BancorV2漏洞赏金计划说明

BancorV2漏洞赏金计划仅针对影响Bancor协议智能合约的漏洞，具体可参考https://github.com/bancorprotocol/contracts-solidity。不包括以下范围内的漏洞：与BancorV2交互的任何第三方合约或平台中的漏洞、任何先前报告或已知的漏洞，以及第三方在BancorV2上建立的合同中已报告或发现的漏洞。

对于发现的漏洞，我们将根据CVSS风险评级评估其严重程度。2020年7月16日至30日发现的漏洞奖金设置如下：严重（9.0–10.0）可获得最高$54,000；高（7.0–8.9）可获得最高$14,400；中（4.0–6.9）可获得最高$4,800；低（0.1–3.9）可获得最高$1,800。对于GMT标准时间2020年7月30日12:00AM后发现的漏洞，奖金设置如下：严重（9.0–10.0）可获得最高$45,000；高（7.0–8.9）可获得最高$12,000；中（4.0–6.9）可获得最高$4,000；低（0.1–3.9）可获得最高$1,500。奖励将根据漏洞的影响程度和复现难度决定。

注意，任何发现的漏洞或错误都必须通过将报告发送至bugbounty@bancor.network。不得向其他任何人、实体或电子邮件地址公开披露该漏洞。请在报告中尽可能提供详细信息，包括漏洞的重现条件、重现漏洞所需的步骤以及漏洞被滥用的含义。如果您同意我们的条款，并报告了之前未报告的漏洞，直到我们的工程师解决该漏洞，您将被公开承认。

要获得BancorV2漏洞赏金的奖励，您必须：发现一个先前未报告的非公开漏洞，该漏洞将导致BancorV2（但不会在与BancorV2交互的任何第三方平台上）丢失或锁定任何令牌，并且该漏洞在上述范围内；符合披露要求，最先将漏洞报告给bugbounty@bancor.network；提供足够的信息以便我们的工程师能够重现和修复漏洞；不能以任何方式利用该漏洞，包括通过公开该漏洞或获取利润（BugBounty奖励除外）；尽最大努力避免隐私受到侵犯、数据破坏或BancorV2中断或降级；不提交与由赏金计划支付奖励相同的潜在问题导致的漏洞；不能是我们的现任或前任雇员、供应商或承包商之一，也不可以是任何这些供应商或承包商的雇员。

最后，请注意我们将全权决定奖励的条件，包括资格和金额，并决定以何种方式支付这些奖励。BancorV2漏洞赏金计划的条款和条件可能会随时更改。