享云链致力于成为性能与安全兼顾的全球第一商用公链,为了避免可能存在的漏洞威胁, 我们在此呼吁全球用户共同建设更加安全可靠的享云链生态。“享云链漏洞奖励计划”承诺为提交安全漏洞的用户提供代币奖励。
- 此漏洞奖励计划适用于以下内容:
- 代码实现,如Linkchain GitHub存储库中所示
- 这包括所有分支的代码; 包括主分支和任何发布分支
- 代码实现,如Linkchain GitHub存储库中所示
- 研究人员/白帽子:在你研究/攻击时,我们要求你不要进行以下行为:
- 对Linkchain网络进行拒绝服务攻击
- Linkchain项目员工或承包商进行社会工程学渗透
- 对Linkchain社区财产或数据中心进行任何物理或网络的破坏
- 作为一个支持隐私的项目,我们有志愿者在多个公共领域上运行隐藏服务的副本。已经运行的区块链网络不在测试的范围内; 允许测试的只有代码!
- 奖励计划不符合以下条件的人:
- 不遵守规则披露漏洞
享云链承诺为有效报告者发放一定价值的链克作为奖励,单次奖励如下。(注:链克价值以发放时的市值平均数计算)
悬赏漏洞的范围主要包括享云链主网等相关业务,仅限代码https://github.com/lianxiangcloud/linkchain
是指发生在核心系统业务逻辑(区块、交易、资金、共识验证处理等涉及核心资产与数据的逻辑),对整个区块链体系造成大量经济损失、大面积混乱、或获取节点宿主机权限等严重且多数不可逆的漏洞。包括但不限于:
- 任意远程节点远程命令执行
- 篡改历史区块数据
- 获取任意远程节点托管的私钥
- 给任意账户造成资金损失
- 破坏链上保密设计
- 区块链网络分叉
- 伪造、重放任意交易或区块并大量获益
- 任意铸币、盗币
- 篡改鉴权、收费、转账等核心系统逻辑
是指对部分节点或账户造成较严重危害,可以使部分区块链系统停滞,造成较大混乱或经济损失的漏洞。包括但不限于:
- 任意远程节点程序崩溃或无响应
- 使任意远程节点无法验收合法交易
- 断开任意远程节点与其他节点的连接
- 伪造签名、 获得使用他人私钥给任意数据签名的能力
- 获得少量非预期资金收益
- 越权修改账户地址或权限设置
- 任意远程节点宿主机崩溃或无响应
- 使任意远程节点无法与其他节点维持任何有效连接
- 伪造、 重放任意交易或区块但无法大量获益
- 获取某些账户的私钥
- 给某些账户造成资金损失
是指对部分远程节点或账户造成一定程度的混乱或经济损失的漏洞。包括但不限于:
- 重放特定交易或区块
- 使任意远程节点无法与其他节点建立有效连接
- 使任意远程节点启动失败
- 显著降低其他攻击的利用难度
是指不会对区块链系统、节点或账户造成实质性损害,但依然需要改进,具有潜在风险的漏洞。包括但不限于:
- 不会直接造成经济损失的敏感信息泄漏
- 一定程度降低其他攻击的利用难度
请发送漏洞文档至 security@lianxiangcloud.com
- 漏洞文档内容包括漏洞的详细描述、漏洞的利用方式、个人链克地址(以便发放奖励)等信息,具体可参照《享云链漏洞文档示例与注意事项》,便于技术方定位问题。
- 发送邮件主题请命名为“享云链安全漏洞”。
- 在漏洞未修复完成前,请不要公开和传播。我们承诺: 对每一份漏洞文档,都会有专门安全人员进行评估、跟进并及时反馈最新的处理结果,并给予安全漏洞的奖励,定期公开。
- 提交漏洞后最迟三个工作日内工作人员会确认收到的漏洞并进行处理,处理后会给出相关结论并主动联系您发放奖励,若漏洞被忽略也会说明相关原因并反馈给您。
- 在漏洞提交或处理过程中,若对处理流程、反馈结果等有异议可在对应邮箱留言。