Эта программа bug bounty ориентирована на их смарт-контракты и веб-сайт и направлена на предотвращение:Потеря активов, хранящихся в их Радужном мосту
Потеря любых средств пользователя, будь то в состоянии покоя или в движении
Постоянное замораживание средств
Потеря средств управления
Невозможность вызова смарт-контракта
Кражи и замораживание невостребованного дохода любой суммы
Награды по уровню угрозы
Награды распределяются в соответствии с воздействием уязвимости на основе Система классификации серьезности уязвимости Immunefi V2.1 Это упрощенная 5-уровневая шкала с отдельными шкалами для веб-сайтов / приложений и смарт-контрактов, ориентированная на влияние сообщенной уязвимости.Все отчеты об ошибках в веб-приложениях должны иметь PoC с конечным эффектом, влияющим на актив в области действия, чтобы их можно было рассмотреть для получения вознаграждения. Объяснения и заявления не принимаются как PoC и требуется код.Критические уязвимости смарт-контрактов дополнительно ограничены 10% экономического ущерба, что в первую очередь учитывает средства, подверженные риску. В случаях повторяющихся атак рассматривается только первая атака, если смарт-контракт не может быть обновлен или приостановлен. Тем не менее, существует минимальная награда в размере 150 000 долларов США за действительные критические отчеты об ошибках смарт-контрактов.Высокие уязвимости смарт-контрактов будут дополнительно ограничены до 100% затронутых средств. В случае временной заморозки вознаграждение удваивается за каждые дополнительные 5 блоков, которые могут быть временно заморожены, округляется до ближайшего кратного 5, вплоть до жесткого ограничения в размере 100 000 долларов США. Это реализовано для учета повышенного относительного воздействия в зависимости от продолжительности замораживания средств.Все расчеты суммы средств, подверженных риску, производятся на основе времени отправки отчета об ошибке.Критические сообщения об ошибках веб-сайтов и приложений будут вознаграждены 100 000 долларов США только в том случае, если воздействие приведет к прямой потере средств. Все другие воздействия, которые будут классифицированы как критические, будут вознаграждены не более 50 000 долларов США.Выплаты обрабатываются независимой командой финансового аутсорсинга, назначенной DAO resolution из бюджета Bug Bounty. Все платежи производятся на основе разрешения, предоставленного отделом безопасности независимой команде финансового аутсорсинга.Раз в квартал Совету директоров Aurora DAO представляется список выполненных переводов с описанием. Совет директоров утверждает и принимает решение о распределенных фондах Bug Bounty.Все платежи производятся в токенах AURORA. Все платежи с суммой выше $ 100,000 USD (исключая) будут выплачиваться в заблокированных токенах, которые будут выпущены линейно в течение одного года.Aurora DAO оставляет за собой право самостоятельно или с привлечением третьих лиц проводить исследования (KYC) на получателе баунти и / или целевом кошельке и / или делать запросы, относящиеся к этому исследованию.Вне рамок и правил
Следующие уязвимости исключаются из вознаграждений за эту программу bug bounty:Attacks that the reporter has already exploited themselves, leading to damage
Attacks requiring access to leaked keys/credentials
Attacks requiring access to privileged addresses (governance, strategist)
Bugs in dependencies (ex. NEAR Protocol blockchain)
Vulnerabilities (resolved or not) on the Ethereum network (and any other fork of these)
Attacks requiring MITM or physical access to a user's device.
Scanner-generated reports and "Advisory" or "Informational" reports that do not include any Aurora-specific testing or context are ineligible for rewards.
Public Zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis.
Smart Contracts and BlockchainIncorrect data supplied by third party oraclesNot to exclude oracle manipulation/flash loan attacks
Websites and AppsTheoretical vulnerabilities without any proof or demonstration.
Attacks requiring physical access to the victim device.
Attacks requiring access to the local network of the victim.
Reflected plain text injection ex: url parameters, path, etc.
This does not exclude reflected HTML injection with or without javascript
This does not exclude persistent plain text injection
Self-XSS
Captcha bypass using OCR without impact demonstration.
CSRF with no state modifying security impact (ex: logout CSRF)
Missing HTTP Security Headers (such as X-FRAME-OPTIONS) or cookie security flags (such as “httponly”) without demonstration of impact.
Server-side non-confidential information disclosure such as IPs, server names, and most stack traces.
Vulnerabilities used only to enumerate or confirm the existence of users or tenants
Vulnerabilities requiring un-prompted, in-app user actions that are not part of the normal app workflows
Lack of SSL/TLS best practices
DDoS vulnerabilities
Feature requests
Issues related to the frontend without concrete impact and PoC.
Best practices issues without concrete impact and PoC
Vulnerabilities primarily caused by browser/plugin defects
Leakage of non sensitive api keys ex: etherscan, Infura, Alchemy, etc.
Any vulnerability exploit requiring browser bugs for exploitation. ex: CSP bypass
The following activities are prohibited by this bug bounty program:Any testing with mainnet or public testnet contracts; all testing should be done on private testnets
Любое тестирование с ценовыми оракулами или сторонними смарт-контрактами
Попытка фишинга или других атак социальной инженерии против наших сотрудников и / или клиентов
Любое тестирование с использованием сторонних систем и приложений (например, расширений браузера), а также веб-сайтов (например, поставщиков SSO, рекламных сетей)
Любые атаки типа "отказ в обслуживании"
Автоматизированное тестирование сервисов, генерирующих значительные объемы трафика
Публичное раскрытие непатченной уязвимости в баунти, на который наложено эмбарго
Развивайте свой проект на Aurora
Доступ к финансированию, специальная техническая поддержка, помощь в подборе персонала и многое другое.Грантовые возможности: Aurora Labs активно ищет финансирование следующих инициатив.Преимущества программы
Гранты Milestone. Получайте капитал с размерами грантов, присуждаемых на основе качества вашей команды, видения, исполнения и участия сообщества.Введение в VC. Свяжитесь с ведущими венчурными компаниями, которые могут участвовать в последующих раундах финансирования.Техническая поддержка. Получите техническую помощь от знающих и отзывчивых разработчиков Aurora.Recruiting Assistance. Grow your team by accessing an exclusive pool of top engineering and business operations talent.Marketing and Design Help. Tap into an exclusive pool of top engineering and business operations talent.Apply now.Ссылки
