Anyone Protocol主网上线前启动五重CTF漏洞赏金计划,邀你挑战服务器与智能合约

📅 发布时间:2026/7/13 8:36:45 👁️ 浏览次数:
Anyone Protocol主网上线前启动五重CTF漏洞赏金计划,邀你挑战服务器与智能合约
Anyone 漏洞赏金计划随着我们为主网准备基础设施将其开放给社区进行外部测试是我们公开证明技术栈的方式。这不仅展示了对我们构建的基础设施的自信也体现了我们自身流程的透明度。在这篇与我们的首席架构师 Kanshi 合作撰写的文章中我们将分解不同类型的挑战概述规则和约束并向您介绍该计划的运作方式。该挑战尚未上线本公告旨在让社区为即将启动的活动做好准备。参与挑战所需的种子详情和其他具体信息将在上线时公布。挑战设置Anyone 正在其预演环境staging中举办一场包含五个轨道的“夺旗”CTF挑战赛奖池由硬件设备、Anyone 代币和 USDT 组成。我们围绕不同的预演环境设置了五个轨道并将提供种子详情服务器 IP、端点、合约地址、AO 进程 ID以便开始每个轨道的挑战。参与者将仅测试指定范围内的目标捕获所需的证明和简要方法并通过指定的隐藏服务使用指定模板提交他们的发现。我们将在 48 小时内进行评审修复已验证的问题修复后发布报告并支付赏金如果您喜欢在服务器、网络、代码仓库、合约和 AO 进程中寻找边缘漏洞那么这个活动非常适合您。本文将详细介绍该计划的更多信息。五个挑战轨道本节概述了五个轨道包括它们的目标、目的、可接受的证明、赏金和难度。1. 代码考古学 —— 开发边界 (简单)目标Anyone 公共代码仓库和提交历史。目的从 Anyone 的 GitHub 账户中查找泄露的密钥/令牌/凭据。成功证明指向提交/文件的链接。证明其未被轮换且仍处于活跃状态。证明它在组织外部可访问例如您的 Action 运行记录。赏金前10个独特秘密中的每一个可获得一个硬件中继器。2. 操作室 —— 网络边界 (中等)目标Ops UI 端点 (*.ops.anyone.tech)目的在没有有效凭据的情况下绕过oauth2_proxy。访问您本无权访问的服务。如果可能将只读权限提升为写入权限。成功证明未经授权访问的屏幕截图以及您请求的 HTTP 日志。赏金前3个独特利用中的每一个可获得2000 个代币。注意Grafana 有自己的身份验证。同时绕过两层验证可获得额外好评。3. 进程劫持 —— AO 协议 (困难)目标预演环境 AO 进程中继/质押/操作员注册表。目的执行未经授权的写入操作或将权限从只读提升。成功证明进程交易 ID 和方法文档。赏金前3个独特利用中的每一个可获得5000 个代币。4. 持有者金库 —— 智能合约 (困难)目标预演环境预演环境 Hodler 合约地址将稍后提供。目的耗尽资金。操纵状态、实现重入或任何严重漏洞。成功证明预演环境上的交易哈希和详细的利用报告。赏金10,000 USDT。5. Anyone 之墙 —— 服务器边界 (非常困难)目标指定的 dev-box 及其参考设置。目的获得未经授权的 SSH 访问权限或绕过防火墙规则权限提升至 root 角色。成功证明生成一个包含CTF_FLAG_FORTRESS_[您的公钥]_[时间戳]的系统日志条目。赏金20,000 USDT。额外奖励挑战a) 首杀第一个捕获到任意 flag 的人将额外获得250 个代币。b) 白皮书最佳报告/方法将额外获得500 个代币。关于测试范围只有下列资产属于本次 CTF 的测试范围。所有测试必须针对预演环境且仅针对范围内提及的目标。完整的范围内目标列表包括服务器 IP、Ops 端点、合约地址和 AO 进程 ID 等将很快公布。目前参与者可以先熟悉一下将包含的大致类别。范围内服务器操作系统SSH防火墙WireGuard 接口网格端点oauth2Grafana网络信息服务GitHub:公共代码仓库提交历史GitHub Actions 配置 / CI/CD区块链AO 进程中继奖励质押奖励操作员注册表范围外生产/线上基础设施团队成员个人账户/电子邮件社区成员数据此处未列出的任何端点线上/主网合约或进程允许的行为枚举指定目标尝试认证每个端点 ≤20 次/小时分析公共仓库测试预演环境合约负责任地使用自动化工具记录所有操作禁止的行为DDoS/资源耗尽对团队或社区进行网络钓鱼访问或修改其他参与者的提交修改/删除数据证明您有能力做到即可在修复完成或计划结束前公布细节利用零日漏洞完成挑战意外情况处理意外接触到生产环境→立即停止并通过支持渠道通知我们。发现严重漏洞→ 在您的提交中标记为紧急。造成服务中断→停止测试并通知我们。提交模板我们在 Anyone 网络中创建了一个专门的隐藏服务供参与者提交他们的发现。提交内容[标题/提交]用户名[您的化名]公钥[用于接收奖励]轨道[1–5]时间戳[您捕获到漏洞的时间]利用证明[屏幕截图、日志、交易哈希等]方法简述[您是如何发现的2-3 句话]影响评估[攻击者可以利用此漏洞做什么低/中/高/严重]详细报告[可选支付赏金时需要。可在计划结束后补充]保密协议我同意在 Anyone 团队发布修复和公开报告之前不公开此发现。双方的共同承诺参与者同意仅测试指定范围内的目标仅限预演环境。负责任地报告发现并提供足够详细的信息以便复现。在我们完成修复并公布之前不公开细节。接受我们关于赏金的最终决定。我们Anyone 团队同意在 48 小时内回复您的提交。及时修复已验证的问题。在公开报告中署名如果您愿意也可以保持匿名。在计划结束后的 30 天内支付赏金。该计划是一种在主网上线前让更多人关注我们预演环境技术栈并加强它的有效方式。我们很高兴能很快向社区开放这个活动并将优秀的报告转化为持久的改进。现在请熟悉测试范围查看提交模板并准备好在挑战上线后参与其中。感谢您帮助我们使 Anyone 更安全。准备好寻猎了吗敬请期待Anyone 的赏金即将到来。FINISHEDCSD0tFqvECLokhw9aBeRqr6Fhgq4rBOzMVKudcYXFcftq3QJzDuBp0rF3ITaCSFL6OsWOVB7NmKTxdKUaqJ4vtzqzPn9NeLb8i4KTQeQ更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享