先週の FVM (Filecoin Virtual Machine) マイルストーン M0.5 進捗状況の更新に続いて、Filecoin チームは今週 FVM バグ報奨金プログラムを開始し、FVM マイルストーン M1 コード ベースの脆弱性の発見を支援するためにバグ ハンターとコミュニティ開発者を招待しました。 5月にv16 SkyrにアップグレードされるFilecoinネットワークの一部であるFVM M1のアップグレード。
マイルストーン M1 の一環として、Filecoin ネットワークは徐々に FVM のみに移行します。これは大きな変化です。Filecoin ネットワークは、すべてのクライアント実装について、現在のレガシー仮想マシンから新しい Wasm ベースの FVM に切り替わります。
さらに、次の更新には、Wasm の実行コストを考慮した新しいガス モデルが含まれています。現在の計画では、M1 は Rust の組み込みアクターのみをサポートしていますが、9 月にリリースされたマイルストーン M2 では、真にユーザーがプログラム可能なアクターをサポートする予定です。
これはまったく新しいコードベースであるため、チームが現在注力している主な分野の 1 つは、M1 コードベースを監査して実装の潜在的なバグを見つけるために、より多くの外部開発者を招待することです。さらに、Filecoin コミュニティが FVM 参照実装と更新された Builtin アクター v8 を調査し、個々の方法についてチームにフィードバックを提供する機会が増えることも期待されています。
プログラムを通じてバグ ハンターにインセンティブを与えることに加えて、Filecoin コントリビューター チームのメンバーは最初の内部監査を実施し、外部のセキュリティ専門家による監査も正式に開始されました。同時に、いくつかの強化作業も進行中です。計画によると、FVM はいくつかのマイルストーンに分割され、徐々に Filecoin メインネットに追加されます。
FVM M1 バグ報奨金の対象範囲は?
1. FVM のリファレンス実装 (ref-fvm)
(https://github.com/filecoin-project/ref-fvm)
Filecoin VM のリファレンス実装。
Rust で書かれており、FFI を介して非 Rust クライアントに統合するか、Rust クライアントに直接統合するように設計されています。
2. Lotus: FVM 統合のリファレンス実装
(https://github.com/filecoin-project/lotus/pull/8293)
FFI を介して Ref FVM を Lotus に統合します。
ゴーで書かれています。
*リストされている PR (プル リクエスト) は、コードベースへのエントリ ポイントにすぎませんが、範囲は限定されません。マスターおよびその他のオープン PR の内容を確認してください。
3. ロータス:ファイルコインFFI
(https://github.com/filecoin-project/filecoin-ffi/pull/217)
FFIグルーコード(グルーコード)。
Go と Rust で書かれています。
※上記同様、リンク内のPRはあくまでエントリーですが、範囲はこれに限りません。
4.組み込みアクター
すべての Filecoin クライアントは Rust を使用して、Wasm でコンパイルされたビルトイン アクターを記述します。
Acto 仕様 (https://spec.filecoin.io/systems/filecoin_vm/actor/) とテスト ベクトル (https://github.com/filecoin-project/specs-actors/tree/master/test-vectors) が利用可能役者参考。
Go で記述された実行可能な仕様は、filecoin-project/specs-actors で入手できます。これは、Filecoin ネットワーク pre-FVM を強化します。
*監査参加者は通常、Filecoin ドメインの専門知識を必要とすることに注意してください。
賞と範囲外
FVM チームは、M1 をリリースする前にコードをレビューするために、コミュニティからできるだけ多くの外部の支援を得ることを望んでおり、これらを通じて、特定の既知の領域の修正が発見されました。同時に、チームは Github (https://github.com/filecoin-project/ref-fvm/issues/428) に除外リストをリストしました。これには、以前にリストされた既知の問題が含まれており、定期的に更新されます。このリストでチェックされた地域のみが報奨金の対象となります。
報告されたセキュリティの脆弱性は、影響と可能性に基づいて利用される重大度ベースのバグ報奨金の対象となります。OWASP リスク評価モデルによって計算された以下は、重大度に基づいて報告された問題にポイントを割り当てる方法に関するガイドラインです。
キー: 最大 100,000 ポイント
高:最高50,000 点
中:最高 15,000 点
低: 最大 2,500 ポイント
注: 最大 500 ポイント、現在 1 ポイント = 1 米ドル (米ドル、DAI、または FIL で支払い)。
高品質の記述、テスト コード、スクリプト、詳細な手順、および文書化された修正を提供する報告されたバグに対しても、より高い報酬が与えられます。
コア開発者と貢献者で構成される Filecoin Security Team は、脆弱性の重大性を評価し、独自の裁量で特定の報奨金を割り当てます。
もちろん、FVM M1 バグの報告に対する報酬は、Filecoin セキュリティ プログラムの通常のバグ報奨金と同じです。通常の Filecoin セキュリティ プランのルールでも、範囲外を含め、このバウンティ ルールが使用されます。
Filecoin クライアント実装 (Lotus、Venus、Forest、Fuhon) と Filecoin Proofs ライブラリのバグは、通常の Filecoin セキュリティ プログラムの範囲と報酬の範囲内です。以前の Filecoin 監査は、Filecoin Specs (https://spec.filecoin.io/appendix/audit_reports/) の監査セクションにあります。
テストツール
クロスノードの相互運用性テストをサポートする Filecoin テスト ベクトルに基づいて、FVM テスト ベクトルは FVM に固有であり、全体としてテストします。専任のコミュニティ開発チームは、FVM の正確性をテストするための統合テスト フレームワークも開発しています。FVM のさまざまなコンポーネントもファジングされます。
バグを報告する
脆弱性を報告するには、報奨金について [email protected] に連絡してください。ここ (https://security.filecoin.io/#vulnerability-reporting) で説明されている機密性レポートのガイドラインを使用できます。FVM バグ報奨金プログラムは、Gitcoin に投稿したり、ImmuneFi で共有したりすることもできます。
*Slack や Twitter などの公共の場所で公開質問を送信したり、バグについて話し合ったりしないでください。報酬を受け取る資格がありません。
未来を見据えて
チームは、5 月末までに、既存の開発者コミュニティと新しい外部開発者が FVM M1 のさまざまな潜在的な脆弱性を発見するのを支援できるようになり、その後のマイルストーンである FVM M2 によってユーザー プログラマビリティと EVM 互換性が事前に追加されることを期待しています。
これは、Filecoin プロトコルに最も期待されている追加機能の 1 つです。アクターをカスタマイズすることで、開発者は Filecoin をプログラマブル ストレージから DeFi、DAO、サブスクリプション、保険など、本当に幅広い潜在的なユース ケースに活用して可能性を広げることができます。詳細については、FVM Web サイト (https://fvm.filecoin.io/) にアクセスしてください。
M2 リリースの準備として、FVM チームは、7 月に予定されている M2 コードベースに対して、より多くのセキュリティ監査とバグ報奨金の別のラウンドを開始する可能性があります。同時に、開発者のワークフロー、ツール、初期の dapps など、FVM ファウンドリー プログラムを通じて初期のビルダーに初期の FVM を提供するよう、さまざまなタイプの開発者も招待されています。
この夏の FVM バグ報奨金にご期待ください!