VeChain

唯链(VeChain)致力于打造信息透明、协同高效、价值高速传输的可信任分布式商业环境。

66.00 Ether

Highest

1 Item

Has been claimed

Range

1、唯链雷神公链源代码及内置智能合约,GitHub 地址:https://github.com/vechain/thor ,接受的漏洞范围如下:
Protocol security
•Conceptual and practical security issues in the formal specification of the protocol.
•Misaligned / unintended economic incentives and game theoretic flaws.
•Security weaknesses / attacks on the P2P communication protocol and PoA consensus algorithm.
Implementation security
Client protocol implementation security
Assuming that the protocols and algorithms are flawless, does a client implementation conform to the formal protocol specification? Issues could include:
•Validations of blocks, transactions and messages
•Ethereum Virtual Machine code execution
•Transaction execution
•Contract creation
•Message calls
•Calculation and enforcement of gas and fees
Network security
This category focuses on generalized attacks on the whole network or a subset of it:
•51% and other X% attacks.
•Finney attacks.
•Sybil attacks.
•Replay attacks.
•Transaction / messages malleability.
Client application security
This category addresses more classical security issues:
•Data type overflow / wrap around, e.g. integer overflow.
•Panics or not properly handled errors.
•Concurrency, e.g. synchronization, state, races.
•Issues related to external libraries used.
Cryptographic primitives security
This category includes:
•Incorrect implementation / usage / configuration of:
•Elliptic curve (secp256k1, ECDSA).
•Hash algorithms (Keccak-256).
•Merkle Patricia trees.
2、唯链雷神移动钱包 App ,获取地址:iOS Android

Rating
Serious Vulnerability

严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
•内网多台机器控制
•核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
•智能合约溢出、条件竞争漏洞

High Vulnerability

•系统的权限获得(getshell、命令执行等)
•系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
•敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)
•任意⽂件读取
•可获取任意信息的 XXE 漏洞
•涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
•严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
•大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等
•大量源代码泄露
•智能合约权限控制缺陷

Mid Vulnerability

•需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等
•普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等
•拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等
•由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞
•本地保存的敏感认证密钥信息泄露,需能做出有效利用

Low Vulnerability

•本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等
•普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等
•反射型 XSS(包括 DOM XSS / Flash XSS)
• 普通 CSRF
•URL 跳转漏洞
•短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
•其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)
•无回显的且没有深入利用成功的 SSRF

Precautions

• 漏洞奖励标准仅针对VeChain的业务。目前VeChain的域名包括但不限于(*.vechain.com)
• 客户端包括所有通过官方途径发布的客户端程序;
• 提交在其他漏洞披露平台已提交的漏洞不计奖励。
• 开放平台的第三方应用漏洞不计奖励;
• 同一漏洞最早提交者得奖励。

Reward Plan
Serious:33.00 - 66.00 Ether
High:16.00 - 33.00 Ether
Mid:8.00 - 16.00 Ether
Low:0.05 - 8.00 Ether