Trust Wallet漏洞赏金计划：48小时快速响应，最高5万美元奖励

Trust Wallet漏洞赏金计划：48小时快速响应，最高5万美元奖励

漏洞并非单纯仅局限于代码方面的问题，而更是涉及到信任范畴的问题。身为Trust Wallet安全团队的负责人，要聊一聊这个赏金计划背后实际的考量。

漏洞报告最害怕碰到那种“石沉大海”般的情形。我们用心打造的赏金计划设有7×24小时全方位响应机制，努力做到保障每一个有效漏洞都有专门人员负责交接。在整个流程里，从严格的验证阶段，到及时的修复活儿，再到有序的发放赏金进程，全流程达成透明化并且具备可追踪性。

最近，有一位白帽提交了一个关乎 gas 优化的逻辑方面的漏洞。自漏洞被确认起始，一直到顺利颁布 5000 美元赏金，整个历程仅仅只用了 48 小时。这十分充分地展现了我们赏金计划有效的、透明的特性，能够迅速地对具备有效性的漏洞作出响应并且达成相关的流程。

赏金金额可不是随便凭感觉就确定下来的Trust Wallet漏洞赏金计划：48小时快速响应，最高5万美元奖励，我们全面综合考虑了 OWASP 标准以及行业内的平均价格水准，对于普通逻辑漏洞，起步赏金达到 200 美元，而像严重级别的私钥泄露或者合约漏洞Trust Wallet 官方漏洞赏金计划：安全参与，赏金最高能够达到 5 万美元，具体的赏金数额关键是由 CVSS 评分以及实际造成的危害范围来决定的，上个月，有一位白帽发现了一个权限绕过漏洞，按照相关规则，顺利地拿到了 8000 美元的奖励。

挖洞并非是去故意挑刺，而是进行共同建设。我们规定各项测试都得采用测试网或者自主搭建节点，严厉禁止采用暴力攻击手段或者对主网用户造成影响。报告当中需要涵盖复现步骤以及PoC，以便于我们能够迅速进行修复。提交之后请在静默期90天之后再予以公开，这属于行业的共同认知。

您于审计钱包代码之际遭逢过哪般反常规之意想不到的逻辑方面的漏洞呢？于评论区域展开交流吧，安全这一事项是需要集体共同之智慧的。