繼上周的FVM(Filecoin虛擬機)里程碑M0.5進度更新之后,Filecoin團隊又在本周開啟了FVM bug賞金計劃,并邀請bug獵人和社區開發人員幫助發現FVM里程碑M1代碼庫中的漏洞,為5月即將升級為v16 Skyr的Filecoin網絡一部分的FVM M1做足升級準備。
按照計劃,FVM將被分為幾個里程碑,逐步添加到Filecoin主網上。作為里程碑M1的一部分,Filecoin網絡將逐漸過渡到FVM專用。這代表了一個重大變化——Filecoin網絡正在從當前的舊虛擬機切換到所有客戶端實現都采用基于Wasm的新FVM。
此外,下次更新還包括一個考慮Wasm執行成本的新gas模型。目前的計劃中,M1僅支持在Rust中內置actor,預計在9月發布的里程碑 M2中,將會支持真正用戶可編程的actor。
由于這是一個全新的代碼庫,團隊現在主要關注的領域之一是邀請更多的外部開發人員審核M1代碼庫,以發現實現中的潛在錯誤。此外,也希望Filecoin社區有更多機會探索FVM 參考實現和更新的Builtin actor v8,為團隊提供有關個人方法的反饋。
除了通過該計劃激勵漏洞搜尋者外,Filecoin貢獻者團隊的成員還進行了初次內部審計,外部安全專家審計也已經正式啟用。同時一些強化工作也在進行中。
FVM M1 bug賞金的范圍包括哪些?
1. FVM的參考實現 (ref-fvm)
(https://github.com/filecoin-project/ref-fvm)
Filecoin VM的參考實現。 用Rust編寫,旨在通過FFI集成到非Rust客戶端,或直接集成到Rust客戶端。2. Lotus:FVM集成的參考實現
(https://github.com/filecoin-project/lotus/pull/8293)
通過FFI將Ref FVM集成到Lotus。 用Go編寫的。*列出的PR(pull request)只是代碼庫的入口點,但范圍不限于此。請查看master和其他未解決PR上的內容。
3. Lotus:Filecoin FFI
(https://github.com/filecoin-project/filecoin-ffi/pull/217)
FFI膠水代碼(Glue Code)。 用Go和Rust編寫的。*同上,鏈接中的PR只是一個入口,但范圍不限于此。
4.內置actor
所有Filecoin客戶端都使用Rust編寫Wasm編譯的內置actor。 Acto規范(https://spec.filecoin.io/systems/filecoin_vm/actor/)和測試向量(https://github.com/filecoin-project/specs-actors/tree/master/test-vectors)可供actor參考。 用Go編寫的可執行規范可在filecoin-project/specs-actors獲得,它們為Filecoin網絡pre-FVM提供動力。*請注意,審計參與者通常需要Filecoin領域的專業知識。
獎勵和超出范圍的部分
FVM團隊希望在發布M1之前從社區中獲得盡可能多的外界幫助來審查代碼,通過這些,目前某些已知區域的固化已經被發現。同時,團隊在Github(https://github.com/filecoin-project/ref-fvm/issues/428)上列出了排除范圍的列表,包括之前列出的已知問題,這些問題將定期更新。只有從此列表選中的這些區域才有資格獲得賞金。
當然,報告FVM M1錯誤的獎勵與Filecoin安全計劃中的常規錯誤賞金獎勵相同。常規Filecoin安全計劃的規則也在使用該獎勵規則,包括超出范圍的內容。
Filecoin客戶端實現(Lotus、Venus、Forest、Fuhon)和Filecoin Proofs庫中的錯誤屬于常規Filecoin安全計劃范圍和獎勵。而之前的Filecoin 審計可以在 Filecoin Specs的審計部分找到(https://spec.filecoin.io/appendix/audit_reports/)。
測試工具
基于支持跨節點實現互操作性測試Filecoin測試向量,FVM測試向量專門針對FVM并對其整體進行測試。一個專門的社區開發團隊也在開發一個集成測試框架,用來測試FVM的正確性。FVM的各種組件也將被模糊化。
報告bug
要報告漏洞,請聯系security@filecoin.io以獲得獎金。你可以使用此處列出的機密報告準則(https://security.filecoin.io/#vulnerability-reporting)。也可以將FVM Bug 賞金計劃發布在 Gitcoin上,還可以在ImmuneFi上共享。
*請不要在Slack、Twitter等公共場所提交公共問題或討論漏洞,否則將沒有資格獲得獎勵。
展望未來
到5月底,團隊希望現有的開發人員社區和新的外部開發人員能夠幫助發現FVM M1中的各種潛在漏洞,之后的里程碑即FVM M2中,提前增加用戶可編程性和EVM兼容性。
這將成為Filecoin協議中最令人期待的新增功能之一。通過自定義actors,開發人員將能夠利用Filecoin開發真正廣泛的潛在用例,從可編程存儲到DeFi、DAO、訂閱、保險等等,以展開更多可能性。可以進去 FVM網站(https://fvm.filecoin.io/)了解更多。
為了準備M2的發布,FVM團隊可能在7月為即將到來的M2代碼庫啟動更多安全審計和另一輪bug賞金。同時,還邀請了不同類型的開發人員通過FVM Foundry Program為前期構建者提供早期FVM的使用,包括開發人員工作流程、工具和早期dapp等。
別忘了繼續關注今年夏天的FVM bug賞金!
責任編輯:Rex_08
營業執照公示信息