Aleo 始终坚持安全第一,把安全问题摆在首位。这就是为什么我们很高兴推出 Aleo 漏洞赏金计划,该计划旨在奖励帮助我们识别和报告 Aleo 核心协议中的漏洞的安全研究人员和白帽黑客。通过与我们在 HackerOne 和 BugCrowd 的合作伙伴合作,我们旨在激励全球熟练的开发人员帮助加强 Aleo 网络。我们为那些渴望接受挑战的人提供了 500,000 美元的初始奖励池!
对于这个首个漏洞赏金计划,我们将专注于与我们的核心协议相关的漏洞,特别是snarkOS和snarkVM GitHub 存储库。由于 Aleo 目前处于测试网络中,我们希望识别并解决会严重影响 Aleo 网络的严重漏洞。在主网之前解决这些问题将确保我们主动维护最高的安全标准。随着时间的推移,该计划的范围将扩大,变得更加普遍,确保 Aleo 生态系统的持续安全和改进。
我们呼吁安全研究人员和白帽黑客加入我们的使命,在主网启动前保护 Aleo 生态系统。通过参与 Aleo Bug 赏金计划,您可以帮助对平台的整体安全性产生有意义的影响,同时获得认可并因您的宝贵贡献而获得奖励。
概述
这个漏洞赏金计划正在 HackerOne 和 BugCrowd 上启动。我们与这些平台合作,以扩大可能想要参与此计划的安全研究人员和白帽黑客的人才库。针对snarkOS和snarkVM GitHub 存储库中的漏洞,参与者可以通过我们在HackerOne或 BugCrowd 平台上的漏洞赏金计划页面提交漏洞报告。这取决于您要将错误报告提交到哪个平台,因为程序范围是相同的。对于此计划,我们有一个总额为 500,000 美元的初始奖励池。根据已识别漏洞的严重程度及其对 Aleo 核心协议的影响,您提交的每份错误报告可以获得的金额会有所不同。
节目简介
Aleo Bug 赏金计划旨在鼓励仅在以下AleoHQ GitHub 存储库中发现和报告漏洞:
- snark操作系统
- 蛇鲨虚拟机
如果提交的错误报告产生影响这两个存储库中的任何一个的漏洞,则它们被视为在范围内。总的来说,我们的节目范围还是挺大的。根据BugCrowd 漏洞评级分类法或HackerOne 通用漏洞评分系统 (CVSS)定义的问题严重性,提交已接受错误报告的参与者将获得美元奖励。请注意,优先级/评级可能因这些评分系统而异。在每个程序页面上,我们概述了构成严重、高、中或低严重性错误的具体示例。有关更多信息,请查看HackerOne或 BugCrowd 上的相应页面。
下表概述了该程序的各种漏洞严重程度及其相关的奖励范围。无论错误的严重程度如何,Aleo 核心团队保留对特殊报告给予额外奖励的权利。
也有可能奖励特别严重的问题或影响不成比例的问题超过 25,000 美元。在这种情况下,可以授予的金额没有限制。金额由 Aleo 核心团队自行决定。
| 严重性 | 奖励(美元) |
| 批判的 | 10,000 美元至 25,000 美元以上 |
| 高的 | 5,000 美元至 10,000 美元 |
| 中等的 | 2,000 美元至 5,000 美元 |
| 低的 | 500 美元到 2,000 美元 |
参与方式
要参与 Aleo Bug 赏金计划,请执行以下步骤:
- 确定影响snarkOS和/或snarkVM GitHub 存储库的漏洞。
- 通过HackerOne或 BugCrowd在 Aleo 的程序页面上提交错误报告。A。对于任一平台,您都必须创建一个帐户并遵守其规则和准则。b. 在每个程序页面上,都有关于提交有效错误报告所需内容的信息。请确保遵循这些说明。
- 等待我们的分诊小组进行审查。我们会尽快通知您我们的评估结果。根据错误报告的复杂性,这可能需要一些时间。
- 如果错误报告被认为有效,您将被告知奖励金额,并使用您在 H1 或 BC 上注册时提供的银行信息支付。
- 提交的错误报告的初步审查将由我们的平台合作伙伴的分类团队进行。在初步审查之后,Aleo 核心团队的成员将进行深入评估,并根据其严重程度确定适当的奖励。在重复报告错误的情况下,第一个报告问题的人将获得奖励。请记住遵守HackerOne和 BugCrowd 上列出的计划范围,因为任何超出此范围的提交都不会被考虑。
相关链接
- Aleo 开发者文档
- snarkOS Github 回购
- snarkVM GitHub 回购
- HackerOne 错误报告页面
Aleo 的成功取决于技术贡献者的警惕性和专业知识。这个漏洞赏金计划证明了我们致力于奖励那些帮助我们确保用户最高安全级别的人。
不要等待,前往HackerOne或 BugCrowd 上的 Aleo 漏洞赏金计划页面,了解有关计划范围、规则和提交流程的更多信息。我们可以共同构建一个更安全可靠的 Aleo 生态系统。
条款和条件
要领取奖励,您必须根据 Aleo 的内部政策完成 KYC/AML 并通过 OFAC 筛选。如果您未能成功完成 KYC/AML 流程,您将被自动取消资格。当您注册 HackerOne 或 BugCrowd 时,您将自动被要求完成此过程。
您还需要遵守 HackerOne 和/或 BugCrowd 概述的所有条款和条件,以及Aleo 生态系统贡献者计划服务条款。
原文链接:https://www.aleo.org/post/announcing-the-aleo-bug-bounty-program
Aleo News是目前了解Aleo最全面的媒体,为全球Aleo爱好者提供最全最新的生态信息服务。
Aleo News官网链接:https://news.aleohub.net/
