FVM Milestone 1 バグバウンティプログラム & オーディットが登場
先週のFVMマイルストーン0.5開発状況に続き、FVMバグバウンティプログラムが発表され、Filecoinネットワークアップグレードv16 Skyrの一部として、バグハンターやコミュニティ開発者に、5月のFVM M1リリースに向けてFVMマイルストーン1のコードベースにおける脆弱性の発見に協力いただくことを呼びかけています。
Filecoinバーチャルマシンは、いくつかのマイルストーンでFilecoinメインネットに追加される予定です。マイルストーン1の一部として、FilecoinネットワークはFilecoinバーチャルマシンの独占的使用に移行する予定です。これは、現在のレガシーVMから、すべてのクライアント実装による新しいWasmベースのリファレンスFVMに切り替えるという本質的な変化を意味しています。
それに、Wasmの実行コストを考慮した新しいガスモデルも含まれることになっています。今のところ、Milestone 1でサポートされているのは、built-in actors in Rustだけだったが、9月に予定されている後期Milestone 2のリリースではユーザプログラマブルアクタが射程にに入りました。
これは全く新しいコードベースのため、私たちが集中している分野の1つとして、実装コードに潜在的なバグがないかというM1コードベースの監査であり、そのためには、より多くの外部開発者を招待したいと考えています。さらに、Filecoinコミュニティに私たちのFVMレファランス実装とアップデートされたBuiltin actors v8を精査する機会を与え、そのアプローチについてフィードバックを提供したいと思います。
このプログラムを通じてバグハンターにインセンティブを与えるほか、Filecoinコントリビューターチーム全体のメンバーによってファーストパス内部監査が実施され、外部のセキュリティ専門家による監査も開始されました。また、いくつかのハードニングの取り組みも進行中です。
FVM M1バグバウンティーの対象範囲
レファランスFVM (ref-fvm)
Filecoin VMのレファランス実装(specs).
Rustで書かれて、FFIを経由してRust以外のクライアントに統合されるか、またはRustクライアントに直接統合されることを想定しています。
Ref FVMをFFI経由でLotusに統合
Goで書かれている
(記載されているPRはコードベースへの入り口に過ぎませんが、範囲はそれに限定されるものではありません。masterにあるものや他の保留中のPRの検査も範囲内にあります)
FFIのグルーコード
RustとGoで書かれている
(上の項目と同じ、リンク先のPRはあくまで入り口であるが、範囲はそれに限定されるものではない)
Rustで書かれ、Wasmでコンパイルされた組み込みアクターは、すべてのFilecoinクライアントで使用されています。
アクター用のactors specとtest vectorsが公開されているので、ご参考ください。
Goで書かれた実行可能なスペックはfilecoin-project/specs-actorsで入手できます。これらはFVM以前のFilecoinネットワークにパワーを提供するものになります。
アクターの監査には通常、Filecoinのドメインの専門知識が必要であることにご注意ください。
報酬と対象範囲外のもの
FVMチームは、M1をリリースする前に、コミュニティからコードのレビューにおいてできるだけ多くのヘルプがほしいと考えています。しかし、すでにハードニング中の既知の領域があります。そのため、彼らは Excludes to Scope including Known Issues をGithubにリストアップし、定期的に更新しています。このリストにチェックが入って初めて懸賞金の対象となります。
FVM M1バグの報告に対する報酬は、Filecoinセキュリティプログラムにおける通常のバグバウンティ報酬と同じです。同様に、通常のFilecoinセキュリティプログラムのルールが適用され、対象外のものも含まれます。
Filecoinクライアント実装(Lotus、Venus、Forest、Fuhon)とFilecoin Proofsライブラリのバグは、通常のFilecoin Security Program scopeに従います。最後に、過去のFilecoin監査はFilecoin Specsの監査セクションをご参照ください。
テストツール
ノード実装間の相互運用性のテストをサポートするFilecoinテストベクターをベースに、FVMテストベクターは特にFVM全体をターゲットにして実行します。また、コミュニティ開発者チームは、FVMをテストするための統合テストフレームワークに取り組んでいます。FVMの様々なコンポーネントもファジングされる予定です。
バグを報告する
脆弱性の報告は、報奨金の対象となるため、ぜひsecurity@filecoin.ioまでご連絡ください。機密報告ガイドラインを利用することができます。または、FVMバグバウンティプログラムはGitcoinにも掲載されているほか、ImmuneFiでも共有されます。
SlackやTwitterなどの公共の場でパブリックイッシューを提出したり、脆弱性について議論したりすることは しないでください 、報酬の対象外となります。
これからの予定
5月末までは、既存の開発者コミュニティや外部の新規開発者にご協力いただき、FVM M1の潜在的な脆弱性を幅広く発見し、FVM M2でのユーザープログラマビリティとEVM互換性の追加というマイルストーンにつなげていきたいと考えています。
これは、Filecoinプロトコルの最もエキサイティングな新機能の1つになるでしょう。カスタムアクターにより、開発者はプログラマブルストレージからDeFi、DAO、サブスクリプション、保険など、Filecoinが提供できる実に幅広い潜在的ユースケースを活用することができるようになるのです。FVMウェブサイトをご覧いただき、より多くの機会を手に入れましょう。
M2のリリースに備え、FVMチームは7月により多くのセキュリティ監査と、次期M2コードベースに対する別のバグバウンティラウンドを開始する予定です。また、開発者のワークフロー、ツール、および初期Dappsを含む初期ビルダー向けのFVM Foundry Programを通じて、多様な開発者グループに初期FVMを試していただくことも進行しています。
この夏はM2向けてのFVMバグバウンティにご期待ください!