2. 程式人生 > >Qtum量子鏈漏洞賞金計劃正式開啟

Qtum量子鏈漏洞賞金計劃正式開啟

阿新 發佈:2018-12-21

 本次Qtum量子鏈賞金計劃為了更好的藉助社群的力量參與到QTUM主網及周邊應用的開發建設中,讓QTUM持續地保持安全、高效的執行,同時能滿足更多使用者的需求。

Bug分級與獎勵體系

1、如果已經有類似的Issue或者Qtum團隊已經知道並在解決該問題的情況將不適用於該賞金計劃。

2、如果在解決前將問題公開,並造成危害的將不會獲得賞金。

3、修復時,請fork程式碼到自己的倉庫中進行修復,然後提交pull request在Qtum成員review之後正式合入主幹。

4、Qtum團隊成員是受僱於Qtum基金會,Qtum成員直接或間接的參與Bug修復的情況將不會獲得賞金。

5、賞金計劃以解決Qtum核心產品的技術,提升產品健壯性,Qtum網站、論壇、組織架構等不在賞金計劃之列。

6、賞金計劃的獎金與眾多因素有關、工作量、影響範圍、嚴重程度等,賞金計劃的具體賞金數額以QTUM安全團隊的結論為準且對於賞金計劃QTUM安全團隊有最終解釋權。

範圍

請在以下Github開源專案中查詢漏洞:https://github.com/qtumproject/qtum

這裡的範圍只是我們現在關注的重點產品,如果有未被列在上面,但是同樣是被驗證的軟體漏洞,我們也歡迎通過漏洞上報的方式進行上報和賞金申請,Qtum團隊將會對此作出評定並及時給予反饋。

這些漏洞可能會造成以下問題:

  • 損失、盜取使用者資產

  • 拒絕服務攻擊

  • 引起共識機制的失敗

  • 無法控制的通貨膨脹

  • 允許未經授權的訪問

漏洞等級分類

漏洞的等級與分類我們會參照OWASP 模型,我們將漏洞氛圍嚴重、高危、中危、低危、改進,具體定義方法請參考:http://www.owasp.org.cn/owasp-project/fengxian

需要注意的是:

1、 對於在比特幣、以太坊等網路上已上報的問題,賞金會相應的折算。

2、 以上獎勵數額為該級別漏洞的最高獎勵數額,具體的獎勵發放數額會由QTUM安全團隊決定。

對於獎勵的發放我們還會參照其中幾項來進行評審,如僅上報漏洞者,只需要關注上報材料一項。

上報材料(15%):完整填寫上報材料,具體請參考申報模板link,所有上報材料均為英文版本。

程式碼修復(40%):完成程式碼修復,並不引入新的問題,如果有新的問題被引入,需要在同一次提交中解決該問題。

自動化測試指令碼覆蓋或手動測試方法說明(15%):自動化測試指令碼對程式碼的持續整合、快速迭代下的質量控制有極其重要的作用,所以自動測試指令碼的完善會作為一項重要的考核指標:

提供自動化測試指令碼

100%

   提供手動測試說明

60%

修復時間與效率(20%):修復時間指Issue上報被確認後到修復程式碼被review過後合到程式碼庫間的時間,該時間會在Issue上報後QTUM安全團隊確認漏洞的反饋郵件中明確期望修復時間,該時間會與開發者協商。

該部分獎勵說明:

期望時間內完成

100%

超過期望時間50%內70%

70%

超過期望時間50%外

50%

 修復思路及方法介紹與文件完善(15%):對於修復完的漏洞,希望完成技術材料的整理與文件的提交,具體請參見:Bug修復後提交材料模板

漏洞的上報與修復流程

報告階段

報告者訪問「Bug上報」頁面(URL:https://qtum.org/zh/developer/long-term/bugs) 提交漏洞詳情(狀態:待稽核)

處理階段

1.一個工作日內,QTUM安全團隊會確認收到的漏洞報告並跟進開始評估問題, 同時將情報反饋給上報者(狀態:稽核中)

2. 三個工作日內,QTUM技術團隊處理問題、給出結論與期望完成時間(狀態:已確認/已忽略)。必要時會與報告者溝通確認,請報告者予以協助,評估完成後會將評估結果告知開發者。

修復階段

1.     提交者著手修復該安全漏洞(狀態:修復中)

2.     對於修復完成的問題,提交者可以將狀態改為(狀態:待複查)修復時間根據問題的嚴重程度及修復難度而定,一般來說,嚴重和高危問題 24 小時內,中危問題七個工作日內,低危問題十五個工作日內。客戶端安全問題受版本釋出限制,修復時間根據實際情況確定

3. QTUM安全團隊對問題進行復查,確認修復後會告知提交者結論和漏洞得分(狀態:已複查/複查異議)

材料整理階段

根據要求完成測試指令碼、手動測試說明、修復思路與文件完善等資訊

賞金髮放階段

QTUM安全團隊對提交人的材料完整性和修復完成度進行稽核併發布獎勵(狀態:已結束)

Bug上報模板

<!--- Remove sections that do not apply -->

This issue tracker is only for technical issues related to Qtum.

### Describe the issue

### Can you reliably reproduce the issue?

#### If so, please list the steps to reproduce below:

1.

2.

 ### Expected behavior

Tell us what should happen

### Actual behavior

Tell us what happens instead

### Screenshots.

If the issue is related to the GUI, screenshots can be added to this issue via drag & drop.

### What version of Qtum are you using?

List the version number/commit ID

 ### Machine specs:

- OS:

- CPU:

- RAM:

- Disk size:

### Any extra information that might be useful in the debugging process.

This is normally the contents of a `debug.log` or `config.log` file. Raw text or a link to a pastebin type site are preferred.

模板舉例

Title: DoS of stakers possible by sending a large transaction.

Description

An attacker can publish a very big transaction. This transaction will be accepted into the mempool, however, upon attempting to include that transaction in a block stakers will produce an invalid block that is not accepted by its peers.

Impact

It is possible for an attacker to cause a denial of service attack against all stakers on the network, effectively bringing block production to a halt.

Affected software

The core qtumd client.

Reproduction

  • Start qtumd      in regtest mode on a clean chain in staking mode: qtumd -regtest      -staking=1

  • Get some mature coins to enable      staking:  qtum-cli -regtest generate 600

  • Publish a really big transaction: qtum-cli -regtest sendtocontract ...

  • Wait for a minute while the staker      loop runs.

  • Inspect the      debug log

Expected result

The tx should have been rejected by AcceptToMemoryPoolWorker in step 3.

Actual result

  • The   transaction is accepted into the mempool.

  • The debug.log      has several entries of a block being rejected at each 16 second interval      due to it including a transaction that exceeds the maximum transaction      size.

Fix

Make sure that no transactions exceeding the maximum size are allowed into the mempool. This check should be implemented in AcceptToMemoryPoolWorker.

Files

Full debug.log

Bug修復後提交材料模板

###Fault cause

###Solution

###Resulting changes

###Resulting Document change

###Verify method

# Backwords compatible: (yes /no)

#Planned for version : (which version to deliver)

#New test case update/add/Manual testing:

References

  • https://docs.qtum.site

  • https://github.com/qtumproject

相關推薦

Qtum量子漏洞賞金計劃正式開啟

 本次Qtum量子鏈賞金計劃為了更好的藉助社群的力量參與到QTUM主網及周邊應用的開發建設中,讓QTUM持續地保持安全、高效的執行,同時能滿足更多使用者的需求。 Bug分級與獎勵體系 1、如果已經有類似的Issue或者Qtum團隊已經知道並在解決該

Qtum量子研究院:閃電網路(下)

Qtum量子鏈研究院:Mia Qtum量子鏈研究院即日起將會定期進行技術課程,每期一個主題,在這裡我們用最專業的視角解讀當下區塊鏈技術熱點話題。第一期的主題:閃電網路,早在2017年11月Qtum便先一步引入閃電網路,詳情見《基於Qtum量子鏈的閃電網路功能簡介

Qtum量子研究院:DDAO去中心化資料雲端儲存

背景介紹 現中心化雲端儲存因高商用性而廣受歡迎,但仍存在諸如成本較高、安全性低、隱私洩漏等問題。去中心化雲端儲存則提供端對端加密的高度分散的資訊儲存功能,具有低成本、高安全性、充分利用閒置資源等優點,將會成為未來主流的雲端儲存解決方案。 雲端儲存是在雲端計

Qtum量子 x86虛擬機器 編碼格式

暴露給介面和智慧合約程式碼的編碼格式如下 執行時長度編碼格式 (Runtime Length Encoding Format) 在區塊鏈上,x86 所有的合約資料都使用執行時長度編碼(Runtime Length Encoding,RLE)來表示 0 位

區塊傳奇之國內三大公:NEO小蟻、Qtum量子、BTM比原簡介

剛進鏈圈,聽朋友談起,說國內有三大公鏈是大家比較關注的,分別是:NEO小蟻、Qtum量子鏈、BTM比原鏈,這三個公鏈,最近發展如何?我們一起看看!什麼是公共區塊鏈(公鏈)?公有區塊鏈(PublicBlockChains),又稱公有鏈。公有鏈是區塊鏈當中每一個節點都是公開的,每個人都可以參與區塊鏈的計算,而且每

DREP SIGNAL 計劃正式啟航:區塊落地應用的領跑者

如何設計一款真正落地的區塊鏈應用? 如何構建演算法信任和跨應用資料共享? 如何平衡去中心化,高併發和安全性? DREP區塊鏈聲譽系統底層技術平臺,志在成為全球區塊鏈落地應用的訊號塔,DREP Signal Lab正在內部孵化及聯合研發多款基於聲譽量化變現的殺手級應

博為峰網校“11.11單身無罪,抱團有禮”活動正式開啟

href ref 等你 學習之路 免費 套路 src png 單身 這個雙十一,你是否感受到來自情侶、購物車、工作等的滿滿惡意? 博為峰網校不走套路,組建“抱團取暖”IT學習團,拯救瑟瑟發抖的你。 小編帶大家來一覽3大活動亮點~ 亮點一:好課免費學 學習之路不孤單:抱團

全球首個NGO區塊項目NGOT正式上線,率先提出“公益即挖礦”公益模式

研究 公信力 部分 分享圖片 開啟 watermark term 實現 text 今日(7月15日),全國首次區塊鏈技術與社會組織應用研討會在京召開,本次大會由北京共識區塊鏈研究院和北京亞太經濟合作促進會共同召開。在此次會議上,全球首個NGO區塊鏈項目產品上線,NGOT率先

P2C專案正式開啟!!!

眾所周知 C + + C++

簡報 | 巴西政府考慮應用區塊平臺 巴西總統候選人通過區塊釋出政府計劃

行情概覽 51BB8財經 對接全網大資料行情,收錄幣種4,028個,截至10月17日17時00分,24h交易量117.4億美元,上漲幣種2,810個,下跌幣種1,218個。 24h成交量交易所TOP10 熱門幣種 BTC: 隨著USDT事件的影響慢慢溫和下來,B

索尼迴應PS4訊息漏洞計劃通過更新系統來修復

南樂縣 阿里巴巴集團董事局主席馬雲發表致股東的公開信表示:生意難做之時,正是阿里巴巴兌現“讓天下沒有難做的生意”的使命之時。,阿里巴巴(NYSE:BABA)今日釋出了截至2018年9月30日的2019財年第二季度財報(注:阿里巴巴財年與自然年不同步,從每年的4月1日開始,至第二年的3月31日結束)。 財報中

案例徵集正式開啟 | 洞見2018年度值得學習的100+創新案例

如何打造“區塊鏈式”高績效團隊? 如何解讀關於使用者體驗的若干基本規律? 如何快速獲取開發或測試環境? 如何用設計思維做增長? 如何將B端產品從業務邏輯到產品構建一個最全的攻略? ...... 年度100+技術案例即將揭曉。 2018年11月30日-12月3日,由m

阿里雙十一為首各巨頭入場區塊 下半場真技術角逐開啟

引言: 馬雲:區塊鏈是解決資料安全與隱私問題的最好技術,關乎信任、信譽和安全,可以改變未來二三十年的經濟和金融體系。 “雪崩的時候,沒有一片雪花是無辜的”用來形容區塊鏈的上半場應該不為過,區塊鏈的上半場充斥著“虛假繁榮”,區塊鏈技術在數字虛擬貨幣上的率先發力,引起了區塊鏈行業的一片

【Altera SoC體驗之旅】+ 正式開啟OpenCL模式

#include <stdio.h> #include <stdlib.h> #include <math.h> #include "CL/opencl.h" #include "AOCL_Utils.h" using namespace aocl_utils

IOST開發者激勵計劃正式上線!

隨著IOST最後一版測試網的即將釋出,專案將全力投身於公鏈的打造和公鏈生態的構建工作。在社群建設方面,除了繼續構建更加強大且具有凝聚力的社群之外,IOST接下來會著手打造一個全新的技術社群。全新的技術社群將會聚集全世界範圍內優秀的開發者,共同參與IOST技術開發和體驗。 我們一貫堅持區塊

如何將量子引入業務系統,使用JSON-RPC與錢包通訊(內附區塊學習論,個人理解,歡迎交流)

提示 Tip1.本文適合想要深入瞭解區塊鏈技術的人員閱讀 Tip2.本文適合需要在業務系統中引入比特幣/量子鏈的技術人員閱讀 引言 入門區塊鏈技術之前,如果對於去中心化有一定了解,這無疑將幫助你更好的理解區塊鏈的底層技術;區塊鏈的底層技術由密碼學,共識演算法,

最終計算供應管理生產計劃排程邏輯管理

這是和整個展開相似,除了重新排定的邏輯以外,用於計劃的排程。非供應鏈又一次被忽略。在整個展開過程中,庫存被重新分配。重新排定計劃的排程,用當前完成日期,在計劃上展開產生任務。在計劃上的排程被視為供應和上層產生的任務作為需求。在為供應和為需求的生產日期的計劃順序中

[網路諮詢]新浪微博新版三欄樣式正式開啟邀請測試

近日新浪微博三欄式新版微博正式開啟邀請測試,估計再過一陣就可以正式測試了,想更多的使用者開放測試。關於新浪微博新版的測試請看這篇文章《新浪微博新版三欄佈局開放公測》,我也通過朋友獲得了一個邀請碼,換了新版看了看,覺得挺不錯的,截張圖給大家看。新版新浪微博同時支援了三欄和兩欄,方便使用者自由切換。自己也獲得了五

Discuz X1.5正式開啟QQ帳號繫結登陸功能

今天,登入Discuz官方論壇網站下載一個主題給鋒酷開發社群(www.flycode.org)使用,看到了騰訊和Discuz共同推出的QQ 賬號登入功能,著實讓我比較好奇。早就戴志康說過這個功能會在DX1.5的後續版本中新增,但說暫時還有很多技術難關和環節沒處理好,會在10月份推出, 沒想到,這麼快就推出此項

道招網正式開啟https

之前我只是對微信小程式好奇,搞了個子域名 https://w.daozhao.com,現在發現越來越多的場景需要https,加上現在的主機貌似只支援一個域名用ssl證書,單獨買個多域名ssl證書比較貴,暫時沒有必要,經過考慮,覺得主站www.daozhao.com使用ssl證書開啟https時代,子域