TokenCore 简介
TokenCore 是一个实现了区块链数字钱包基本功能的跨平台开源库,使用 Protobuf 对外输出 C 类接口。本开源库使用 Rust 撰写,现在已经友好地提供接口来支持 ReactNative、iOS 和 Android 手机系统或平台。
imToken 使用了 TokenCore 库来做底层原生功能及用户交互接口。
如果你刚刚知道 imToken,提交漏洞报告前请先访问我们的产品帮助中心。
漏洞奖励范围
漏洞奖励计划仅限于 TokenCore 开源代码的代码审计,GitHub 仓库:GitHub - consenlabs/token-core: Next generation core inside imToken Wallet. 。
以下是我们重点关注的内容:
- 可以窃取或导致资产损失的漏洞
- 算法实现上的缺陷,包括 Keystore, Wallet Generation, Transaction Signature 等
- 和链相关的逻辑代码漏洞
- 钱包应用层的漏洞
- App 拒绝服务漏洞,如可能导致 App 崩溃等
- 不安全或不标准的代码实现
- 有关引用的第三方库的漏洞消息
以下不在奖励范围内:
- 任何不在此开源库的内容
- 不能导致此开源库缺陷的第三方库漏洞
- 示例代码中的漏洞
另外已经报告过的漏洞也不在奖励范围内。
漏洞等级划分
漏洞的等级评定基于 CVSS (Common Vulnerability Scoring Standard, https://www.first.org/cvss)。以下是漏洞等级及奖励标准:
| 漏洞等级 | 最高奖励 |
|---|---|
| 高危 (CVSS 9.0 - 10.0) | 5000 - 10000 USDT |
| 高 (CVSS 6.0 - 8.9) | 1000 - 5000 USDT |
| 中 (CVSS 4.0 - 5.9) | 500 - 1000 USDT |
| 低 (CVSS 0.1 - 3.9) | 0 - 500 USDT |
我们通过以太坊上的 USDT 代币 ( Tether USD ) 来发放奖励,所以提交漏洞时请一并附上你的以太坊钱包地址。
如何提交漏洞
-
发送漏洞内容至邮件: [email protected]
-
漏洞内容需包含:
- 漏洞标题及漏洞等级(自评)
- 漏洞描述
- PoC (如示例代码,截图,视频)
- 漏洞修复方案(选填)
- 用于接收奖励的以太坊地址
-
漏洞通常会在两个工作日内被确定或忽略。在确定漏洞和漏洞评级后,奖励将在两周内发放到你的以太坊钱包地址。
-
请不要提前公开提交的内容,应由我们 imToken 来决定何时公开。
