Mysten Labs欢迎安全研究人员和公众参与漏洞赏金计划,为Sui钱包提供反馈,以帮助改善其安全性。
如果您认为自己发现了下文范围内的任何资产中的漏洞、隐私问题、暴露的数据或其他安全问题,希望您能及时向Mysten Labs反馈。以下政策概述了向Mysten Labs报告漏洞的步骤、他们的期望以及您可以从他们那里获得的反馈。
范围
我们强烈建议您专注可能会实质性影响用户信息或资金保密性、完整性或可用性的漏洞。所有报告应附上有效的概念验证(proof of concept,PoC)和详细的复制步骤,才能被视为有效。请在测试网络上测试攻击,以评估对象是否可以发生状态更改。
不属于的范围
以下组件和漏洞类型被视为不在此计划范围内:
- Sui Explorer:Sui Explorer中的漏洞,包括前端和智能合约组件
- SuiFrens:包括网站、基础架构和智能合约
- SuiNS:包括网站、基础架构和智能合约
- Sui Kiosk和Kiosk扩展:实施版税和其他执行的代
- 第三方集成:与Mysten Labs没有直接控制的服务、平台、库或其他组件相关的漏洞
- 物理安全性:需要访问用户设备或数据中心的漏洞
- 网络钓鱼:社会工程攻击,如网络钓鱼、电话网络钓鱼或任何其他操纵技巧
- 拒绝服务(Denial of Service,DoS)攻击:尽管我们意识到DoS攻击的潜在可能性,但我们关注的是可能导致未经授权访问或数据泄漏的漏洞,因此DoS攻击不在范围内
- 特定版本的漏洞:仅存在于我们产品、智能合约或钱包扩展的过时版本中的漏洞
- 点击劫持:用户界面劫持攻击,也称为点击劫持
- 未遵守“最佳实践”或建议:例如CWE-200,除非提供了切实可行的具体攻击方案
- 跨域XSS:跨站点脚本(Self-Cross-Site Scripting)漏洞
- 缺少HTTP安全标头:除非您能够证明存在具体的安全风险,否则将视为不在范围内并予以驳回
- 过期的SSL证书
- 需要中间人攻击或物理访问用户设备的攻击
- 钓鱼攻击
- 不太可能需要用户交互的问题(例如将其助记词输入到表单中)
- 打开重定向:除非可以演示附加的安全影响
- 员工或最近雇佣的审计人员提交的任何报告
- 任何Alpha/Beta功能
- 先前报告或下文所述的已知安全问题
- zkLogin功能
规则与奖励
负责披露
如果您发现安全漏洞,请在公开披露之前通过以下方式单独向我们提交。如果漏洞首先被公开披露了,将不会授予奖励。
不干扰
研究人员不应干扰我们的服务,并应最大程度减小其测试对我们的用户和系统的影响。
不伤害
研究人员不得利用漏洞访问、修改、损害或泄漏不属于他们的数据。
避免危害隐私
测试不应危害任何个人或实体的隐私。
为了维护完整性、避免潜在的利益冲突,并确保有效的漏洞赏金/审计计划,适用以下限制:
- Mysten Labs和Sui基金会的现任员工、供应商(审计员)、合作伙伴和承包商无权参加该计划
- 曾在Mysten Labs和Sui基金会工作但已停止与上述实体合作的前员工和供应商必须在离职的最后一天起等待6个月,然后才有资格参加该计划
- 受制裁的个人和/或组织无权参加该计划
这些限制旨在确保该计划的客观性,并防止潜在的利益冲突。
如何提交疑似漏洞
请发送电子邮件至[email protected],其中包括以下信息:
- 详细的复现漏洞步骤
- 漏洞可能造成的影响
- 可能的修复方案
请注意,提交要求可能会不时更新。
SLAs(服务级别协议)和奖励
网站和钱包
我们对钱包和网站的奖励是基于常见漏洞评分标准的严重性而定的。请注意,这些只是一般指南,奖励决策将受到Mysten Labs自行决定的权力制约。Mysten Labs可能会更改或修改奖励金额或类型,并可能取消或重新分配任何参与者所获得的奖励,或选择出于任何原因不向任何参与者提供任何奖励。奖励的分发将遵循Mysten Labs制定的奖励决策,并将受到成功完成KYC流程的限制。
支付将以$SUI计价,美国公民将获得以USD计价的奖励。
KYC验证
在验证了报告的漏洞后,我们将通知您奖励金额。奖金将在我们进行KYC程序后进行处理。请注意,所有有资格获得奖励的研究人员都将需要通过我们的KYC流程。
KYC流程是为了防止欺诈活动并遵守国际法规而必要的。我们确保在此过程中收集的所有个人信息都将被安全存储,并仅用于KYC流程的目的。
在KYC流程中,您可能会被要求提供以下信息:
- 政府颁发的身份证明文件(护照、国民身份证或驾驶执照)
- 地址证明(水电费单、银行对账单或任何显示您的全名和地址的官方文件)
未能成功通过KYC流程将导致奖金流失。感谢您在此事宜上的理解和合作。
安全政策
在进行漏洞研究时,我们认为仅在本计划下进行的研究应当是:
- 在适用的反黑客法律下是授权的,我们不会因您的意外、善意行为(否则构成黑客行为)而对您提起或支持法律诉讼
- 在适用的反规避法律下是授权的,我们不会因您规避我们的技术控制而对您提出索赔
- 不受我们服务条款(Terms of Service,TOS)中可能干扰安全研究的任何限制的约束,我们在一定程度上放弃了这些限制
- 合法的,有助于互联网的整体安全,并以善意进行
正如往常一样,您需要遵守所有适用的法律。
如果您在任何时候担心或不确定您的安全研究是否与这些条款一致,请通过 [email protected]与我们联系以获取进一步指导。
请注意,本节仅适用于Mysten Labs提出的法律索赔,并不约束独立的第三方或执法机关。
详细的范围和影响
在钱包范围内的影响
- 在钱包内被冻结或锁定的资金,且无法恢复
- 资金被攻击者通过泄露助记词或在访问网页时的特定交易而窃取
- 使用应用程序中的现有流程,使整个账户组无法恢复
在网站范围内的影响
致谢
一旦提交的内容经过验证,如果他们选择公开他们的姓名(或昵称),Mysten Labs将公开参与者的身份。否则,将参与者列为匿名。
关于 Sui Network
Sui是基于第一原理重新设计和构建而成的L1公有链,旨在为创作者和开发者提供能够承载Web3中下一个十亿用户的开发平台。Sui上的应用基于Move智能合约语言,并具有水平可扩展性,让开发者能够快速且低成本支持广泛的应用开发。获取更多信息:https://linktr.ee/sui_apac