依据

赏金分类的依据是基于 Immunefi 漏洞严重程度分类系统的漏洞影响。Immunefi 是一个用于智能合约和加密货币项目的漏洞赏金平台。其漏洞严重程度分类系统是一个简化的 5 级标准，将漏洞按严重程度分为 5 类：关键级、高级、中级、低级、零级漏洞。其对网站与应用程序、智能合约与区块链有单独的标准，内容包含漏洞后果、所需特权、漏洞成功利用的可能性。该平台使安全研究人员能够审查代码、披露漏洞并获得报酬，并允许公司利用领先的安全人才来保护他们的项目。

赏金分类

赏金分为智能合约、区块链、网络和应用程序四个类别。各类别奖金分别为以下级别：

智能合约和区块链类奖金共有4个级别：

赏金高达 1 百万美元的关键级；
7.5 万美元的高级；
2 万美元的中级；
5 千美元的低级。

网络和应用程序类奖金共有4个级别：

赏金高达 1.5 万美元的关键级；
7500 美元的高级；
2500 美元的中级；
1000 美元的低级。

范围内的资产

Kusama 上的 Moonriver 平行链和 Polkadot 上的 Moonbeam 平行链都包括在资产范围内。

点击此链接 https://github.com/PureStake/，获取 Moonbeam 的所有源代码。

漏洞赏金计划范围内的影响

1、智能合约和区块链方面，本漏洞赏金计划接受的影响仅包含：因永久冻结或直接盗窃导致的用户资金损失；治理资金的损失；无人认领的收益的盗窃；冻结无人认领的收益；至少持续15分钟的资金暂时冻结；暂时无法调用智能合约；网络关闭；智能合约手续费流失；由于底层平行链内的缺陷或漏洞，智能合约无法交付承诺的收益；治理活动中断；操纵投票；不正确的投票行动；绕过外在验证（Origin 绕过或升级)；违反 Runtime 共识（将无效区块纳入规范）。

2、网络和应用程序方面，本漏洞赏金计划接受的影响仅包含：用户数据泄漏；用户数据删除；通过修改地址重新引导资金；用户欺骗其他用户；通过逻辑攻击和对不正常的服务进行慢速滚动攻击方式拒绝服务。

Moonbeam GitHub repo

区块链 - Moonbeam
https://github.com/PureStake/moonbeam

区块链 - Nimbus
https://github.com/PureStake/nimbus

区块链 - Crowdloan Rewards
https://github.com/PureStake/crowdloan-rewards

区块链 - Frontier
https://github.com/paritytech/frontier

区块链 - RPC 基础设施 (Moonriver)
https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1285.json

区块链 - RPC 基础设施 (Moonbase Alpha)
https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1287.json

区块链 - RPC 基础设施 (Moonbeam)
https://github.com/ethereum-lists/chains/blob/master/_data/chains/eip155-1287.json

网络/应用程序
https://apps.moonbeam.network

网络/应用程序
https://crowdloan.moonbeam.foundation/

网络/应用程序
https://moonbeam.network/

网络/应用程序
https://moonbeam.foundation/

优先考虑的漏洞

1、智能合约和区块链方面，优先考虑重入性；逻辑错误（包括用户认证错误）；不考虑 Solidity/EVM 细节（包括整数过流/欠流和未处理的异常）；EVM/自定义预编译的漏洞；托管信任/依赖漏洞（包括可组合性漏洞在内）；预言机故障/操控；新的治理攻击；经济/金融攻击（包括闪光贷款攻击）；拥堵和可扩展性（包括手续费用尽、区块填充、和易受抢跑攻击的影响）；共识失败；签名的可修改性、易受中继（relay）攻击的影响、薄弱的随机性、薄弱的加密技术等密码学问题；易受区块时间戳操控的影响；缺少访问控制/无保护的内部或调试接口；

2、网站和应用程序方面，优先考虑远程代码执行；托管信任/依赖性漏洞；垂直特权升级；XML外部实体注入；SQL注入；LFI/RFI；横向特权升级；存储的XSS；有影响的反射性XSS；有影响的CSRF；直接引用对象；内部SSRF；会话固定化；不安全的反序列化；DOM XSS；SSL错误配置；SSL/TLS问题（弱加密，设置不当）；URL重定向；点击劫持（必须附带PoC）；误导性的Unicode文本（例如，使用从右到左的覆盖字符）。

注意，以下漏洞不在本漏洞赏金计划范围内

报告人自己已经利用了的攻击，并导致了损失；
需要访问泄露的密钥/凭证的攻击；
需要访问特权地址的攻击（治理、战略）；
破解链接劫持不在范围内。

具体来说，分为以下两个方面：

1、智能合约和区块链方面，不接收的漏洞包含：

第三方预言机提供的不正确数据；
不排除预言机操控/闪电贷款攻击；
基本的经济治理攻击（如51%攻击）；
缺少流动性；
最佳实践批评；
Sybil 攻击；
集中化风险。

2、网站和应用程序方面，不接收的漏洞包含：

没有任何证明或演示的理论性漏洞；
内容欺骗/文本注入问题；
自我 XSS；
使用 OCR 绕过验证码的问题；
没有安全影响的 CSRF（注销 CSRF，改变语言等）；
缺少 HTTP 安全标头（如X-FRAME-OPTIONS）或 cookie 安全标志（如“httponly”）；
服务器端的信息披露，如 IP、服务器名称和大多数堆栈痕迹；
用来列举或确认用户或租户存在的漏洞；
需要不可能的用户操作的漏洞；
URL 重定向（除非与另一个漏洞结合，产生更严重的漏洞）；
缺少 SSL/TLS 的最佳实践；
DDoS 漏洞；
需要来自组织内部的特权访问的攻击；
电子邮件域名的 SPF 记录；
功能请求；
最佳实践。

注意！本漏洞赏金计划禁止以下活动：

使用主网或公开测试网合约进行的测试（测试都应该在私人测试网上进行）；
使用预言机或第三方智能合约进行的测试；
试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击；
与第三方系统和应用程序（如浏览器插件）以及网站（如 SSO 供应商，广告网络）的测试；
任何服务攻击的否定；
对产生大量流量的服务进行的自动测试；
公开披露禁止的赏金中未修补的漏洞。

关于Moonbeam
Moonbeam是波卡（Polkadot）网络中与以太坊兼容的智能合约平台，可实现轻松构建原生的互操作性去中心化应用。以太坊兼容特性允许开发者以最少的更改将现有的Solidity智能合约和DApp前端部署到Moonbeam。Moonriver作为Kusama上最活跃的平行链，已有80多个DApp完成在Moonriver的集成。Moonbeam将受益于Polkadot中继链的共享安全性和链接波卡其他链的互操作优势。

如需了解更多信息，请访问：Moonbeam | Polkadot Smart Contract Platform

关于Moonriver
Moonriver是Moonbeam的同行网络，旨在为激励实验提供永久性的测试环境。新上线项目的代码将优先部署到Moonriver，在其真实的经济环境下经历一系列的测试与实验验证。当验证完成并通过测试之后，项目代码才可正式部署至波卡上的Moonbeam。

如需了解更多信息，请访问：Moonriver - Solidity Smart Contracts on Kusama

更多 Moonbeam 信息
官网: Moonbeam | Polkadot Smart Contract Platform
微博：Sina Visitor System
twitter: https://twitter.com/MoonbeamNetwork
Telegram: https://t.me/moonbeam_CN
Discord: https://discord.gg/skPfXvJWG7
中文电报群助手：@MoonbeamSister