# 赏金计划

### 业务范围 

Tokenlon v5 智能合约

### 奖励规则 

* 赏金计画会由 Tokenlon 团队来判定赏金的数量，诸如影响的严重程度，条件资格等相关条件
* 公开披露漏洞没有资格获得赏金，需透过 <security@tokenlon.im> 来递交申请
* 若问题曾经由他人回报或已知，则不符合赏金奖励条件
* Tokenlon 的网页或基础设施不是赏金计划的一部分
* 需要提供文件或步骤来重现漏洞的实现

### 奖励标准&#x20;

<figure><img src="https://3807877592-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MHL2INrIfiaxxHLV3lD-887967055%2Fuploads%2FWPZeK2H0doVs7D1jWJUP%2Fimage.png?alt=media&#x26;token=273385f0-97c1-47ae-b3a1-e534c8cbba78" alt=""><figcaption><p>赏金的数量主要由风险的严重性来衡量</p></figcaption></figure>

### 严重性判定

![](https://3807877592-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MHL2INrIfiaxxHLV3lD-887967055%2Fuploads%2FxF572AkjY3f9gAjXXJSb%2Fimage.png?alt=media\&token=66dafebe-8012-4a0e-9052-ca9332c6462d)

### 其他衡量标准

&#x20;除了严重程度，下列因素也是我们考虑赏金数量的标准

* 对漏洞有明确的描述
* 提供测试代码或指令来重现漏洞
* 提供如何修正漏洞

### 漏洞相关例子

* 造成系统永久性的金钱损失或资金冻结
* 用户资金可遭受盗窃
* 合约可被重入攻击
* 可被获取业务系统的控制权限
* 智能合约溢出

### 处理流程

#### 报告阶段&#x20;

* 报告者Tokenlon 团队。(状态：待审核)
  * 共用信箱：<security@tokenlon.im>

#### 处理阶段

* &#x20;一个工作日内，Tokenlon 团队会确认收到的威胁情报，并开始跟进评估问题， 同时将情报反馈给 Tokenlon 技术团队。(状态：审核中)
* 三个工作日内，Tokenlon 技术团队处理问题、给出结论并计分 (状态：已确认 / 已忽略)。必要时会与报告者沟通确认，请报告者予以协助。

#### 修复阶段&#x20;

* Tokenlon 业务部门修复威胁情报中反馈的安全问题并安排更新上线 (状态：已修复)。修复时间根据问题的严重程度及修复难度而定，一般来说，严重和高危问题 24 小时内，中危问题三个工作日内，低危问题七个工作日内。客户端安全问题受版本发布限制，修复时间根据实际情况确定。
* 报告者复查安全问题是否修复。(状态：已复查 / 复查异议)
* 报告者确认安全问题已修复后，Tokenlon 技术团队告知 [Bugrap 安全团队](https://bugrap.io/bounties/Tokenlon)处理结论和漏洞得分，再行发放奖励。(状态：已结束)

### 奖励发放原则 以等值 USD 的代币发放

* LON
* ETH
* 稳定币
  * USDT
  * DAI
  * USDC