TokenCore 简介
TokenCore 是一个实现了区块链数字钱包基本功能的跨平台开源库,使用 Protobuf 对外输出 C 类接口。本开源库使用 Rust 撰写,现在已经友好地提供接口来支持 ReactNative、iOS 和 Android 手机系统或平台。
imToken 使用了 TokenCore 库来做底层原生功能及用户交互接口。
如果你刚刚知道 imToken,提交漏洞报告前请先访问我们的产品帮助中心。
漏洞奖励范围
漏洞奖励计划仅限于 TokenCore 开源代码的代码审计,GitHub 仓库:github.com/consenlabs/…。
以下是我们重点关注的内容:
可以窃取或导致资产损失的漏洞
算法实现上的缺陷,包括 Keystore, Wallet Generation, Transaction Signature 等
和链相关的逻辑代码漏洞
钱包应用层的漏洞
App 拒绝服务漏洞,如可能导致 App 崩溃等
不安全或不标准的代码实现
有关引用的第三方库的漏洞消息
以下不在奖励范围内:
任何不在此开源库的内容
不能导致此开源库缺陷的第三方库漏洞
示例代码中的漏洞
另外已经报告过的漏洞也不在奖励范围内。
漏洞等级划分
漏洞的等级评定基于 CVSS (Common Vulnerability Scoring Standard, www.first.org/cvss)。以下是漏洞等级及奖励标准:
我们通过以太坊上的 USDT 代币 ( Tether USD ) 来发放奖励,所以提交漏洞时请一并附上你的以太坊钱包地址。
如何提交漏洞
发送漏洞内容至邮件: sec@token.im
漏洞内容需包含:
漏洞标题及漏洞等级(自评)
漏洞描述
PoC (如示例代码,截图,视频)
漏洞修复方案(选填)
用于接收奖励的以太坊地址
漏洞通常会在两个工作日内被确定或忽略。在确定漏洞和漏洞评级后,奖励将在两周内发放到你的以太坊钱包地址。
请不要提前公开提交的内容,应由我们 imToken 来决定何时公开。
