Tokenlon 安全漏洞与威胁情报赏金计划

返回首页 EN
目录
正文

Tokenlon - imToken 投资孵化的去中心化交易平台

业务范围

Tokenlon 5.0 智能合约:

智能合约地址:0x03f34bE1BF910116595dB1b11E9d1B2cA5D59659

处理流程

报告阶段

报告者访问「慢雾区」网站,进入「赏金漏洞提交」页面(URL:https://slowmist.io/bug-bounty.html)提交威胁情报(状态:待审核)。

处理阶段

1. 一个工作日内,慢雾安全团队会确认「慢雾区」收到的威胁情报报告并跟进开始评估问题,同时将情报反馈给 Tokenlon 对接人(状态:审核中);

2. 三个工作日内,Tokenlon 技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助。

修复阶段

1. Tokenlon 业务部门修复威胁情报中反馈的安全问题并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定;

2. 报告者复查安全问题是否修复(状态:已复查/复查异议);

3. 报告者确认安全问题已修复后,Tokenlon 技术团队告知慢雾安全团队处理结论和漏洞得分,并与慢雾安全团队一起发放奖励(状态:已结束)。

漏洞评级及奖励标准

等级 Tokenlon 奖励* 慢雾区奖励*
严重 $10000 ~ $50000 512 慢雾区积分
高危 $2500 ~ $10000 256 慢雾区积分
中危 $1000 ~ $2500 100 慢雾区积分

*备注:最终发放的奖励取决于漏洞严重程度和漏洞真实影响。

严重漏洞

严重的漏洞是指,发生在智能合约的核心业务,可造成平台或用户的代币被转移、失窃或被冻结。或是获取业务系统的控制权限,导致核心系统受影响。

高危漏洞

高危的漏洞是指,因为合约程序的不正确处理,造成合约被利用而被进行套利,涉及金钱上但非大规模的损失。又或是智能合约溢出,精度问题,可绕过系统检查等缺陷。

中危漏洞

中危的漏洞是指,交互方可影响用户的漏洞。像是因页面访问不当导致用戶操作的数据遭受影响。(tokenlon.im)

漏洞相关例子

其他衡量标准

除了严重程度,下列因素也是 Tokenlon 技术团队考虑赏金数量的标准