如果您认为您发现了 Vega 协议软件(节点、数据节点、钱包等)或网络或项目使用的任何支持系统或代码中的漏洞,请通过电子邮件或网络提交错误报告 - 填写如下所述,以便尽快解决此情况。
Vega的纠错赏金仅限于 Core、Datanode 和所有前端 dApp,包括桌面和托管钱包。
vega.xyz网站或与vega.xyz电子邮件域名相关的任何漏洞都不在范围内。该计划旨在解决对安全性有重大影响的严重漏洞。仅当vega.xyz网站的漏洞演示如何修改网站内容以替换链接,例如,在网站的下载部分上托管恶意软件,链接到不同的GitHub代码仓库,或者在社区部分链接到冒名顶替的Twitter/Discord账户等情况下,才符合资格。特别是,如果任何自动扫描程序报告vega.xyz存在问题,单独这一点并不值得报告。
防止潜在的漏洞被其他人滥用
在问题得到解决或我们与您制定出某种安全且协调的发布方式之前,请不要与其他人分享有关该漏洞的知识。请勿滥用该漏洞。报告漏洞后,我们将与您联系并在2个工作日内安排合理的恢复期,可能的协调漏洞公开以及奖励事宜
奖励资格可能会受到法律因素的限制(例如,不允许向某些国家付款或将资产转移到匿名账户)。我们将尽力找到一种方法来公平地奖励提交者的发现,但可能不会 在任何情况下都能够。此外,滥用漏洞或与第三方共享可能会导致您失去获得任何奖励的资格。
作为一个去中心化系统,我们与运行 Vega 协议的任何验证器完全分开,与特定验证器相关的漏洞应直接向他们报告(不过,如果您认为验证器没有适当响应,请随时告诉我们)。此外 ,如果您刺探验证者(或其云提供商)的系统,我们无法影响验证者(或其云提供商)的反应,因此,如果您以任何令他们不安的方式这样做,我们无法帮助您。为了测试您的发现,请使用单独的协议实例 建议您自己运行。最好的方法是通过 Vega Capsule 工具。
如果您想向 security@vegaprotocol.io 发送加密消息,您可以使用我们的 PGP 密钥,详细信息如下。
对于匿名提交,您可以使用以下形式:
-----BEGIN PGP PUBLIC KEY BLOCK----- mDMEZJBtihYJKwYBBAHaRw8BAQdAnoV3CXhVkzH4SWA9C9t5kQOniW3RLSpYMGKa 4v4TqjO1AVVWZWdhUmVwb3J0IChWZWdhLVByb3RvY29sIFNlY3VyaXR5IElzc3Vl IFJlcG9ydGluZyBrZXkuIFRoaXMga2V5IGlzIG9ubHkgdXNlZCB0byBhbGxvdyBm b3IgZW5jcnlwdGVkIGNvbW11bmljYXRpb24gb24gc2VjdXJpdHkgaXNzdWVzIHdp dGggdGhlIHRlYW0sIGFuZCBpcyBuZXZlciB1c2VkIHRvIHNpZ24gYW55dGhpbmcg bWVhbmluZ2Z1bC4gSXQgYWxzbyBtYXkgYmUgcmV2b2tlZCBhdCBhbnkgdGltZTsg cGxlYWUgY2hlY2sgdGhlIHdlYnNpdGUgYXQgdmVnYS54eXogYXMgdGhlIGF1dGhv cmF0aXZlIHNvdXJjZSBvZiB0aGUgY3VycmVudGx5IHVzZWQga2V5LikgPHNlY3Vy aXR5QHZlZ2EueHl6PoiZBBMWCgBBFiEEDmwoUh14HTF+GTIYbn2QYotPYZMFAmSQ bYoCGwMFCQPCZwAFCwkIBwICIgIGFQoJCAsCBBYCAwECHgcCF4AACgkQbn2QYotP YZNYIwEA1Qu6MZcb5RqotV8dlodFxp9s1CL5jqHO0mq+yvyyUu8BAP1hKuhdTN35 MmAf5jCXD+kCv9UkBAdkJ3Mux7v4+D8KuDgEZJBtihIKKwYBBAGXVQEFAQEHQGop lH9egLg4MU30OINhdDw1nz1N8/Ocw78a/KNi+mUvAwEIB4h+BBgWCgAmFiEEDmwo Uh14HTF+GTIYbn2QYotPYZMFAmSQbYoCGwwFCQPCZwAACgkQbn2QYotPYZPdgAEA gHy/18LW+Yn//ddY6+2hCGhLzGDh5D5jSoLcD8/UGPoBAJezJQFgQuPZ0buIBrSh UGCir7aOk4/aTC1UAg0+8w8F =KKVZ -----END PGP PUBLIC KEY BLOCK-----