Rooch Network 的首个漏洞赏金计划得到了各领域开发者和安全专家的积极参与。在他们的支持下，Rooch 成功修复了已发现的漏洞，增强了网络的安全性和稳定性。

基于第一阶段的积极响应和宝贵经验，随着 Rooch Network 预主网的临近，我们正在启动第二阶段的 bug 赏金阶段。我们热忱邀请全球开发者和安全专家与我们一起识别和解决潜在的安全漏洞。奖励池仍保持在令人印象深刻的 200,000 美元——期待您的积极参与！

漏洞类型及奖励

高危漏洞（一等奖）

1. 造币、铸币漏洞：调用系统合约造币或铸币的能力。
2. 权限提升：获得系统账户的权限并执行任意交易。
3. Move Verifier 绕过：绕过 Move Verifier 的一个或多个检查，进行不当部署和交易执行。
4. 私有泛型绕过：绕过 private_generics 属性检查。
5. 数据结构绕过：绕过 data_struct 属性检查。
6. 借用限制绕过：在 borrow_object 时绕过只能有一个 mut 借用的限制。
7. 字节码指令滥用：在字节码中使用 Move 内置指令并进行不当交易。
8. 交易验证绕过：绕过交易的 Validator 检查。
9. Gas 费问题：不支付 Gas 费执行交易。
10. 网络分叉：引发网络分叉的行为。
11. 交易伪造和重放：伪造或重放交易。

中危漏洞（二等奖）

1. 节点崩溃（BTC 交易）：构造特殊的 BTC 交易导致节点进程崩溃。
2. SessionKey 绕过：绕过 SessionKey 的安全限制。
3. RPC 接口崩溃：通过 RPC 接口提交特殊格式的交易导致节点进程崩溃。
4. 合约漏洞：GasMarket、GasFaucet、GrowBitcoin 合约中的鉴权和逻辑漏洞
5. Oracle 数据安全：BTC Price Oracle 合约中的数据错误和女巫攻击

低危漏洞（三等奖）

1. 内存占用问题：通过 RPC 接口提交特殊格式的交易导致节点内存占用过多。
2. CPU 升高问题：通过 RPC 接口提交特殊格式的交易导致节点 CPU 升高。
3. 拒绝服务攻击：其他形式的拒绝服务攻击。
4. 第三方依赖和库漏洞：使用的第三方库或依赖中的已知漏洞未被及时修复。
5. 数据一致性和完整性问题：数据库或存储层中的数据一致性问题。数据完整性检查的绕过。

用户使用以及数据异常（四等奖）

1. Rooch 上的 UTXO 数据和 Bitcoin 主网不一致。
2. CLI 以及 Portal 等面向开发者或者最终用户的产品使用过程中的异常。
3. Example 以及 Demo 代码中的漏洞。

漏洞范围以及排除项说明

本次活动针对的主要仓库 https://github.com/rooch-network/rooch/ (opens in a new tab) ，主要包含：

1. Rooch 网络的核心代码（Rust）
2. Rooch Move Framework（Move）
3. Rooch DApps (Move)
4. Rooch SDK (Typescript / Javascript)
5. Rooch Portal (Typescript / Javascript)
6. 数据异常及功能只针对 Pre Mainnet 网络

以下类型的漏洞不在本次漏洞赏金范围内：

1. 利用算力攻击导致 Bitcoin 网络区块重组 3 个区块以上。Rooch 作为 Bitcoin 的 Layer2，默认延迟 3 个区块确认，如果 Bitcoin 网络重组 3 个区块以上， Rooch 会自动进入维护状态，需要人工介入恢复。
2. 利用社会工程或者钓鱼方式实现的不同形式的攻击。
3. 非标准的地址格式或者解锁脚本导致 UTXO 的 Owner 被标识为0x4。
4. 延迟确认导致的数据不一致问题。
5. 前端数据或页面状态异常、页面渲染异常等（如数据格式不兼容导致页面渲染异常、JS异常等）
6. 已经出现在Issues的或者功能还在开发未发布（未上Pre Mainnet、未启用等）的不包含。

参与方式

提交漏洞报告

如果您在测试网中发现了上述漏洞，请遵循以下步骤提交报告：

1. 准备报告：
   • 漏洞类型：明确标明漏洞的类别。
   • 漏洞描述：简要描述漏洞的性质和影响。
   • 重现步骤：详细说明如何重现该漏洞。
   • 环境信息：包括测试网版本、节点配置等。
   • 截图或日志：附上相关截图或错误日志（如适用）。
2. 提交渠道：
   • GitHub 提交：在我们的 GitHub 项目中创建一个新 Report a security vulnerability Issue 并附上您的报告，注意不要创建为公开的 Issue。https://github.com/rooch-network/rooch/issues/new/choose (opens in a new tab)

注意事项

• 所有发现的漏洞信息必须通过上述渠道提交，不可公开披露。
• 请在报告中留下您的联系方式（Github ID、Email address），以便我们与您沟通，发放奖金。如在奖金发放期联系不上作者，视同放弃领取赏金。

奖励机制

此次活动的总奖金为 20万美元，将根据漏洞类型及影响进行分配。奖励以美元计价，并以 Rooch 主网代币支付。获奖者将在 Rooch 主网代币TGE后统一分发。

活动时间

12pm, Nov 15th - 12pm, Dec 15th （UTC+8）

我们将认真评估每一个报告，并在合理时间内与您联系。

加入我们，共同提升 Rooch 的安全性！

安全是Rooch 网络的基石，您的贡献将帮助 Rooch Network 提高安全性和稳定性。无论是发现漏洞还是提供改进建议，我们都欢迎您的参与。让我们携手，为 Rooch 的未来发展保驾护航，打造更加安全、可靠的 BTC 原生应用层。感谢您的支持与贡献！期待在这次活动中与您携手共赢！