尊敬的BitVenus用户:Bitvenus致力于向客户提供安全可靠的加密货币交易服务。我们意识到即使最完善的系统也可能存在漏洞,因此我们启动了漏洞赏金计划。我们希望通过悬赏的方式鼓励黑客检测并报告平台的安全问题,以便我们能够快速解决这些问题,防止任何恶意攻击。我们的漏洞赏金计划对任何发现我们软件产品漏洞的人开放。我们将提供一定金额的奖金作为对符合条件的漏洞报告的奖励,奖金金额将取决于问题的严重程度和报告的质量。最低奖励为50美元,最高奖励为5000美元。我们还将在得到研究人员允许的情况下,在我们的网站上公开他们报告的符合条件的漏洞的信息。?赏金等级:
安全等级奖金范围严重$1,500-$5,000高级$800-$1,400中级$300-$700低级$50-$200?检测范围:
Maker DAO批准在DeFi协议Yearn Finance上部署1亿美元的USDC:金色财经报道,去中心化金融(DeFi)巨头Maker DAO的社区周一批准了一项提议,从其在DeFi协议Yearn Finance上的储备中部署高达1亿美元的稳定币(USDC),存放的稳定币将在其中获得收益。(Coindesk)[2023/1/24 11:27:53]
目标类型奖励形式https://www.bitvenu.meWebUSDT奖金https://www.bitvenu.meAndroid&IOSUSDT奖金??我们将会对发现以下范围漏洞的黑客进行奖赏:
业务逻辑问题支付操纵远程代码执行注入漏洞文件包含访问控制问题敏感信息泄露服务器端请求伪造跨站请求伪造跨站脚本攻击目录遍历其他具有明显潜在损失的漏洞以下漏洞不在悬赏范围内:
MakerDAO已拨款5亿枚DAI,其中80%购买美国国债20%购买公司债券:10月6日消息,稳定币发行机构MakerDAO已拨款5亿枚DAI用于投资美国短期国债和公司债券,其中80%将购买美国短期国债,其余20%将购买投资级公司债券。
此前报道,MakerDAO在推特公布近几个月有关MakerDAO收入多元化的多项提案进展,其中有关流动债券策略与执行的MIP65提案以71.19%的投票率通过。(CoinDesk)[2022/10/6 18:41:12]
在以下范围内发现的漏洞,除非它们对业务构成严重威胁,否则不太可能获得奖励:一、WEB端第三方应用程序中的漏洞不属于公司的资产最佳实践问题最近公开的0天漏洞影响使用过时浏览器或平台的用户的漏洞社交工程、网络钓鱼、物理或其他欺诈活动没有利用证明的公开可访问的登录面板声明软件已过期/存在漏洞但没有提供概念证明的报告扫描器或任何自动化或主动利用工具生成的报告涉及网络浏览器插件等主动内容的漏洞大多数没有明显影响的暴力破解问题拒绝服务理论问题中度敏感信息披露垃圾邮件缺失的HTTP安全标头基础设施漏洞,包括:证书/TLS/SSL相关问题;DNS问题;服务器配置问题开放式重定向会话固定用户帐户枚举点击劫持和仅通过点击劫持/点击劫持可利用的问题描述性错误消息无法用于利用其他用户的自我XSS登录和注销CSRF弱Captcha/Captcha绕过通过登录/忘记密码页面错误消息枚举用户名/电子邮件匿名用户可以访问的表单中的CSRF启用OPTIONS/TRACEHTTP方法主机标头问题,没有漏洞演示证明内容和文本注入问题,没有显示攻击向量/无法修改HTML/CSS内容,没有嵌入链接/HTML反射式文件下载混合HTTP内容HTTPS混合内容脚本重置令牌的操纵中间人攻击和本地攻击?二、移动应用需要物理访问用户设备的攻击需要root/jailbreak的漏洞需要大量用户交互的漏洞设备上非敏感数据的曝光二进制文件的静态分析报告没有影响业务逻辑的PoC缺乏混淆/二进制保护/root检测绕过在已root设备上的证书锁定缺乏利用缓解措施,例如PIE、ARC或堆栈维护在受TLS保护的URL/请求正文中的敏感数据二进制文件中的路径泄露在IPA、APK中硬编码/可恢复的OAuth和应用程序密钥设备内存中保留为明文的敏感信息由于格式不正确的URL方案或发送到导出的Activity/Service/BroadcastReceiver的Intent导致崩溃存储在应用程序私有目录中的任何敏感数据利用诸如Frida/Appmon之类的工具进行运行时黑客攻击通过系统剪贴板泄露的共享链接任何因恶意应用程序获得查看打开的URI权限而泄露的URI。暴露API密钥但没有安全影响漏洞赏金计划规则
MakerDAO发起有关增加债务上限和基本费率等投票:据官方博客消息,Maker Foundation智能合约团队已将执行投票纳入投票系统。如果该执行建议通过,将进行以下调整:1.将USDC-A债务上限从4亿增加到4.85亿;2.将TUSD-A债务上限从5000万增加到1.35亿;3.将PAX-A债务上限从3000万增加到6000万;4.将BAT-A债务上限从500万增加到1000万。5.在ETHUSD Medianizer Oracle上将Kyber列入白名单;6.在BTCUSD Medianizer Oracle上将DDEX列入白名单;7.在ETHUSD Medianizer Oracle for Opyn上将ETHUSD v1 Medianizer Oracle列入白名单;8.在BTCUSD OSM Oracle上将yEarn Finance列入白名单;9.将基本费率参数从0%增加到0.25%;10.将ETH-A风险溢价从0%增加到2%。[2020/9/26]
避免使用网络应用程序扫描器进行自动漏洞搜索,以避免产生大量流量努力不要损坏或限制产品、服务或基础设施的可用性避免危害任何个人数据,不中断或降低任何服务的质量不要访问或修改其他用户数据,将所有测试局限于自己的帐户仅在范围内执行测试不要利用任何DoS/DDoS漏洞、社交工程攻击或垃圾邮件不要使用自动扫描仪垃圾邮件表单或账户创建流程如果发现连锁漏洞,我们只会支付最高严重性的漏洞。不要违法行为,保持在定义的范围内未经适当许可,不得向任何不是Bitvenus团队或该公司授权员工的人员通报发现的漏洞的任何细节。漏洞提交指南
未经组织明确同意,不要在计划外部讨论该计划或任何漏洞。暂不允许进行漏洞披露,包括部分披露。请不要发布/讨论漏洞。资格和协调披露我们很高兴感谢提交有效报告帮助我们提高安全性的每个人。但是,只有符合以下资格要求的报告者才有资格获得货币奖励:您必须是漏洞的首次报告者。漏洞必须是符合资格的漏洞。发现的任何漏洞必须在发现后不迟于24小时内通过进行报告,并且仅限于此渠道。您必须发送一个清晰的文本描述报告,包括详细的复现步骤,包括必要的附件,如屏幕截图或概念验证代码。您不得是我们或其承包商的前任或现任员工。提供详细但简明的复现步骤。我们非常重视安全,并感谢您为改进我们产品的安全性所做的任何努力。感谢您协助使我们的产品更加安全。?感谢您对Bitvenus支持!
Bitvenus团队
Telegram中文群:https://t.me/bitVenusCN
Twitter:?https://twitter.com/bit_venus
官方邮箱:?
Discord:https://discord.gg/g5m4aeyB8j
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。