Bug級別與獎勵

智能合約

關鍵：10萬美元

高：5萬美元

中：1萬美元

低：1千美元

網站和應用程序

關鍵：10萬美元

高：2萬美元

中：2千美元

低：1千美元

重點領域

• 操縱治理投票結果

• 永久凍結資金

• 直接竊取用戶資金，無論是鎖倉還是流動資金

• 礦工可提取值（MEV）

• 協議破產

• 竊取無人認領的收益

• 永久凍結無人認領的收益

• 短時凍結資金至少24小時

• 通過區塊填充攻擊（Block Stuffing）獲利

• 代幣不足導致智能合約無法運行

• 塊餡牟利

• 投訴（例如，攻擊者沒有利潤動機，但對用戶或協議造成損害）

• 無限制的Gas消耗

• 竊取Gas

• 代幣價值尚存，但智能合約無法提供承諾的回報

網站和應用程序

• 執行任意系統命令

• 從正在運行的服務器中檢索敏感數據/文件，例如 /etc/shadow、數據庫密碼和區塊鏈密鑰，不包括非敏感環境變量、開源代碼或用戶名

• 關閉應用程序/網站

• 在某用戶沒有進行任何交互時，代表該用戶進行狀態修改認證操作（無論是否進行區塊鏈狀態交互），例如更改註冊信息、評論、投票、交易、提款等

• 與已連接的錢包進行惡意交互，例如修改交易記錄或參數、替換合約地址、提交惡意交易等

• 利用已連接錢包的交互接管子域

• 直接竊取用戶資金

• 在沒有Javascript的情況下永久性注入/修改目標應用程序上的靜態內容，例如沒有Javascript的HTML輸入、用任意文本替換現有文本、任意文件上傳等。

• 更改其他用戶的敏感詳細信息，包括修改瀏覽器本地存儲，用戶的電子郵件或密碼等，無需已連接的錢包交互或單進行一次用戶交互

• 在未連接錢包進行交互的情況下接管子域

• 無正當理由洩露用戶機密信息，如電子郵件地址、電話號碼、物理地址等。

• 更改其他用戶的非敏感詳細信息，包括修改瀏覽器本地存儲，更改用戶的姓名/姓氏或啓用/禁用通知，無需已連接的錢包交互或單進行一次用戶交互。

• 在沒有Javascript的情況下反射性注入/修改目標應用程序上的靜態內容，例如反射性HTML注入或加載外部站點數據

• 將用戶重定向到惡意網站（打開重定向）