Solanaは、高性能でパーミッションレスなブロックチェーンであり、分散型アプリケーション向けのスケーラブルなインフラを提供しています。ネットワークの最大限のレジリエンスを確保するために、Solana FoundationはSolana Agave Security Bug Bountiesプログラムを継続的に運営しています。このプログラムは、Agaveバリデータークライアント向けで、Anzaリポジトリを通じて管理されており、セキュリティリサーチャーが重大なネットワーク脆弱性を責任を持って開示することを奨励しています。2024年2月1日からの主要なポリシーアップデートにより、報酬はSOLトークンでのみ支払われ、12か月間ロックされたステークアカウントとして配布されます。
参加者は、開示された脆弱性の重大度に応じて、ロックされたSOLをさまざまな額で獲得できます。最高ランクはLoss of Fundsのエクスプロイトを対象としており、最大で25,000 SOL(最低でも6,250 SOL)が付与されます。その他の重要なランクには、Consensus/Safety Violationsがあり、報酬は3,125から12,500 SOLの間で支払われます。一方、LivenessやLoss of Availabilityの問題は、1,250から5,000 SOLの範囲で報酬が与えられます。RPC DoSクラッシュのような軽微なバグは、20から65 SOLの報酬となります。
このプログラムは、公式のGitHubポータルでの厳格なプライベート開示プロセスを通じて運営されています。提出物には、Agaveモノレポのmaster branchに影響を与える堅牢なProof-of-Concept(PoC)が含まれている必要があります。この厳格なプログラムの効果は、最近の2025年4月に実証されました。セキュリティリサーチャーのLonelySlothが、ZK ElGamal Proof Programに存在する重大な脆弱性を特定し報告し、これはAgaveのバージョンv2.1.21およびv2.2.11で迅速にパッチが適用されました。
GitHubアカウントで二要素認証(2FA)を有効にしてください。
公式Agaveリポジトリのプライベートレポーティングポータルにアクセスしてください。
マスターブランチに影響を与える動作するエクスプロイトのプルーフ・オブ・コンセプト(PoC)とともに詳細なレポートを提出してください。
72時間以内に返信がない場合は、完全なアドバイザリーURLを添えてAnzaセキュリティチームに[email protected]までメールを送信してください。
ロックされたSOL報酬の配布前に、必須のKYC認証を完了してください。