cBridge 2.0 – 200万美元漏洞赏金计划

区块链技术 9 4 月 22, 2024 0 区块链315

我们发布了cBridge2.0-200万美元漏洞赏金计划，快来看看吧！

![200.png](https://img.learnblockchain.cn/attachments/2021/11/i4fNnZX56198b6ee60083.png) **Celer Network联合Immunefi，在cBridge2.0 主网上线之际发布200万美元漏洞赏金计划（https://www.immunefi.com/bounty/celer），目前该计划已经随cBridge2.0主网一同激活。我们旨在激励全球顶级安全研究人员和白帽黑客检测代码及合约漏洞，共同维护cBridge2.0的安全大计。** **在本文中，我们将简单介绍cBridge2.0和赏金计划的一些细节。** **cBridge 2.0是什么？** Celer cBridge2.0是一个多链互操系统，可为用户提供： * 一流的跨链转账体验和深度流动性； * 高效易用的流动性管理和直接的价值捕获，适用于cBridge节点运营者和不想成为节点运营者的流动性提供者（LP)； * 面向开发者提供广义跨链消息传递功能，如提供支持跨链DEX和NFT等更多应用的可能性。所有上述应用的实现都归功于Celer状态守卫者网络 (SGN)。SGN是一个tedermint的PoS区块链，像一个串联的消息网将不同的区块链互联互通。同时SGN作为以太坊的侧链，其质押和治理功能均植根于以太坊。CELR 验证人和委托人通过质押可获得纯质押收益以及通过 cBridge跨链转账产生的部分交易费收益。 **为什么发布200万美金漏洞赏金计划？** 我们深知安全永远是重中之重，在cBridge2.0主网上线前我们已经完成了全面的安全尽职调查：cBridge和新版SGN智能合约完全开源、三个独立的智能合约审计、广泛的内部团队审查和严格的系统功能保护。在此基础上我们依然希望引入一个能由全球顶级安全研究人员和白帽黑客共同检测和报告漏洞的计划作为cBridge 2.0 另一重要防御层。之所以与Immunefi合作，是因为他们是DeFi行业领先的漏洞赏金计划承接商，我们相信他们的经验和专业度，因此承诺提供高达200万美金的漏洞赏金。 **那么活动的亮点是？** 本活动于北京时间2021年11月19日上午9点在Immunefi上线：https://www.immunefi.com/bounty/celer，最高奖励达200万美元本活动聚焦于两种漏洞类型：智能合约漏洞和 Web/应用程序漏洞。两类奖励会根据漏洞利用的影响和漏洞利用成功率进行评定，漏洞的严重性判断主要参考Immunefi 漏洞严重性系统标准：https://immunefi.com/severity-updated，但针对本次活动做了2点修改： 1、修改关键级安全性判断标准： * 清空或永久冻结合约的持有量（例如经济攻击、闪贷、重入、MEV、逻辑错误、整数溢出/不足） 2、移除中级安全性判断标准： * 恶意攻击导致的DOS（如攻击者使用过多gas以至对合约造成破坏） * 消耗对方的gas fee攻击具体赏金分配： 1、智能合约和区块链 * 关键级漏洞：头奖200万美元 * 高风险漏洞：10万美元 2、网站和应用程序 * 关键级漏洞：1.5 万美元 * 高风险漏洞：7500美元其中关键级智能合约和区块链错误报告的赏金上限为其潜在经济损失的10%，最高达200万美元，最低奖励为10万美元。赏金将由 Celer Network 团队发放，最终解释权归Celer Network团队所有。 **赏金计划重点漏洞列表** 以下类型的漏洞在本次赏金计划中将会得到重点关注和奖励： **智能合约/区块链漏洞** * 可重入漏洞 (Re-entrancy) * 逻辑错误包括用户身份验证错误 * Solidity/EVM 细节漏洞包括整数上溢/下溢包括未处理异常 * 信任托付/依赖(Trusting trust/dependency)漏洞包括可组合性(composability)漏洞 * 先知失效/篡改 * 新型治理攻击 * 经济/金融攻击包括闪电贷款攻击 * 共识失效 * 加密漏洞签名延展性漏洞易受重放攻击(replay attacks)的漏洞弱随机性漏洞弱加密漏洞 **网站/App漏洞** * 远程代码执行 * 信任托付/依赖(Trusting trust/dependency)漏洞 * 垂直越权 * XML外部实体注入 * SQL注入 * LFI/RFI * 存储型 XSS * 造成影响的反射型 XSS漏洞 * 造成影响的CSRF漏洞 * 直接对象引用 * 内部SSRF * 会话固定 * 不安全的反序列化 * DOM XSS * SSL错误配置 * SSL/TLS问题 (弱加密、设置不正确) * URL重定向 * 点击劫持(必须有PoC说明) * 误导性的 Unicode 文本(如使用从右到左覆盖的字符) **要获得赏金奖励，上报者必须符合以下条件：** * 提供cBridge 智能合约或 cBridge 应用程序漏洞报告的 PoC（概念验证） * 此外，所有关键和高风险级别的的智能合约漏洞报告需要包含修复建议 **关于Immunefi** Immuefi 是世界领先的 DeFi 漏洞赏金和安全服务平台，已成功为超过500 亿美元的用户资金保驾护航，合作过DeFI领域知名公司包括 Polygon、Chainlink、SushiSwap、PancakeSwap、Bancor、Cream Finance、Compound、Alchemix、Nexus Mutual。该公司也支付了软件行业中最重要的漏洞赏金，并开创了可扩展的 DeFi 漏洞赏金标准。了解更多信息，请访 [https://Immunefi.com。](https://Immunefi.com。)

Celer Network联合Immunefi，在cBridge2.0 主网上线之际发布200万美元漏洞赏金计划（https://www.immunefi.com/bounty/celer），目前该计划已经随cBridge2.0主网一同激活。我们旨在激励全球顶级安全研究人员和白帽黑客检测代码及合约漏洞，共同维护cBridge2.0的安全大计。

在本文中，我们将简单介绍cBridge2.0和赏金计划的一些细节。

cBridge 2.0是什么？

Celer cBridge2.0是一个多链互操系统，可为用户提供：

一流的跨链转账体验和深度流动性；
高效易用的流动性管理和直接的价值捕获，适用于cBridge节点运营者和不想成为节点运营者的流动性提供者（LP)；
面向开发者提供广义跨链消息传递功能，如提供支持跨链DEX和NFT等更多应用的可能性。

所有上述应用的实现都归功于Celer状态守卫者网络 (SGN)。SGN是一个tedermint的PoS区块链，像一个串联的消息网将不同的区块链互联互通。同时SGN作为以太坊的侧链，其质押和治理功能均植根于以太坊。CELR 验证人和委托人通过质押可获得纯质押收益以及通过 cBridge跨链转账产生的部分交易费收益。

为什么发布200万美金漏洞赏金计划？

我们深知安全永远是重中之重，在cBridge2.0主网上线前我们已经完成了全面的安全尽职调查：cBridge和新版SGN智能合约完全开源、三个独立的智能合约审计、广泛的内部团队审查和严格的系统功能保护。在此基础上我们依然希望引入一个能由全球顶级安全研究人员和白帽黑客共同检测和报告漏洞的计划作为cBridge 2.0 另一重要防御层。之所以与Immunefi合作，是因为他们是DeFi行业领先的漏洞赏金计划承接商，我们相信他们的经验和专业度，因此承诺提供高达200万美金的漏洞赏金。

那么活动的亮点是？

本活动于北京时间2021年11月19日上午9点在Immunefi上线：https://www.immunefi.com/bounty/celer，最高奖励达200万美元

本活动聚焦于两种漏洞类型：智能合约漏洞和 Web/应用程序漏洞。两类奖励会根据漏洞利用的影响和漏洞利用成功率进行评定，漏洞的严重性判断主要参考Immunefi 漏洞严重性系统标准：https://immunefi.com/severity-updated，但针对本次活动做了2点修改：

1、修改关键级安全性判断标准：

清空或永久冻结合约的持有量（例如经济攻击、闪贷、重入、MEV、逻辑错误、整数溢出/不足）

2、移除中级安全性判断标准：

恶意攻击导致的DOS（如攻击者使用过多gas以至对合约造成破坏）
消耗对方的gas fee攻击

具体赏金分配：

1、智能合约和区块链

关键级漏洞：头奖200万美元
高风险漏洞：10万美元

2、网站和应用程序

关键级漏洞：1.5 万美元
高风险漏洞：7500美元

其中关键级智能合约和区块链错误报告的赏金上限为其潜在经济损失的10%，最高达200万美元，最低奖励为10万美元。

赏金将由 Celer Network 团队发放，最终解释权归Celer Network团队所有。

赏金计划重点漏洞列表

以下类型的漏洞在本次赏金计划中将会得到重点关注和奖励：

智能合约/区块链漏洞

可重入漏洞 (Re-entrancy)
逻辑错误包括用户身份验证错误
Solidity/EVM 细节漏洞包括整数上溢/下溢包括未处理异常
信任托付/依赖(Trusting trust/dependency)漏洞包括可组合性(composability)漏洞
先知失效/篡改
新型治理攻击
经济/金融攻击包括闪电贷款攻击
共识失效
加密漏洞签名延展性漏洞易受重放攻击(replay attacks)的漏洞弱随机性漏洞弱加密漏洞

网站/App漏洞

远程代码执行
信任托付/依赖(Trusting trust/dependency)漏洞
垂直越权
XML外部实体注入
SQL注入
LFI/RFI
存储型 XSS
造成影响的反射型 XSS漏洞
造成影响的CSRF漏洞
直接对象引用
内部SSRF
会话固定
不安全的反序列化
DOM XSS
SSL错误配置
SSL/TLS问题 (弱加密、设置不正确)
URL重定向
点击劫持(必须有PoC说明)
误导性的 Unicode 文本(如使用从右到左覆盖的字符)

要获得赏金奖励，上报者必须符合以下条件：

提供cBridge 智能合约或 cBridge 应用程序漏洞报告的 PoC（概念验证）
此外，所有关键和高风险级别的的智能合约漏洞报告需要包含修复建议

关于Immunefi

Immuefi 是世界领先的 DeFi 漏洞赏金和安全服务平台，已成功为超过500 亿美元的用户资金保驾护航，合作过DeFI领域知名公司包括 Polygon、Chainlink、SushiSwap、PancakeSwap、Bancor、Cream Finance、Compound、Alchemix、Nexus Mutual。该公司也支付了软件行业中最重要的漏洞赏金，并开创了可扩展的 DeFi 漏洞赏金标准。了解更多信息，请访 https://Immunefi.com。