周鸿祎在吗,能不能也帮IOST找个史诗级漏洞出来?

作者 | 9to5iost

出品 | IOST Fans

一个月前,IOST 启动了「开发者激励计划」的项目,每周都会收到新的开发项目申请。目前项目已经进行到了第 5 周,越来越多的开发者聚集到了 IOST 的生态中,热闹非凡。

一条公链不仅要看性能,还要看安全性。要是有很多 Bug,再多的开发者来也没有用。于是,在「开发者激励计划」的概念下,IOST 官方又推出了第二个激励项目——IOST 代码 Bug 激励计划。

什么是 IOST 代码 Bug 激励计划

这是项目就是希望全世界的开发者都来帮忙检查,或者审核 IOST 的代码,目的就是要保证 IOST 网络的安全性,确保 IOST 主网上线的万无一失。

IOST 官方会把最新的开发进度公布出来,然后所有开发者都可以在上面测试,发现有 Bug,就可以得到奖励。

为什么会启动这个项目

IOST 不是第一家发动群众找问题的公链,上一家比较有名,是 EOS。

EOS 于去年 6 月发布主网,但在 5 月 29 日的时候,360 公司宣称发现了《EOS 的史诗级漏洞》,严重到可以直接远程接管和控制 EOS 上的所有节点。

EOS 也对代码问题做了回应,并在 5 月 31 日的时候,启动了开发者激励计划,号召全世界的开发者和道德黑客在 EOS 的代码上进行测试,发现核心问题,就可以得到 1 万美元的奖励。

这个奖励活动效果超乎想象,据说有人在一周内发现了 12 个 Bug,拿到 12 万美元,甚至 EOS 还可能提供长期找 Bug 的职位。

这种奖励计划,并不是对自己的代码不自信。因为在测试复杂代码的情况下,团队的精力有限,不可能把所有的情况,所有的问题都测出来。所以,IOST 团队在部分情况下测试没有问题,但是其他人在测试其他情况的时候,代码可能会有错误或漏洞。

不只在区块链行业会有这样的项目,传统互联网企业,比如 360,也举行过类似的比赛,让全世界的黑客来攻击 360 的路由器,不仅让黑客查看他们的产品到底安全不安全,也通过这种方式让更多人知道了他们自己产品的安全性和对安全的态度。

IOST 借鉴了 EOS 的做法,而且他们的代码 Bug 奖励计划比 EOS 还要细致。他们按照风险等级把代码 Bug 分成 4 等,等级越高,奖励越多,一个 Bug 最多可以拿到 12-50 万 IOST(约 2 万多人民币)。

这样的激励效果更明显,全世界的开发者更愿意去测试等级高的潜在 Bug,这样,IOST 可以从各方面保证系统性的致命漏洞在主网上线的时候不会出现。

代码 Bug 激励计划的具体细节

IOST 最新的代码都会发在其 Github 的主页上:https://github.com/iost-official/go-iost

开发者可以从 6 个方面来为 IOST 的代码提出建议:整体链的安全性、网络的安全性、协议安全、交易安全、智能合约的安全性,还有其他应用,比如钱包、插件的安全。

Bug 等级和奖励范围

IOST 官方把 Bug 风险分为 4 级,风险等级越高,奖励越多

第一级:Bug 风险为 A/A+,这是风险最高级,奖励从 12 万-50 万个 IOST 不等

要是发现系统上的 Bug 就会定为 A/A+级别,比如可以直接取得服务器权限、数据管理权限、交易篡改等问题。

第二级:风险为 B/B+,奖励从 6 万-12 万个 IOST 不等

这个风险级别包括用户账户的潜在风险、一些可以造成用户损失的敏感信息泄露,或者对主网交易速度有影响的 Bug。

第三级:风险为 C/C+,奖励从 3 万-6 万个 IOST 不等

这个风险级别的危害较小,比如交易无法执行、一些不会造成用户损失的信息泄露等风险。

第四季:风险为 D/D+,奖励从 1 万-3 万个 IOST 不等

当发现 IOST 主网用户体验的问题,都算这个风险级别。

你觉得以你的聪明才智,是不是可以拿到点什么奖励呢?

如何上报 Bug

开发者发现问题后,可以填写这个表单:https://docs.google.com/forms/d/e/1FAIpQLSdkwPnu3rggn1Fy4JOEcfbqPKXFJEbTUhl2bdIiBMPLiNNhlQ/viewform?usp=sf_link

360 周总,您不来参与一下吗?


了解 IOST 生态

IOST Fans 是 IOST 社区内的生态媒体,在这里你可以了解到 IOST 生态的所有内容,覆盖 IOST 社区内的内容传播、内容解读、节点选举、DAPP 介绍、线下线上活动等。

开发者中心:

https://developers.iost.io/

开发者交流 Slack:

https://invite.iost.io

百万 Bounty 计划:

http://bit.ly/2EMlSv1(外网)