Terra Classic(LUNC)

Terra Classic:バグバウンティプログラムの導入提案|LuncBurnArmy

※ アフィリエイト広告を利用しています

この記事は、Terra Classic L1開発チーム「L1 Task Force」のメンバーであるLuncBurnArmy氏(@luncburnarmy)が2023年6月7日に公開した提案『Luna Classic Bug Bounty Incentive Program』の内容を日本語訳した記事となります。

提案の要点

  • 「アプリケーション性能の向上」「セキュリティとネットワーク堅牢性の向上」が目的
  • 報告されたバグ/脆弱性の重大性によって最高20,000,000 LUNCを受け取ることができる
  • 提案済みの予算で運営が可能なため、新たなコミュニティ支出はない
Contents
  1. バグバウンティプログラムの概要
  2. バグバウンティプログラムの目的
  3. 参加条件について
  4. Terra Classicネットワークの脆弱性について
  5. バグ・脆弱性の報告と開示
  6. 報酬金について
  7. バグバウンティプログラムのガイドライン
    1. プログラムの更新とコミュニケーション
    2. 法的配慮
  8. 補足事項

バグバウンティプログラムの概要

アプリケーションの性能を向上させるとともに、セキュリティとネットワークの堅牢性を向上するため、Terra Classic(LUNC)ネットワークに「バグバウンティプログラム」を導入することを提案します。

これは、セキュリティ研究者やホワイトハッカー、開発者が「ネットワークの潜在的な脆弱性を見つけて報告するためのもの」であり、このプログラムに参加することで、ネットワークのセキュリティと安定性に貢献し、その努力に対して報酬を得ることができます。

このプログラムの予算として5,000万LUNCが割り当てることを提案しますが、現在 L1 チームは予算内で運営されており、 当プログラムに必要な資金を既存の予算で割り当てることができます。そのため、このプログラムのための新たなコミュニティ支出はありません。

「L1 Task Force」Q3活動・予算提案
Terra Classic:L1開発チーム「L1 Task Force」第3四半期の活動・予算提案

この記事は、Terra Classic L1開発チーム「L1 Task Force」のメンバーであるLuncBurnArmy氏が2023年6月7日に公開した提案『L1 Task Force Q3 Proposal』の内容を日本語訳した記事となります。

続きを見る

バグバウンティプログラムの目的

バグバウンティプログラムの主な目的は以下の通りです。

  • セキュリティの脆弱性を特定し報告する
  • ネットワークのセキュリティと耐性を全体的に強化する
  • セキュリティ研究者とTerra Classicコミュニティとの協力を促進する
  • L1またはL2のバグを見つけ、責任を持って開示し、それが検証された場合、個人に報酬を与える
    ※ StationアプリケーションまたはStationウォレット拡張機能に限定
  • セキュリティの脆弱性のパッチ(修正プログラム)を開発し、それがL1チームまたはL2チームによってStation用に承認された開発者に報酬を与える

参加条件について

バグバウンティプログラムは、Terra Classicコミュニティのメンバーや外部の開発者、セキュリティ専門家が参加することできます。

参加する上での条件は以下の通りです。

  • 脆弱性を発見したらすぐに指定された報告メカニズムを通じて報告する(提出フォームは開発中)
  • 悪意のある活動に従事したり、個人的な利益のために脆弱性を悪用してはいけない
  • 脆弱性が解決される前に公に開示してはいけない

Terra Classicネットワークの脆弱性について

このプログラムは、Terra Classicネットワークの完全性、機密性、または可用性にリスクをもたらす可能性のあるセキュリティ脆弱性の特定に焦点を当てています。

これらの脆弱性には以下の項目が含まれますが、これらに限定されるものではありません。

  • スマートコントラクト の脆弱性(リエントランシー *1、整数オーバーフロー/アンダーフロー、ロジックエラーなど)
  • Station Webアプリケーションの脆弱性(クロスサイトスクリプティング *2、インジェクション *3など)
  • ネットワークレベルの脆弱性(DDoS攻撃、プロトコルの脆弱性など)
  • Cosmos SDK、IBC、Goなど、ネットワーク関連コンポーネントに対して公表された注意喚起
(*1)リエントランシー:不正に再帰的な関数実行を引き起こす脆弱性のこと
(*2)クロスサイトスクリプティング:Webアプリケーションの脆弱性もしくはそれを利用した攻撃のこと
(*3)インジェクション:入力フォームなどの文字列の入力を受け付けるプログラムに対し、不正な文字列を入力することでデータの改ざんや詐取を行うサイバー攻撃のこと

バグ・脆弱性の報告と開示

個人が参加するには以下の手順に従う必要があります。

  1. 責任ある開示の手法に従って、バグ/脆弱性を特定し文書化する
  2. L1 Task Forceに詳細な脆弱性レポートを提出する
  3. ステップバイステップの再現ガイド、影響を受ける要素、潜在的な影響などの関連情報を含めること
  4. オプションとして脆弱性の修正または軽減のための提案を含める

このプログラムが ガバナンス によって承認された場合、コミュニティにバグ/脆弱性の提出用フォームを提供する予定です。

報酬金について

報告された脆弱性の重大性と影響に基づいて報酬が提供されます。

バグレポート/セキュリティ脆弱性が評価され、以下の基準に基づいて報酬が割り当てられることが提案されています。

  • Stationバグが確認された場合:150,000 LUNC
  • Stationバグが確認され、パッチが開発された場合:1,000,000 LUNC
  • L1バグが確認された場合:300,000 LUNC
  • セキュリティ脆弱性が確認された場合(Station):300,000 LUNC
  • セキュリティ脆弱性が確認され、パッチが開発された場合(Station):1,000,000 LUNC
  • 「ゼロデイ(*4)」セキュリティ脆弱性が報告された場合:5,000,000 LUNC
  • 「ゼロデイ」セキュリティ脆弱性のパッチが開発され、テストおよび承認された場合:20,000,000 LUNC
(*4)ゼロデイ:セキュリティの脆弱性が公に知られる前に悪意ある者がその脆弱性を利用する攻撃のこと

バグバウンティプログラムのガイドライン

  • L1チームが対処するまで参加者は脆弱性を公に開示してはならない
  • 脆弱性を悪用してデータにアクセス、変更、または損傷を与えてはならない
  • Terra Classicネットワークまたはそのユーザーに損害を与えたり、混乱を引き起こす活動を行ってはならない
  • すべての適用可能な法律および規制を順守する

プログラムの更新とコミュニケーション

L1チームは、最新情報を提供し、参加者と直接コミュニケーションをとります。

参加者は、脆弱性報告書のステータスアップデートの受け取りや説明、L1チームからの指導を受けることができます。

法的配慮

参加者は、自分の活動が管轄区域内のすべての適用可能な法律および規制を順守するようにする責任があります。

プログラムに参加することにより、個人はすべての法的要件を遵守することに同意したことになります。

補足事項

もしL1 Task Forceが第3四半期の承認を得られなかった場合、このプログラムに割り当てられた未使用の資金はコミュニティプールに返還されます。

【可決された場合】

Terra Classicネットワークのバグバウンティプログラムが設立されます。

【否決された場合】

バグバウンティプログラムは設立されません。

『Luna Classic Bug Bounty Incentive Program』の原文はこちら
「L1 Task Force」Q3活動・予算提案
Terra Classic:L1開発チーム「L1 Task Force」第3四半期の活動・予算提案

この記事は、Terra Classic L1開発チーム「L1 Task Force」のメンバーであるLuncBurnArmy氏が2023年6月7日に公開した提案『L1 Task Force Q3 Proposal』の内容を日本語訳した記事となります。

続きを見る

Bybit公式サイト

LUNC(Terra Luna Classic)を購入できる取引所はこちら

-Terra Classic(LUNC)
-,