Anyone Protocol主网上线前启动五重CTF漏洞赏金计划,邀你挑战服务器与智能合约 📅 发布时间:2026/7/13 8:36:45 👁️ 浏览次数: Anyone 漏洞赏金计划随着我们为主网准备基础设施将其开放给社区进行外部测试是我们公开证明技术栈的方式。这不仅展示了对我们构建的基础设施的自信也体现了我们自身流程的透明度。在这篇与我们的首席架构师 Kanshi 合作撰写的文章中我们将分解不同类型的挑战概述规则和约束并向您介绍该计划的运作方式。该挑战尚未上线本公告旨在让社区为即将启动的活动做好准备。参与挑战所需的种子详情和其他具体信息将在上线时公布。挑战设置Anyone 正在其预演环境staging中举办一场包含五个轨道的“夺旗”CTF挑战赛奖池由硬件设备、Anyone 代币和 USDT 组成。我们围绕不同的预演环境设置了五个轨道并将提供种子详情服务器 IP、端点、合约地址、AO 进程 ID以便开始每个轨道的挑战。参与者将仅测试指定范围内的目标捕获所需的证明和简要方法并通过指定的隐藏服务使用指定模板提交他们的发现。我们将在 48 小时内进行评审修复已验证的问题修复后发布报告并支付赏金如果您喜欢在服务器、网络、代码仓库、合约和 AO 进程中寻找边缘漏洞那么这个活动非常适合您。本文将详细介绍该计划的更多信息。五个挑战轨道本节概述了五个轨道包括它们的目标、目的、可接受的证明、赏金和难度。1. 代码考古学 —— 开发边界 (简单)目标Anyone 公共代码仓库和提交历史。目的从 Anyone 的 GitHub 账户中查找泄露的密钥/令牌/凭据。成功证明指向提交/文件的链接。证明其未被轮换且仍处于活跃状态。证明它在组织外部可访问例如您的 Action 运行记录。赏金前10个独特秘密中的每一个可获得一个硬件中继器。2. 操作室 —— 网络边界 (中等)目标Ops UI 端点 (*.ops.anyone.tech)目的在没有有效凭据的情况下绕过oauth2_proxy。访问您本无权访问的服务。如果可能将只读权限提升为写入权限。成功证明未经授权访问的屏幕截图以及您请求的 HTTP 日志。赏金前3个独特利用中的每一个可获得2000 个代币。注意Grafana 有自己的身份验证。同时绕过两层验证可获得额外好评。3. 进程劫持 —— AO 协议 (困难)目标预演环境 AO 进程中继/质押/操作员注册表。目的执行未经授权的写入操作或将权限从只读提升。成功证明进程交易 ID 和方法文档。赏金前3个独特利用中的每一个可获得5000 个代币。4. 持有者金库 —— 智能合约 (困难)目标预演环境预演环境 Hodler 合约地址将稍后提供。目的耗尽资金。操纵状态、实现重入或任何严重漏洞。成功证明预演环境上的交易哈希和详细的利用报告。赏金10,000 USDT。5. Anyone 之墙 —— 服务器边界 (非常困难)目标指定的 dev-box 及其参考设置。目的获得未经授权的 SSH 访问权限或绕过防火墙规则权限提升至 root 角色。成功证明生成一个包含CTF_FLAG_FORTRESS_[您的公钥]_[时间戳]的系统日志条目。赏金20,000 USDT。额外奖励挑战a) 首杀第一个捕获到任意 flag 的人将额外获得250 个代币。b) 白皮书最佳报告/方法将额外获得500 个代币。关于测试范围只有下列资产属于本次 CTF 的测试范围。所有测试必须针对预演环境且仅针对范围内提及的目标。完整的范围内目标列表包括服务器 IP、Ops 端点、合约地址和 AO 进程 ID 等将很快公布。目前参与者可以先熟悉一下将包含的大致类别。范围内服务器操作系统SSH防火墙WireGuard 接口网格端点oauth2Grafana网络信息服务GitHub:公共代码仓库提交历史GitHub Actions 配置 / CI/CD区块链AO 进程中继奖励质押奖励操作员注册表范围外生产/线上基础设施团队成员个人账户/电子邮件社区成员数据此处未列出的任何端点线上/主网合约或进程允许的行为枚举指定目标尝试认证每个端点 ≤20 次/小时分析公共仓库测试预演环境合约负责任地使用自动化工具记录所有操作禁止的行为DDoS/资源耗尽对团队或社区进行网络钓鱼访问或修改其他参与者的提交修改/删除数据证明您有能力做到即可在修复完成或计划结束前公布细节利用零日漏洞完成挑战意外情况处理意外接触到生产环境→立即停止并通过支持渠道通知我们。发现严重漏洞→ 在您的提交中标记为紧急。造成服务中断→停止测试并通知我们。提交模板我们在 Anyone 网络中创建了一个专门的隐藏服务供参与者提交他们的发现。提交内容[标题/提交]用户名[您的化名]公钥[用于接收奖励]轨道[1–5]时间戳[您捕获到漏洞的时间]利用证明[屏幕截图、日志、交易哈希等]方法简述[您是如何发现的2-3 句话]影响评估[攻击者可以利用此漏洞做什么低/中/高/严重]详细报告[可选支付赏金时需要。可在计划结束后补充]保密协议我同意在 Anyone 团队发布修复和公开报告之前不公开此发现。双方的共同承诺参与者同意仅测试指定范围内的目标仅限预演环境。负责任地报告发现并提供足够详细的信息以便复现。在我们完成修复并公布之前不公开细节。接受我们关于赏金的最终决定。我们Anyone 团队同意在 48 小时内回复您的提交。及时修复已验证的问题。在公开报告中署名如果您愿意也可以保持匿名。在计划结束后的 30 天内支付赏金。该计划是一种在主网上线前让更多人关注我们预演环境技术栈并加强它的有效方式。我们很高兴能很快向社区开放这个活动并将优秀的报告转化为持久的改进。现在请熟悉测试范围查看提交模板并准备好在挑战上线后参与其中。感谢您帮助我们使 Anyone 更安全。准备好寻猎了吗敬请期待Anyone 的赏金即将到来。FINISHEDCSD0tFqvECLokhw9aBeRqr6Fhgq4rBOzMVKudcYXFcftq3QJzDuBp0rF3ITaCSFL6OsWOVB7NmKTxdKUaqJ4vtzqzPn9NeLb8i4KTQeQ更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享
Java求职面试:互联网大厂音视频场景技术深度解析 场景背景 超好吃是一名刚刚毕业的Java程序员,他希望进入一家知名互联网大厂从事音视频相关技术研发工作。今天,他来到了这家公司参与面试。面试官是一位经验丰富的技术专家,带着严肃和专业的态度对超好吃进行技术提问。第一轮:基础… 2026/7/9 8:58:55
从SEO到GEO:谁在主导AI搜索优化的技术变革? 在数字营销这个领域之内,跟着生成式AI那种爆发式的增长态势,传统的SEO也就是搜索引擎优化,正在朝着GEO也就是生成引擎优化的方向迅速地演进。GEO它的核心目标,已经不再是仅仅只为了让网站置身于搜索结果里排名靠前,而是… 2026/7/10 14:09:12
FastAPI实战:WebSocket长连接保持与心跳机制,从入门到填坑 📌 摘要:本文通过一个真实的上线案例,详细讲解FastAPI与JavaScript实现WebSocket长连接保持的心跳机制。你会了解为什么连接会断、心跳原理是什么、前后端代码怎么写,以及那些文档里没写的调优陷阱。照着做,让你的实时… 2026/7/10 8:41:20
4K流媒体技术解析:从编码压缩到播放优化的全链路实践 一口气看完4K画质神作《遗愿清单》,两位身患绝症、阶层迥异的病房老人,结伴奔赴环球冒险,逐一实现死前心愿,笑泪交织道尽人生遗憾与热爱。 当技术遇上电影艺术,4K修复如何让经典作品重获新生?《遗愿清单》… 2026/7/13 8:36:00
neon Pageserver 的数据模型 1. 初始状态:来自 initdb.tar 当创建一个新 timeline 时,pageserver 通过 bootstrap_timeline() (tenant.rs:5269): 运行 initdb 生成初始数据目录将其压缩为 initdb.tar.zst 上传到 S3 远程存储将数据目录导入为 layer 文件(im… 2026/7/13 8:36:00
数字 IC 项目 Makefile 模板解析:从 10+ 文件管理到一键仿真/综合 数字IC项目Makefile工程化实践:从零构建自动化设计流程在数字集成电路设计领域,效率与可靠性往往决定着项目成败。当RTL代码规模膨胀到数十个文件,当验证环境需要协调多种EDA工具,当团队成员频繁切换工作场景——一套精心设计的Ma… 2026/7/13 8:33:59
AI视频生成实战:Seedance 4K与Claude Fable 5打造足球短片 这次我们来拆解一个完整的AI足球短片制作流程,重点不是讲概念,而是看怎么用Seedance 4K和Claude Fable 5这两个工具,从零开始做出一部有情感冲击力的足球短片。如果你关心AI视频生成的实际效果、硬件门槛、工作流衔接和批量任务处理ÿ… 2026/7/13 8:33:59
C++继承中using声明的精准访问权限控制实战指南 1. 项目概述:为什么我们需要精准控制继承访问权限? 在C的继承体系中,访问权限控制是构建健壮、安全且易于维护的类层次结构的基石。我们经常遇到这样的场景:你设计了一个功能丰富的基类,其中包含了一些核心实现细节&am… 2026/7/13 8:31:59
Vulnhub y0usef 靶场实战:3种403绕过技巧与文件上传漏洞利用 Vulnhub y0usef 靶场实战:3种403绕过技巧与文件上传漏洞利用 在网络安全渗透测试的学习过程中,Vulnhub靶场因其丰富的实战场景和多样化的漏洞环境,成为安全爱好者提升技能的重要平台。y0usef靶场作为其中较为经典的练习环境,不仅涵… 2026/7/13 8:31:59
HS2-HF Patch终极指南:如何用3步解决Honey Select 2的70+个痛点 HS2-HF Patch终极指南:如何用3步解决Honey Select 2的70个痛点 【免费下载链接】HS2-HF_Patch Automatically translate, uncensor and update HoneySelect2! 项目地址: https://gitcode.com/gh_mirrors/hs/HS2-HF_Patch 你是否曾经在Honey Select 2中遇到过… 2026/7/13 0:01:19
语音转文字工具AsrTools:让音频整理变得简单高效 语音转文字工具AsrTools:让音频整理变得简单高效 【免费下载链接】AsrTools ✨ AsrTools: Smart Voice-to-Text Tool | Efficient Batch Processing | User-Friendly Interface | No GPU Required | Supports SRT/TXT Output | Turn your audio into accurate text … 2026/7/13 0:03:19
基于深度学习的蘑菇或花卉或动漫人物或中草药货水果蔬菜等识别系统31(设计源文件+万字报告+讲解)(支持资料、图片参考_相关定制)_ 基于深度学习的蘑菇或花卉或动漫人物或中草药货水果蔬菜等识别系统31(设计源文件万字报告讲解)(支持资料、图片参考_相关定制)_ 独家界面!不会重复,此项目属于本人原创,若有雷同,均是盗卖,各位买… 2026/7/13 0:05:20
Git reset 与 revert 深度对比:5个关键差异与 3 种典型应用场景 Git Reset 与 Revert 深度对比:5个关键差异与3种典型应用场景在团队协作开发中,代码版本管理如同行走钢丝——一步失误可能导致整个项目陷入混乱。作为Git进阶用户,你是否曾在深夜面对错误的提交束手无策?是否在强制推送后收到同事… 2026/7/13 8:31:55
GitHub 学生包申请避坑:5个常见失败原因与开发者工具调试方案 GitHub 学生包申请技术排障指南:5个高频失败场景与开发者工具实战方案第一次尝试申请GitHub学生包时,我盯着屏幕上那个不断转圈的加载动画整整15分钟,最终只等来了一行冰冷的错误提示。这可能是许多开发者共同的经历——明明按照教程操作&… 2026/7/12 0:01:13
冒烟测试用例设计规范:5%-10%覆盖率下的3类核心场景与执行标准 冒烟测试用例设计的黄金法则:5%-10%覆盖率下的精准筛选策略在快节奏的敏捷开发环境中,冒烟测试作为质量保障的第一道防线,其重要性不言而喻。当测试资源有限而时间紧迫时,如何从海量测试用例中精准筛选出那关键的5%-10%࿰… 2026/7/13 2:34:55