如果您是安全研究员、开发人员或白帽黑客,可以在此申请,了解该计划的当前详情并参与其中。
随着 Sei 生态系统的不断发展,理论上可能出现漏洞和安全性问题。Sei 基金会非常重视安全性,并与 Immunefi 合作启动了 Sei 漏洞赏金计划。Immunefi 是 Web3 的领先漏洞赏金和安全服务平台,保护着超过 600 亿美元的用户资金。
漏洞赏金计划激励白帽黑客报告问题,帮助维护一个安全稳定的平台,并奖励负责任的披露。
漏洞赏金计划重点关注在特定理论情况下识别漏洞,以预防问题。该漏洞赏金计划接受以下方面——请参考 Immunefi 页面获取官方和最新的列表。所有其他方面被视为超出范围并不符合资格:
区块链 /DLT
网络无法确认新交易
非预期的永久链分裂,需要硬分叉
直接资金损失
资金永久性冻结
非预期的链分裂
通过将一个区块的延迟时间延长到前 24 小时标准难度调整的平均区块时间的 500% 或更多,临时冻结网络交易
导致网络处理节点在设定参数之外处理内存池中的交易
影响市值排名前 25% 或更多的项目的 RPC API 崩溃,覆盖相应层的市值
与前 24 小时相比,至少将网络处理节点的资源消耗提高 30%,而不采取蛮力行动
关闭网络处理节点的数量大于或等于 30%,而不采取蛮力行动,但不关闭网络
在相应的层 0/1/2 网络代码中出现错误,导致智能合约行为不受预期,且没有直接资金受到威胁
关闭网络处理节点的数量大于 10%,但小于或等于 30%,而不采取蛮力行动,但不关闭网络
修改设计参数之外的交易费用
网站和应用程序
执行任意系统命令
从运行中的服务器中检索敏感数据 / 文件,如:/etc/shadow、数据库密码、区块链密钥
关闭应用程序 / 网站
代表其他用户执行修改状态的身份验证操作(无论是否与区块链状态进行交互),而该用户没有任何交互
利用已连接的钱包交互接管子域
直接窃取用户资金
与已连接的钱包进行恶意交互,例如:修改交易合约或参数、替换合约地址、提交恶意交易
直接窃取用户的 NFT
通过 NFT 元数据注入恶意 HTML 或 XSS
在没有 JavaScript 的情况下注入 / 修改目标应用程序的静态内容
在没有已连接的钱包交互且用户最多点击一次的情况下更改其他用户的详细敏感信息(包括修改浏览器本地存储)
不适当地披露机密用户信息,例如:电子邮件地址、电话号码、物理地址等
在没有已连接的钱包交互的情况下接管子域
在没有已连接的钱包交互且用户最多点击一次的情况下更改其他用户的非敏感详细信息(包括修改浏览器本地存储)
在没有 JavaScript 的情况下注入 / 修改目标应用程序的静态内容
将用户重定向到恶意网站
在没有已连接的钱包交互的情况下,通过与用户的互动更改其他用户的详细信息(包括修改浏览器本地存储)
接管损坏或已过期的外链
暂时禁止用户访问目标网站
请访问 https://immunefi.com/bounty/sei/ 查看漏洞赏金计划的范围表和条款,包括资格标准。漏洞必须符合 Sei 基金会确定的标准。
赏金的范围从 1000 美元到最高 200 万美元,具体取决于漏洞和威胁的级别,从低到危急。查看 Sei Chain 的所有代码,了解更多关于 Sei 的信息,并在 Immunefi 上开始你的漏洞猎手之旅。
关于 Immunefi
Immunefi 是智能合约和 DeFi 项目的首选漏洞赏金平台,安全研究员可在此审查代码、披露漏洞、获得报酬,从而使加密货币更加安全。Immunefi 通过漏洞赏金和全面的安全服务消除安全风险。
欲了解更多信息,请访问 https://immunefi.com
Sei —— 专为交易设计的最快 L1
不想错过 Sei 的最新动态?点击下方按钮免费订阅!
“Sei 中文”官方推特、Sei 中文电报群、Sei 中文公告电报群已开通,现在 Follow 来第一时间了解 Sei 的最新进展:
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
