TokenCore 开源漏洞奖励计划

TokenCore 简介

TokenCore 是一个实现了区块链数字钱包基本功能的跨平台开源库,使用 Protobuf 对外输出 C 类接口。本开源库使用 Rust 撰写,现在已经友好地提供接口来支持 ReactNative、iOS 和 Android 手机系统或平台。

imToken 使用了 TokenCore 库来做底层原生功能及用户交互接口。

如果你刚刚知道 imToken,提交漏洞报告前请先访问我们的产品帮助中心

漏洞奖励范围

漏洞奖励计划仅限于 TokenCore 开源代码的代码审计,GitHub 仓库:https://github.com/consenlabs/token-core

以下是我们重点关注的内容:

  • 可以窃取或导致资产损失的漏洞
  • 算法实现上的缺陷,包括 Keystore, Wallet Generation, Transaction Signature 等
  • 和链相关的逻辑代码漏洞
  • 钱包应用层的漏洞
  • App 拒绝服务漏洞,如可能导致 App 崩溃等
  • 不安全或不标准的代码实现
  • 有关引用的第三方库的漏洞消息

以下不在奖励范围内:

  • 任何不在此开源库的内容
  • 不能导致此开源库缺陷的第三方库漏洞
  • 示例代码中的漏洞

另外已经报告过的漏洞也不在奖励范围内。

漏洞等级划分

漏洞的等级评定基于 CVSS (Common Vulnerability Scoring Standard, https://www.first.org/cvss)。以下是漏洞等级及奖励标准:

漏洞等级 最高奖励
高危 (CVSS 9.0 - 10.0) 5000 - 10000 USDT
高 (CVSS 6.0 - 8.9) 1000 - 5000 USDT
中 (CVSS 4.0 - 5.9) 500 - 1000 USDT
低 (CVSS 0.1 - 3.9) 0 - 500 USDT

我们通过以太坊上的 USDT 代币 ( Tether USD ) 来发放奖励,所以提交漏洞时请一并附上你的以太坊钱包地址。

如何提交漏洞

  • 发送漏洞内容至邮件: sec@token.im

  • 漏洞内容需包含:

    1. 漏洞标题及漏洞等级(自评)
    2. 漏洞描述
    3. PoC (如示例代码,截图,视频)
    4. 漏洞修复方案(选填)
    5. 用于接收奖励的以太坊地址
  • 漏洞通常会在两个工作日内被确定或忽略。在确定漏洞和漏洞评级后,奖励将在两周内发放到你的以太坊钱包地址。

  • 请不要提前公开提交的内容,应由我们 imToken 来决定何时公开。

11 Likes

没那本事,这钱挣不了:grin:

1 Like

闲了试试

多希望我是黑客高手:grinning:

热门链接中的github链接后面多了个句号,会导致跳转失败,建议修改下

流下了没有技术的眼泪!

多谢提醒,已修改。

1 Like

没那本事,这钱挣不了,哈哈

不过,很多骗子资金盘都喜欢搭配imToken
+eth,为什么?

2 Likes

因為imToken支援多種ERC20代幣
中文化且知名度夠?

1 Like

!知识不够,没法操作

奖励不是很高啊,一般般吧!

只有眼红的份了

活动给力

可惜不懂那玩意

希望官方多来一点活动

怎么得这个币

Hi

太难了