漏洞悬赏
概述
Universe 始终把平台安全看作重中之重。
为了保证平台的安全,我们已经实施了多项严格的安全措施:
机构级安全防护产品:Pravite Valut
多重技术手段:白名单KYC机制、EOA机制等
权威机构安全审计:Certik、Peckshield
这使得Universe自上线以来,一直安全运行。
为了能最大限度的提高产品安全性,加强对代码的监控,我们推出了漏洞赏金计划。如果您在使用产品的过程中,发现Universe的安全漏洞,我们恳切的希望您可以告知我们。针对合约漏洞的严重程度,我们将参考CVSS风险评级量表进行评估,并根据评估结果支付给您丰厚的奖励。
适用范围
该方案的范围最初将仅限于Universe的核心合约,发现的任何会导致储备资金耗尽的错误都在范围内。
以下不在计划范围内:
与 Universe 交互的任何第三方合约或平台中的错误;
第三方在 Universe 上构建的合约中已经报告和/或发现的漏洞;
任何已经报告的错误;
因发生以下任何活动而产生的漏洞:前端错误、DDOS 攻击、垃圾邮件、网络钓鱼、自动化工具、损害或滥用第三方系统或服务。
奖励
合约漏洞的严重程度将参考CVSS风险评级量表进行评估,如下所示:
等级 | UNT 奖励 |
严重(9.0-10.0) | 最高$80,000 UNT |
高(7.0-8.9) | 最高$60,000 UNT |
中(4.0-6.9) | 最高$20,000 UNT |
低(0.1-3.9) | 最高$8,000 UNT |
除了评估严重性外,还将根据发现的漏洞的影响以及发现此类漏洞的难度级别来考虑奖励。
披露
发现的任何漏洞或错误必须仅报告给以下电子邮件:team@universe.finance。
在 Universe 得到通知、解决问题并授予公开披露许可之前,不得公开披露或向任何其他人、实体或电子邮件地址披露该漏洞。
漏洞的详细报告增加了奖励的可能性,并可能增加奖励金额。请提供尽可能多的漏洞信息,包括:
重现错误的条件是视情况而定的。
重现错误所需的步骤,或者最好是概念证明。
漏洞被滥用的潜在影响。
一旦我们收到您的报告,我们承诺会做以下事情:
在 5 个工作日内回复您的报告。
严格保密您的报告。
为您提供有关提交状态的进度和报告问题的解决方案的最新信息。
除非您另有意愿,否则该问题将命名您为成功的赏金猎人,以答谢您。
根据之前的规则为您提供适当的奖励,以感谢您帮助我们使Universe尽可能安全!
资格
要获得本计划的奖励,您必须:
发现一个以前未报告的非公开漏洞,该漏洞将导致Universe 上的任何 资产丢失和/或锁定(但不会在与 Universe 交互的任何第三方平台上),属于本计划范围。
根据上述披露要求,率先向team@universe.finance披露独特的漏洞。如果在同一 24 小时内报告了类似的漏洞,Universe Finance将酌情分配奖励。
提供足够的信息,使我们的工程师能够重现和修复漏洞。
在向team@universe.finance披露错误时,不得从事任何非法行为,包括通过威胁、要求或任何其他强制手段。
不得以任何方式利用漏洞,包括通过公开或获取利润(本计划下的奖励除外)。
真诚地努力避免 Universe 的隐私侵犯、数据破坏、中断或降级。
每次提交仅提交一个漏洞,除非您需要链接漏洞以提供对任何漏洞的影响。
不提交与已支付奖励问题相同的潜在问题引起的漏洞。
遵守该计划的所有资格要求。
Last updated