12月4日,INTChain正式入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」,严重漏洞最高奖励700USDT。
INT是全球首个从物联网结构体系演进的角度,自下而上打造而成的新一代物联网区块链交互标准和基础应用平台。以通证激励机制驱动、采用去中心化的设计方案成为物联网领域的TCP/IP基础架构,为整个物联网新生态提供保障支撑,同时塑造一种以设备为主体的新商业模式,开辟全新市场空间。本次加入慢雾区「安全漏洞与威胁情报赏金计划」,主要业务范围涵盖INT主链的共识层,网络层,本地钱包,web钱包,私钥管理,以及序列化和所有的RPC接口的安全相关。更多详情及INTChain主网源码获取地址可以点击INTChain漏洞赏金界面了解更多:
Bloomberg Intellgence:当经济浪潮转向时比特币和以太坊的表现将优于其他资产:金色财经报道,Bloomberg Intellgence 高级商品策略师 Mike McGlone 认为,当经济回到牛市时,比特币和以太坊的表现将优于其他资产。这位分析师表示,尤其是比特币,它可能处于交易的早期阶段,更像是一种避险资产,例如国债或黄金。在最新一期的《彭博加密展望》报告中,Bloomberg Intellgence 暗示比特币可能已经触底,因为比特币的大部分下行波动发生在 6 月份,而与其他商品和资产相比,其第三季度的表现非常稳定,这为比特币在今年最后一个季度转变为避险资产提供了潜力,而且自 2014 年以来10 月历来是比特币表现最好的月份,平均月涨幅达到 20%。
在以太坊方面,Bloomberg Intellgence 指出以太坊目前被困在 1000 美元到 2000 美元之间的“牢笼”中,但在第三季度的表现仍优于纳斯达克 100 指数,报告强调了以太坊作为“加密货币”平台的实用性,这是一个主要用例,将在未来推动以太坊采用和上升态势。[2022/10/6 18:40:48]
https://slowmist.io/intchain/
HyperLab:微软云当前采用的Intel SGX版本会导致用户隐私泄露:据官方消息,HyperLab安全实验室披露,大多数第 10、11 和 12 代英特尔 CPU 的处理器中的隐私都可以泄露,攻击者可以针对使用中的数据,例如寄存器值和内存负载、静态数据、SGX-enclave 数据,在几秒钟的时间里进行攻击,即可enclave 中提取 AES-NI、RSA 甚至 SGX 证明密钥。
这种TEE环境出现问题的情况下,阻止此类攻击需要管理员或 root 权限,HyperLab建议使用微软云TEE服务的用户保护好root\\admin权限。
HyperLab 已经积极反馈给微软云,协助共同解决。[2022/9/2 13:05:38]
INTChain安全漏洞
Vinter获得340万美元融资 Octopus Ventures领投:金色财经报道,欧洲加密资产指数提供商Vinter今天宣布它已筹集了 340 万美元,本轮融资由 Octopus Ventures 领投,Ricketts 家族办公室、D4 Ventures、Pfeffer Capital 以及包括 Gokul Rajaram、Marc Powers 和 David Chreng 在内的知名天使公司参与,再次表明机构对加密指数产品的需求不断增长。除了聘请高级数据分析师和科学家加入 Vinter 现有的分析风险和行业趋势的量化团队外,该公司还将利用现金注入来建立其后端开发人员和技术数据工程师团队。(finextra)[2022/1/20 9:02:14]
与威胁情报赏金计划
Punk.Network在波卡公益平行链RococoStatemint启动测试:4月23日消息,波卡生态公链项目Punk.Network在波卡平行链测试网Rococo的公益平行链Statemint上启动测试,Statemint具备在Polkadot和Kusama网络中部署资产的功能。同时Punk.Network已被Polkaproject收录。此外,Punk.Network为国内卡牌游戏《天际征服》中NFT资产发行提供技术支持,《天际征服》已正式上线Android平台,相关NFT游戏卡包将在近期上架NFTCastle.io。[2021/4/23 20:52:25]
业务范围
INT主链的共识层,网络层,本地钱包,web钱包,私钥管理,以及序列化和所有的RPC接口的安全相关。
主链代码获取地址:
https://github.com/intfoundation/int
Web钱包网址:
https://test.wallet.intchain.io/
Web钱包代码获取址:
https://github.com/intfoundation/intchain-wallet
处理流程
报告阶段
报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面
(URL:https://slowmist.io/bug-bounty.html)
提交威胁情报(状态:待审核)
处理阶段
1.一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题,同时将情报反馈给INTChain对接人(状态:审核中)
2.三个工作日内,INTChain技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助
修复阶段
1.INTChain业务部门修复威胁情报中反馈的安全问题并安排更更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题24小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定
2.报告者复查安全问题是否修复(状态:已复查/复查异议)
3.报告者确认安全问题已修复后,INTChain技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)
漏洞评级及奖励标准
*备注:INTChain奖励部分会以发放前一日OKEX上INT/USDT价格以INT的形式发放。
严重漏洞
严重的漏洞是指,发生在核心系统业务系统,可造成大面积的影响。
包括但不限于:
■智能合约溢出、条件竞争漏洞等会导致主网出现严重的数据问题。
■共识层漏洞或者以较小的代价对主网产生严重的DDos,直接导致主网崩溃或者无法正常出块
高危漏洞
■通过全节点P2P网络入侵服务器获取控制权限;
■涉及金钱的越权操作、支付逻辑绕过;
■智能合约权限控制缺陷;
■漏洞导致状态数据错误,类似于双花漏洞方面;
■系统的SQL注入导致严重问题;
中危漏洞
■主链业务设计缺陷,导致业务无法正常实现;
■RPC接口或者交易在参数处理中不合理,导致一些较为严重的问题,比如系统的SQL注入等;
■拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等;
■本地保存的敏感认证密钥信息泄露,需能做出有效利用;
低危漏洞
■本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务;
■RPC接口返回值或者一些数据结构设计不合理影响用户体验,需要指出不合理的地方;
■一些较为严重的用体验问题;
■其他危害较低、不能证明危害的漏洞。
此处参考了先知漏洞定级标准,在此表示感谢。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。