QTUM(量子链)
开始时间:2018-11-26 20:00:00
截止时间:2018-12-14 20:00:00
项目简介:
量子链是一个开源的社区,可以通过价值传输协议(Value Transfer Protocol)来实现点对点的价值转移,并根据此协议,构建一个支持多个行业(金融、物联网、供应链、社交游戏等)的去中心化的应用开发平台(DAPP Platform)。
提交漏洞

赏金计划

Bug分级与奖励体系

1、如果已经有类似的Issue或者Qtum团队已经知道并在解决该问题的情况将不适用于该赏金计划。

2、如果在解决前将问题公开,并造成危害的将不会获得赏金。

3、赏金计划以解决Qtum核心产品的技术,提升产品健壮性,Qtum网站、论坛、组织架构等不在赏金计划之列。

4、赏金计划的奖金与众多因素有关、工作量、影响范围、严重程度等,赏金计划的具体赏金数额以QTUM安全团队的结论为准且对于赏金计划QTUM安全团队有最终解释权。

范围

https://github.com/qtumproject/qtum

https://github.com/qtumproject/qtum-electrum

https://github.com/qtumproject/qtum-web-wallet

如果对QTUM长期赏金计划感兴趣,可参考页面 http://qtum.org/zh.developer

我们主要希望在核心代码的已发布版本中寻找可利用的软件漏洞,这些漏洞可能会造成以下问题:

• 损失、盗取用户资产。例如在用户未授权的情况下进行交易的漏洞。

• 拒绝服务攻击。例如会引起Qtum主网崩溃或导致Qtum主网使用“过量”资源的漏洞。

• 引起共识机制的失败。例如,允许攻击者划分网络的漏洞。

• 无法控制的通货膨胀。例如,允许攻击者在coinstake交易中制造更多Qtum币的漏洞。

• 允许未经授权的访问。例如,能控制分散合约关联的漏洞。

附:Qtum使用文档

漏洞等级分类

漏洞的等级与分类我们会参照OWASP 模型,我们将漏洞氛围严重、高危、中危、低危、改进,具体定义方法请参考:http://www.owasp.org.cn/owasp-project/fengxian

* 漏洞分级会由Qtum团队完成,Qtum团队成员对此有最终解释权

漏洞评级及奖励标准

奖励数量
漏洞等级 提交与解决问题 仅提交问题
严重 $10000 $2000
高危 $5000 $1000
中危 $2500 $600
低危 $1200 $400
改进 $600 $200

* 注:单位为美元

1、 对于在比特币、以太坊等网络上已上报的问题,赏金会相应的折算。

2、 以上奖励数额为该级别漏洞的最高奖励数额,具体的奖励发放数额会由QTUM安全团队决定。

对于奖励的发放我们还会参照其中几项来进行评审,如仅上报漏洞者,只需要关注上报材料一项。

上报材料(15%):

完整填写上报材料,具体请参考申报模板link,所有上报材料均为英文版本。

代码修复(40%):

完成代码修复,并不引入新的问题,如果有新的问题被引入,需要在同一次提交中解决该问题。

自动化测试脚本覆盖或手动测试方法说明(15%):

自动化测试脚本对代码的持续集成、快速迭代下的质量控制有极其重要的作用,所以自动测试脚本的完善会作为一项重要的考核指标:

提供自动化测试脚本 100%
提供手动测试说明 60%

修复时间与效率(20%):

修复时间指Issue上报被确认后到修复代码被review过后合到代码库间的时间,该时间会在Issue上报后QTUM安全团队确认漏洞的反馈邮件中明确期望修复时间,该时间会与开发者协商。

该部分奖励说明:

期望时间内完成 100%
超过期望时间50%内 70%
超过期望时间50%外 50%

修复思路及方法介绍与文档完善(15%):

对于修复完的漏洞,希望完成技术材料的整理与文档的提交,具体请参见:Bug修复后提交材料模板

漏洞的上报与修复流程

报告阶段

报告者访问「Bug上报」页面 提交漏洞详情

处理阶段

1. BITHACK安全团队会确认收到的漏洞报告并跟进开始评估问题, 同时将情报反馈给项目方

2. 一个工作日内,QTUM技术团队处理问题、给出结论与期望完成时间(状态:审核通过/已忽略)。必要时会与报告者沟通确认,请报告者予以协助,评估完成后会将评估结果告知开发者。

修复阶段

与报告者沟通,请报告者予以协助完成修复。如报告者参与修复请在Bug上报信息里面留下联系方式,予以联系。

附:

Bug上报模板

模板举例

已有漏洞

编号 提交队伍 评分 提交时间