💰赏金计划

Tokenlon 发布漏洞赏金计划

业务范围

Tokenlon v5 智能合约

奖励规则

• 赏金计画会由 Tokenlon 团队来判定赏金的数量，诸如影响的严重程度，条件资格等相关条件

• 公开披露漏洞没有资格获得赏金，需透过 security@tokenlon.im 来递交申请

• 若问题曾经由他人回报或已知，则不符合赏金奖励条件

• Tokenlon 的网页或基础设施不是赏金计划的一部分

• 需要提供文件或步骤来重现漏洞的实现

奖励标准

赏金的数量主要由风险的严重性来衡量

严重性判定

其他衡量标准

除了严重程度，下列因素也是我们考虑赏金数量的标准

• 对漏洞有明确的描述

• 提供测试代码或指令来重现漏洞

• 提供如何修正漏洞

漏洞相关例子

• 造成系统永久性的金钱损失或资金冻结

• 用户资金可遭受盗窃

• 合约可被重入攻击

• 可被获取业务系统的控制权限

• 智能合约溢出

处理流程

报告阶段

• 报告者Tokenlon 团队。(状态：待审核)

  • 共用信箱：security@tokenlon.im

处理阶段

• 一个工作日内，Tokenlon 团队会确认收到的威胁情报，并开始跟进评估问题， 同时将情报反馈给 Tokenlon 技术团队。(状态：审核中)

• 三个工作日内，Tokenlon 技术团队处理问题、给出结论并计分 (状态：已确认 / 已忽略)。必要时会与报告者沟通确认，请报告者予以协助。

修复阶段

• Tokenlon 业务部门修复威胁情报中反馈的安全问题并安排更新上线 (状态：已修复)。修复时间根据问题的严重程度及修复难度而定，一般来说，严重和高危问题 24 小时内，中危问题三个工作日内，低危问题七个工作日内。客户端安全问题受版本发布限制，修复时间根据实际情况确定。

• 报告者复查安全问题是否修复。(状态：已复查 / 复查异议)

• 报告者确认安全问题已修复后，Tokenlon 技术团队告知 Bugrap 安全团队处理结论和漏洞得分，再行发放奖励。(状态：已结束)

奖励发放原则 以等值 USD 的代币发放

• LON

• ETH

• 稳定币

  • USDT

  • DAI

  • USDC