?

10月16日，aelf Enterprise 1.0.0 RC 1 版正式发布。这意味着，当前aelf公开测试网已实现主网启动所需的全部功能，且运行十分稳定，该版本将作为主网启动前进行代码审计的版本。当代码审计完成并修复漏洞后，会择期使用该版本正式启动主网。

?

为了确保aelf公开测试网代码的安全性，“aelf公开测试网代码审计报告全球悬赏计划”将于今日正式开启！作为一个开源项目，aelf始终把网络安全性列为最高优先级，并且非常重视社区为建立和维护网络安全所做的贡献，此次发起代码审计报告全球悬赏计划，旨在为主网顺利上线保驾护航，同时让开发者、技术极客以及安全研究团队能够充分参与到aelf生态建设中来。

?

按照该悬赏计划，aelf团队为提交aelf公开测试网代码审计报告的参与者准备了丰厚的奖励。参与者将有机会赢得20万元人民币等值的ELF大奖，除此之外，还有多重奖励等你来解锁。值得一提的是，aelf团队还特设了“百万审计风险金”，主要用于未来aelf主网的审计风险评控。

?

本次活动是作为赏金任务基于aelf DAO发布的，可确保活动流程执行及赏金发放等事宜全程公开透明。欢迎全球深耕安全领域的研究及开发团队踊跃报名参与，赢取ELF奖励！

?

活动时间

2020年10月22日 18:00 - 12月22日 18:00（SGT）

?

参与要求

1. 仅限专业研究及开发团队报名参与，严格依照报名流程进行报名；

2. 参与方需参照aelf技术团队【审计目标】制定详尽的审计策略，以最贴近真实攻击的方式，对项目方进行完整的安全测试，并按照要求提交完备、规范的审计报告；

3. 安全测试的主要入口及范围为【审计目标】里的约定，并根据实际测试需要扩展到范围之外的上下文环境；

4. 审计完成后，aelf技术团队会对审计问题进行修复及二次验证，参与方需积极配合该验证过程。

?

报名流程

参与者需清晰地填写报名表单内的相关报名信息。报名信息提交后，aelf官方会与参与者及时取得联系，确认报名参与资格。

?

国内报名表单：

http://blockchain-aelf.hk.mikecrm.com/f7AmlGt?

?

海外报名表单：

https://docs.google.com/forms/d/e/1FAIpQLSd1hm6gmSb2lmq6MWyv7uZA3GTwQY0UNPdWp6ndPugO6NZYNA/viewform

?

奖项设置

评选标准：?

评审团将从审计报告的提交时间、内容完整度、内容质量等方面进行综合评估。若收到符合规则的审计报告，aelf有权提前结束活动，活动最终解释权归aelf团队所有。

?

伯乐奖说明：

针对非安全技术领域的用户，aelf团队也欢迎您关注活动，您可以推荐身边擅长安全技术的开发团队参与，若参与者被纳入悬赏（即获奖），该推荐者可获得888 ELF的奖励，伯乐奖设置5个名额。

?

特设百万审计风险金：aelf主网升级后，从系统收益中划拨出100万人民币等值ELF作为审计风险金，通过股权绑定的方式奖励给第三方审计机构（不限于团队或个人开发者）；股权绑定的1年期间，aelf主网不出现任何安全问题或漏洞，100万人民币等值ELF将作为第三方审计机构的年度收益；如果出现安全问题，则从审计风险金里根据漏洞级别扣取（具体扣取标准由aelf团队制定），第一笔审计风险金将于主网上线时由aelf基金会支付。

?

aelf项目信息

官方介绍：aelf是去中心化云计算区块链网络，基于DPoS共识，使用C#编写。

项目官网：https://aelf.io/?

项目源码仓库：https://github.com/AElfProject/AElf?

开发者文档地址：https://docs.aelf.io/en/latest/

?

评审及反馈流程

评审人员：

评委将由aelf技术团队担任。

?

评审流程：

参与者提交审计报告后，aelf技术团队将会进行确认并对提交审计报告进行跟进评估，并在第一时间向审计方反馈评估结果。

?

最终悬赏名单公示：

活动结束后，最终悬赏名单及悬赏金额将在aelf官方公众号进行公示。

?

审计报告要求

?

• 审计目标：

对aelf公开测试网进行交易所侧安全审计，并出具安全审计报告。

（交易所侧安全指的是交易所接入目标主网可能面临的安全问题，比如资产损失、业务中断等。）

?

• 审计方式：

1. 推荐审计方法：

• 黑盒：站在外部从攻击者角度进行安全测试；

• 灰盒：通过脚本工具对代码模块进行安全测试，观察内部运行状态，挖掘弱点；

• 白盒：基于开源、未开源代码，对节点、SDK 等程序进行漏洞挖掘。

（黑盒和灰盒为aelf官方推荐的安全测试重点项目。）

?

1. 其他审计方法：其他完备系统的审计方法。

?

• 必含项目：

1. P2P 安全

2. RPC 安全

3. 加密签名安全

4. 账户与交易模型安全

5. 代码合规审计

?

• 撰写要求：

点击阅读原文查看附件模板。

?

• 提交流程及注意事项：

• 参与者需在活动截止日期之前完成审计报告，按照邮件主题【aelf代码审计报告 - 开发团队 - 团队联系方式】的格式发送至developer@aelf.io邮箱；

• 审计报告内容：支持尽可能多的安全检测项，报告中需正确表述代码中的缺陷、漏洞和潜在的编码风险，该项内容将被纳入最终评审标准之中。

• 审计报告的系统完备性、及提交时间先后顺序将纳入评审参考项。

• 在未获得aelf官方授权之前，参与者不得将审计报告测试数据等泄露给第三方，对参与者因数据泄露造成的侵权行为，aelf将保留相关的诉讼权利。

?

快速熟悉aelf公开测试网并高效实施代码审计的几点建议：

• 自建节点，在自建节点上进行相关安全测试（有助于快速熟悉链）；

• 对测试网或主网整体进行相关安全测试；

• 审计过程有任何疑问请及时与aelf官方交流对接，aelf将积极协作（包括但不限于：最新稳定的源代码、相关部署脚本或方法、交易签名脚本、交易所对接方案、测试币等）；

• 审计过程必要的信息会记录在 Google Docs 上，方便审计团队与项目方互相及时沟通；

• “代码合规审计”部分包含的交易所关键信息有：代码相似度检查，代码补丁审计，路线图审计，充值方案审计。

?

aelf衷心欢迎全球的安全研究团队及开发者积极参与此次活动， 也欢迎大家提出有建设性的优化建议，促进 aelf 生态的发展！