🔫漏洞獎勵
Magpie Bug 賞金
Bug級別與獎勵
智能合約
關鍵:10萬美元
高:5萬美元
中:1萬美元
低:1千美元
網站和應用程序
關鍵:10萬美元
高:2萬美元
中:2千美元
低:1千美元
重點領域
操縱治理投票結果
永久凍結資金
直接竊取用戶資金,無論是鎖倉還是流動資金
礦工可提取值(MEV)
協議破產
竊取無人認領的收益
永久凍結無人認領的收益
短時凍結資金至少24小時
通過區塊填充攻擊(Block Stuffing)獲利
代幣不足導致智能合約無法運行
塊餡牟利
投訴(例如,攻擊者沒有利潤動機,但對用戶或協議造成損害)
無限制的Gas消耗
竊取Gas
代幣價值尚存,但智能合約無法提供承諾的回報
網站和應用程序
執行任意系統命令
從正在運行的服務器中檢索敏感數據/文件,例如 /etc/shadow、數據庫密碼和區塊鏈密鑰,不包括非敏感環境變量、開源代碼或用戶名
關閉應用程序/網站
在某用戶沒有進行任何交互時,代表該用戶進行狀態修改認證操作(無論是否進行區塊鏈狀態交互),例如更改註冊信息、評論、投票、交易、提款等
與已連接的錢包進行惡意交互,例如修改交易記錄或參數、替換合約地址、提交惡意交易等
利用已連接錢包的交互接管子域
直接竊取用戶資金
在沒有Javascript的情況下永久性注入/修改目標應用程序上的靜態內容,例如沒有Javascript的HTML輸入、用任意文本替換現有文本、任意文件上傳等。
更改其他用戶的敏感詳細信息,包括修改瀏覽器本地存儲,用戶的電子郵件或密碼等,無需已連接的錢包交互或單進行一次用戶交互
在未連接錢包進行交互的情況下接管子域
無正當理由洩露用戶機密信息,如電子郵件地址、電話號碼、物理地址等。
更改其他用戶的非敏感詳細信息,包括修改瀏覽器本地存儲,更改用戶的姓名/姓氏或啓用/禁用通知,無需已連接的錢包交互或單進行一次用戶交互。
在沒有Javascript的情況下反射性注入/修改目標應用程序上的靜態內容,例如反射性HTML注入或加載外部站點數據
將用戶重定向到惡意網站(打開重定向)
Last updated