Hermez 漏洞赏金计划启动

在主网启动前提高协议的安全性是 Hermez 团队的首要任务之一。

这就是为什么在2020年底，我们与独立团队进行了两次安全审计。

第一个是与Solidified合作，第二个是与Trail of Bits合作，关于Hermez智能合约和电路（circuit），这些合约和电路已经在他们的存储库里发布。

我们对这两个团队的审计表示非常感谢 ，因为他们让我们在发布之前提高了协议的安全性。

现在，我们想更进一步，推出 Hermez 漏洞赏金计划。我们欢迎白帽黑客、密码学专家和网络安全专家帮助我们进一步改进。

TL;DR

所有提交的赏金都由 Hermez 团队进行评级，并根据漏洞评级进行奖励。所有的支付将以 ETH 进行，并定义为以下准则。

• 赏金猎人必须填写此表格进行注册，提供一个 ETH 地址以接收奖励。
• 有关协议的预期行为的信息可在 docs.hermez.io上获得。
• 所有的漏洞报告必须在 bugbounty@hermez.network。
• 要求付费以换取漏洞细节，将导致赏金奖励的资格立即丧失。
• 如果您的发现无足轻重，您的报告将没有资格获得赔付。您必须提供一份详细的报告，其中包括重现您的发现的所有必要步骤。
• 奖励的定义如下。Hermez 保留修改奖励范围的权利。

奖励政策

Hermez 同意不对遵循所有公布的 Hermez 漏洞赏金计划 政策进行的安全研究采取法律行动， 包括善意和意外违规行为 。

我们不会对研究人员规避我们用于保护赏金计划计划范围内的应用程序的技术措施提出索赔。

如果您想参与漏洞赏金， 请先填写此表格，然后再进行可能与政策不一致或未解决的行为。

在适用范围内：

以下属性属于赏金计划的范围。

漏洞级别：

严重

关键的严重性问题给我们的广大用户或 Hermez 本身带来了直接的风险，留下窃取资金的隐患。它们通常会影响到我们的一个应用程序堆栈或基础设施中相对较低级或者基础性的组件。

案例：

• 存储一个恶意的 state root.。
• 绕过zkSNARK prover。
• Poseidon哈希函数中断。

重大

严重性高的问题，让攻击者能够以资金锁定或导致网络停止或严重故障的形式伤害用户，以及其他可能导致紧急智能合约或电路升级的问题。

案例：

保证出价不会对协调人进行任何DoS。
可能对拍卖进行前置攻击。
通过L1交易对协调器进行拒绝服务（DoS）。

次要

次要严重性问题包括影响较小的错误，但仍可能对用户造成危害。

不合格

我们不感兴趣的报告包括：

• 由第三方托管的网站上的漏洞，除非它们导致主网站上的漏洞。Hermez博客（blog.hermez.io）上的漏洞和错误。
• 物理攻击、社会工程、垃圾邮件、DDOS攻击等带来的漏洞。
• 影响过时或未打补丁的浏览器的漏洞。
• 使用 Hermez API 的第三方应用程序存在的漏洞。
• 漏洞没有经过负责任的调查和报告。
• 我们已知的漏洞，或已经被其他人报告的漏洞（此赏金将在多平台公布，奖励给第一个报告者，无论哪一个）。
• 不可重现的问题。
• 需要用户进行不可能的交互的漏洞。
• 在移动端需要root或越狱的漏洞。
• 缺少安全头文件，但没有可利用性的证明。
• 关于最佳实践的建议。
• 软件版本披露。
• 任何没有附带概念利用证明的报告。
• 我们无法合理预期的问题。
• 自动化工具/扫描器的输出。
• 没有任何安全影响的问题。

非安全问题

您可以通过 support@hermez.network 告诉我们有关非安全问题的信息。

奖励

Hermez渴望与社区合作，确保根据漏洞对业务的影响和总体严重程度，公平地奖励每个研究人员的研究成果。为此，特别严重的问题或具有极端影响的问题有可能获得最高 100 ETH 的奖励。

提交说明

1）您必须在参与漏洞赏金活动前填写该表格进行预注册。

2) 发送电子邮件到 bugbounty@hermez.network，主题为“Hermez Network Exploit Submission”。”Hermez Network Exploit Submission” ，并附加漏洞严重性等级（Critical/Major/Minor）。

3) 在您的电子邮件中提供一个概念证明和漏洞演示。

4）Hermez 团队将回复以进入下一步骤。

如果问题很严重，需要立即关注，请发邮件说明 “Severe Hermez Network Exploit”。

奖励将以 ETH 支付。

提前感谢您为改善 Hermez 网络安全所做的努力！

我们将在 Twitter 和 Discord 上分享最新的漏洞赏金发现。

本文为 Hermez 原创，由 DAppChaser 支持翻译，如需转载译文，请事先征求同意并注明出处。