中本聪UTO基金(Satoshi UTO Fund,SUF)是道易程原创的PoV(Proof-of-Value,价值证明)共识机制中的公共治理基金,其资金总量为 1.15792x10^69 jeedd (根据 PoV 中的通证价格单位制,1 UTO ≡ 1 jeedd)。
而“中本聪安全赏金计划”(Satoshi Security Bounty,简称SSB)则是该基金的首个落地应用,致力于保障基金及 PoV 生态的安全和公正。
一、Satoshi Security Bounty的治理目标
简言之,就是 No Hacking 和 AI 中立决策机制!
No Hacking 是一场黑客革命:
- 不再有盗取资产,使用户产生资产损失,阻碍智能公器(公共品)发展的黑客入侵。
- 更为巧妙的是,SSB构建出一种新型的安全协作方式,将所有黑客转为安全协作者。
No Hacking 是互联网的一次伟大的革命!
AI 中立决策机制:
- 需要短暂的过渡:人与AI的合作。但终极的完全自动化只是时间问题。
- 允许用户使用 AI 分析和修复 Bug。人可以成为任何分析的主导者,也就是他通过对 AI 的循循善诱而发现某个 Bug。
- 与此同时,我们也要开始设计 AI 的自动化工作机制。譬如通过监听智能公器的 Mint 事件,让 AI 第一时间启动对 dApp/dAIpp 的代码有无 Bug 的自动化分析。
- 在奖励规则和奖励标准的制订,Bug 的验证和修复,以及奖金额的确定等等方面,任何人都可提出想法,然后交由 AI 决策!
- AI 将是最关键的协作者。AI 如果独立发现了 Bug ,也应该让该 AI 的开发者获得奖励。
- 安全问题报告或安全修复提案,公开提交 AI 审核后,AI 出具 SSB 报告,并进行三周公示期。如无异议,报告者和审核者获得奖励。如有异议,进入公开质询。
二、Satoshi Security Bounty的治理策略
(一)奖励量化
- 任何人发现某个项目的代码漏洞(Bug),或者修复Bug,并通过Enki公共社区提交报告,都将获得奖励。奖励基于漏洞可能导致的潜在财产损失金额(“B”)进行分级计算。以下为具体细则:
- B < 1,000 jeedd(潜在损失小于 1,000 jeedd),奖金:10,000 + 2B(加倍奖励,鼓励报告小型漏洞)。
- 1,000 <= B < 10,000 jeedd,奖金:50,000 + 1.5B(强化激励,提升中型漏洞的吸引力)。
- 10,000 <= B < 100,000 jeedd,奖金:300,000 + B(原机制不变,稳定吸引报告)。
- 100,000 <= B < 1,000,000 jeedd,奖金:2,000,000 + 0.8B(保持高额奖励,但稍微降低 B 的直接权重以控制成本)。
- 1,000,000 <= B < 10,000,000 jeedd,奖金:10,000,000 + 0.5B(大漏洞重点奖励,但控制赏金膨胀)。
- 10,000,000 <= B < 100,000,000 jeedd:奖金:50,000,000 + 0.3B(巨型漏洞,奖励上限逐步收紧)。
- B >= 100,000,000 jeedd(潜在损失超过 1 亿 jeedd),奖金封顶:100,000,000 + 0.1B(避免极端漏洞造成赏金机制失控)。
奖励细则 - 发现者奖励:
- 漏洞报告者根据漏洞的严重性(潜在财产损失金额“B”)获得基础赏金,具体规则同原机制(按“10,000 + B”等公式计算)。
- 赏金占比:70%起,最高可达100%(若无解决方案提供者)。
- 解决方案提供者奖励:
- 基础奖励比例:30%起。根据解决方案的复杂度(如代码量、挑战性等),由道易程团队或项目方裁定,最高可获得赏金的50%。
- 修复速度奖励:
- 零日修复(Zero-Day Fix)奖励: 若在漏洞披露后 24 小时内提供有效解决方案,额外奖励 10,000 jeedd。
- 快速修复奖励: 若在漏洞披露后 7 天内修复,奖励金额提升至原占比的 1.5 倍。
- 报告与修复一体化奖励:
- 若发现者同时提交有效修复方案,可直接获得100%基础赏金 + 修复速度奖励。
- 零日漏洞奖励(Zero-Day Bug): 对首次披露的零日漏洞,额外奖励 50,000 jeedd。
- 零日修复奖励(Zero-Day Fix): 对在 24 小时内修复漏洞的解决者,额外奖励 10,000 jeedd。
- 报告 Satoshi UTO Fund 的易被攻击的Bug,奖励至少210,000 jeedd。
- 荣誉奖励: 特殊贡献者将获得荣誉通证(Honor Token)。
- 同样情况下,任何人(包括开发者)提供 Bug 报告或其解决方案,一经采纳,一视同仁,都将获得奖励。但开发者在智能公器被Mint出来的三周内,或任何技术提案(升级与维护的技术方案)被采纳后的的三周内,其提交者提供 Bug 报告或(和)修复方案。均不享受以上奖励。
- 不会涉及资金被盗或者尚没有可被盗资金的Bug,需要比较复杂的评审。奖励分三部分:基础奖励、追加奖励、奖金上限。
基础奖励:
基础奖励 = 风险损失金额 B + 难度加权因子 F。
其中,F 是一个浮动系数,范围为 1.0≤F≤3.0,由评审小组根据以下标准打分:- 发现难度(评分范围1-5,权重50%):代码复杂性、Bug隐藏性等;
- 潜在影响(评分范围1-5,权重30%):可能波及资产范围;
- 技术先进性奖励(评分范围1-5,权重20%):发现或修复的技术先进性。
追加奖励:- 若 Bug 报告在首次提交后48小时内被验证且确认,追加奖励10%;
- 若提供修复方案且被采纳,修复奖励为 B+(B×0.2)。
- 智能公器的成员,在智能公器被Mint出来的三周内,提供 Bug 报告或(和)修复方案。不享受以上追加奖励。任何技术提案(升级与维护的技术方案)被采纳后的的三周内,其提交者提供 Bug 报告或(和)修复方案。不享受以上追加奖励。
奖金上限:奖金封顶为100,000,000。
B. 不良行为追究赏金
该赏金主要解决两种不良行为:黑客偷盗资产和开发者赏金劫持。倘若仍有黑客发起攻击偷盗资产,或者项目开发者自己故意在代码中引入漏洞并自己领取赏金。
不良行为追究赏金设定如下:
追回盗取资产的赏金,为奖励细则两倍。开发者不良行为的追究赏金,也为奖励细则两倍(加倍的数量级跃迁赏金)。
- 基础赏金 = 追回资产金额 × 2
- 高优先赏金机制:若被盗资金波及范围涉及社区重大利益,可临时追加奖金,额外奖励部分上限为追回金额的50%。
C. 特殊行为奖励(自觉归还)
考虑到一些特殊情况,譬如有人是在醉酒等非正常具备完全行事能力状况下偷盗资产,但之后主动归还。特建立以下规则:
- 如果24小时主动归还被盗资金,并且没有造成实质性的伤害,最高奖励0.4B。
- 如果48小时主动归还被盗资金,并且没有造成实质性的伤害,最高奖励0.1B。
- 如果72小时主动归还被盗资金,并且没有造成实质性的伤害,无奖惩。
若归还者附带漏洞信息披露,奖励系数翻倍,即:
- 24小时归还:0.8B
- 48小时归还:0.2B
- 72小时归还:无奖励但免除追责。
(二)治理实施细则
1. 风险等级评估标准
设立评分小组,评估低、中、高风险Bug的定义:
- 低级风险:仅影响UI展示、非核心功能;不涉及资金流动。
- 中级风险:可能对部分用户资产或智能合约的正常运作造成影响;无直接盗取风险。
- 高级风险:直接影响资产安全、系统核心模块或大规模用户权益。
2. 公示与审核流程优化
- 报告提交后,通过以下机制透明化操作:
- 双层审核:首次审核谁完成不限;
- 质询机制:允许质询报告真实性;
- 奖励发放时间:在三周公示期无异议后立即执行。
3. 社区协作与奖励分配
- 审查者奖励:
- 提供有效Bug审查的审查者,奖励为报告者奖金的10%;
- 质询成功的审查者,奖励为原报告者奖金的5%。
- 去中心化治理工具:
- Bug报告与奖励支付均需通过智能合约链上管理;
- 所有赏金支付透明。
(三)激励机制与生态扩展
1. 提高社区参与度
通过以下方法鼓励更多 Human 或 AI 参与:
- 定期举办安全挑战赛;
- 提供年度“最佳Bug猎人”称号及荣誉通证,通证持有者可参与治理提案。
2. 增强开发者信心
- 为开发者提供漏洞发现的培训课程;
- 鼓励开发者主动提交潜在漏洞,通过“预防性报告”机制获得奖励。
通过上述补充细则,Satoshi Security Bounty计划不仅增强了奖励量化的精细化程度,也优化了治理与参与流程,进一步确保生态的安全、公正与激励平衡。