概述规划Filecoin虚拟机是Filecoin协议的一个令人兴奋的新补充,支持用户可编程性和EVM兼容性。
“FVM是一个位于WASM的IPLD数据多语言执行环境。它旨在支持用编译成WASM的语言编写的本地Filecoin参与者,以及为外部运行时编写的智能合约,包括以太坊虚拟机(EVM)、安全EcmaScript(SES)和eBPF。
FVM将在几个里程碑中加入实时Filecoin网络。
1里程碑包括具有内置参与者(即智能合约)的新VM运行时,以及将参考FVM(用Rust编写)集成到Filecoin客户端(有或没有FFI)。Milestone 1目前计划在2022年5月部署在主网,2022年5月底前获得赏金。7月下旬,漏洞奖励计划的第二阶段将面向M2推出。
里程碑2将分阶段引入用户可编程参与者和EVM兼容性。里程碑2的第一阶段可能在7月获得赏金,然后在2022年9月部署到主网(预计)。
有关Filecoin VM的更多信息,请访问https://fvm.filecoin.io/.
有关Filecoin的一般信息,请访问https://docs.filecoin.io/.
威胁等级奖励
基于OWASP风险评级模型,根据漏洞影响分配奖励。
所有在https://github.com/filecoin-project/ref-fvm/issues标记的漏洞没有资格获得奖励。此外,一些已知地区的加固工作正在进行。为此,FVM团队做了一个范围的排除列表,包括Github上列出的已知问题,并会定期更新:https://github.com/filecoin-project/ref-fvm/issues/428.这些地区只有从这个列表中被选中后才有资格获得赏金。
Filecoin要求所有提交报告并希望获得奖励的漏洞赏金猎人执行KYC。对于非美国人,要求的信息是IRS表格W8或美国表格W9。该信息的收集将由项目团队完成。
Filecoin的核心开发团队、Protocol Labs、Filecoin Foundation的员工以及这些组织间接或直接为Filecoin项目支付报酬的其他人员没有资格获得漏洞奖金奖。
支付由Filecoin团队直接处理,并以美元计价。但是支付是在FIL和DAI中完成的,比例的选择由团队自己决定。
区块链/DLT
关键水平的支出高达100,000美元
高达50,000美元的高额支出
高达15,000美元的中等支出
高达2,500美元的低水平支出
智能合同
关键水平的支出高达100,000美元
高达50,000美元的高额支出
高达15,000美元的中等支出
高达2,500美元的低水平支出
https://github.com/filecoin-project/ref-fvm目标区块链/DLT范围内的资产-参考FVM类型https://github.com/filecoin-project/lotus/pull/8293目标区块链/DLT-Lotus-参考FVM集成(使用链接模式PR作为入口,但请查看主服务器上的相关组件)类型https://github.com/filecoin-project/filecoin-ffi/pull/217目标区块链/DLT-Market-Lotus-Filecoin FFI(使用链接PR作为入口,但请查看主服务器上的相关组件)类型https://github.com/filecoin-project/canonical-actors目标智能合约-内置参与者类型Filecoin的所有文件都可以在https://github.com/filecoin-project/.找到但是,只有“范围内资产”表中的那些资源被视为
在https://github.com/filecoin-project/fvm-project.可以找到实现FVM资产的规范
为Lotus-Reference FVM集成和Lotus-Filecoin FFI资产列出的PR仅作为代码库的参考入口点提供,但范围不限于此。请检查主服务器上的内容。欢迎参与者跟踪WIP分支/PR,并在输入代码登录到主代码后立即对其进行审查。
对于内置的Actor资源,可以借鉴Actor规范和Actor的测试向量。另外,用Go写的可执行规范可以在filecoin-project/specs-actor上找到。这些参与者为FVM之前的网络提供动力。请注意,审计参与者通常需要Filecoin领域的专业知识。但是,我们不认为这是“规范一致性”审计,而是实际实现的安全审计。
如果Filecoin管理的任何其他资产可能受到严重影响,但这些资产不在此表中,但关键影响在下面的“范围内的影响”部分,鼓励您提交影响供项目考虑。
优先漏洞范围内的影响。
所有严重级别将根据OWASP风险评级方法进行分类。由于这种评估方法,Filecoin团队无法提前确定影响及其相对严重程度,因此“范围内的影响”部分只是错误报告流程的占位符。
对于提供高质量书面描述、测试代码、脚本和详细说明、有据可查的修复的举报漏洞,也将获得更高的奖励。
漏洞评估的重要性和具体分配的赏金金额由Filecoin安全团队决定,该团队由核心开发者和贡献者组成。
区块链/DLT
批评的
根据OWASP的调查,区块链/DLT的影响很大。
根据OWASP的高区块链/DLT的影响是中等的。
根据OWASP,中等区块链/DLT的影响较低
根据OWASP的低区块链/DLT影响智能合同
批评的
根据OWASP的关键智能合同,影响很大。
基于OWASP的智能合约的实现具有中等影响。
根据OWASP,中等智能合同的影响较低。
根据OWASP的低智能合同影响超出范围和规则,以下漏洞已被排除在此漏洞奖励计划的奖励之外:
记者利用他们自己的攻击,导致需要访问泄露的密钥/凭证的攻击,需要访问特权地址(治理、战略家)的攻击。Filecoin网站和Filecoin基础设施通常不属于错误的赏金计划。之前由他人提交或在第三方服务和网站的已发布审计报告中发现的漏洞(阻止浏览器、统计仪表盘、价格指标、矿工排名等。)显示有关Filecoin网络的信息,没有资格获得漏洞赏金奖励。智能合约和区块链
第三方甲骨文提供的数据不正确,不排除甲骨文操纵/闪电贷款攻击。基本经济治理攻击(如51%攻击)缺乏流动性。最佳实践批评Sybil攻击集中化风险。该漏洞奖励计划禁止以下活动:
利用主网或公共测试网合同进行任何测试;所有测试都应在专用测试网络上进行。使用定价预测器或第三方智能合同进行的任何测试,以试图对我们的员工和/或客户进行网络钓鱼或其他社会工程攻击。任何使用第三方系统和应用程序(例如浏览器扩展)和网站(例如SSO提供商、广告网络)进行的测试任何拒绝服务攻击都会自动测试产生大量流量的服务。公开披露禁运赏金中未打补丁的漏洞。漏洞的公开披露使他们没有资格获得漏洞奖励。对Filecoin网络或Filecoin矿工和节点的拒绝服务攻击和主动攻击。Filecoin项目贡献者、生态系统合作者或社区成员的社交工程和网络钓鱼以物理或电子方式试图访问项目贡献者工作的办公室或Filecoin节点所在的数据中心的安全港。
我们认为,根据我们的披露政策进行的安全研究应受到安全港的保护:
根据任何适用的反黑客法律授权,我们不会因您意外和善意违反本政策而对您提起或支持法律诉讼。根据相关反规避法律授权,我们不会对您提出规避技术控制的索赔,免除我们的可接受使用政策中会干扰安全性研究的限制。此外,我们在有限的基础上放弃这些限制是合法的,有助于互联网的整体安全,并真诚地执行您应该遵守的所有适用法律。如果第三方对您提起法律诉讼,而您遵守了本政策,我们将采取措施通知您,您的行为符合本政策。