繼上周的FVM（Filecoin虛擬機）里程碑M0.5進度更新之后，Filecoin團隊又在本周開啟了FVM bug賞金計劃，并邀請bug獵人和社區開發人員幫助發現FVM里程碑M1代碼庫中的漏洞，為5月即將升級為v16 Skyr的Filecoin網絡一部分的FVM M1做足升級準備。

按照計劃，FVM將被分為幾個里程碑，逐步添加到Filecoin主網上。作為里程碑M1的一部分，Filecoin網絡將逐漸過渡到FVM專用。這代表了一個重大變化——Filecoin網絡正在從當前的舊虛擬機切換到所有客戶端實現都采用基于Wasm的新FVM。

此外，下次更新還包括一個考慮Wasm執行成本的新gas模型。目前的計劃中，M1僅支持在Rust中內置actor，預計在9月發布的里程碑 M2中，將會支持真正用戶可編程的actor。

由于這是一個全新的代碼庫，團隊現在主要關注的領域之一是邀請更多的外部開發人員審核M1代碼庫，以發現實現中的潛在錯誤。此外，也希望Filecoin社區有更多機會探索FVM 參考實現和更新的Builtin actor v8，為團隊提供有關個人方法的反饋。

除了通過該計劃激勵漏洞搜尋者外，Filecoin貢獻者團隊的成員還進行了初次內部審計，外部安全專家審計也已經正式啟用。同時一些強化工作也在進行中。

FVM M1 bug賞金的范圍包括哪些？

1. FVM的參考實現 (ref-fvm)

（https://github.com/filecoin-project/ref-fvm）

Filecoin VM的參考實現。用Rust編寫，旨在通過FFI集成到非Rust客戶端，或直接集成到Rust客戶端。

2. Lotus：FVM集成的參考實現

（https://github.com/filecoin-project/lotus/pull/8293）

通過FFI將Ref FVM集成到Lotus。用Go編寫的。

*列出的PR（pull request）只是代碼庫的入口點，但范圍不限于此。請查看master和其他未解決PR上的內容。

3. Lotus：Filecoin FFI

（https://github.com/filecoin-project/filecoin-ffi/pull/217）

FFI膠水代碼(Glue Code)。用Go和Rust編寫的。

*同上，鏈接中的PR只是一個入口，但范圍不限于此。

4.內置actor

所有Filecoin客戶端都使用Rust編寫Wasm編譯的內置actor。 Acto規范（https://spec.filecoin.io/systems/filecoin_vm/actor/）和測試向量（https://github.com/filecoin-project/specs-actors/tree/master/test-vectors）可供actor參考。用Go編寫的可執行規范可在filecoin-project/specs-actors獲得，它們為Filecoin網絡pre-FVM提供動力。

*請注意，審計參與者通常需要Filecoin領域的專業知識。

獎勵和超出范圍的部分

FVM團隊希望在發布M1之前從社區中獲得盡可能多的外界幫助來審查代碼，通過這些，目前某些已知區域的固化已經被發現。同時，團隊在Github（https://github.com/filecoin-project/ref-fvm/issues/428）上列出了排除范圍的列表，包括之前列出的已知問題，這些問題將定期更新。只有從此列表選中的這些區域才有資格獲得賞金。

當然，報告FVM M1錯誤的獎勵與Filecoin安全計劃中的常規錯誤賞金獎勵相同。常規Filecoin安全計劃的規則也在使用該獎勵規則，包括超出范圍的內容。

Filecoin客戶端實現（Lotus、Venus、Forest、Fuhon）和Filecoin Proofs庫中的錯誤屬于常規Filecoin安全計劃范圍和獎勵。而之前的Filecoin 審計可以在 Filecoin Specs的審計部分找到（https://spec.filecoin.io/appendix/audit_reports/）。

測試工具

基于支持跨節點實現互操作性測試Filecoin測試向量，FVM測試向量專門針對FVM并對其整體進行測試。一個專門的社區開發團隊也在開發一個集成測試框架，用來測試FVM的正確性。FVM的各種組件也將被模糊化。

報告bug

要報告漏洞，請聯系security@filecoin.io以獲得獎金。你可以使用此處列出的機密報告準則（https://security.filecoin.io/#vulnerability-reporting）。也可以將FVM Bug 賞金計劃發布在 Gitcoin上，還可以在ImmuneFi上共享。

*請不要在Slack、Twitter等公共場所提交公共問題或討論漏洞，否則將沒有資格獲得獎勵。