지난주 FVM 마일스톤(Milestone) 0.5 진행률 업데이트에 이어, FVM 버그 바운티 프로그램을 발표하고 버그 헌터 및 커뮤니티 개발자들을 초대하여 파일코인 네트워크 업그레이드 v16 Skyr의 일환으로 5월 FVM M1 릴리스에 대비하여 FVM 마일스톤 1 코드베이스의 취약성을 찾는 데 도움을 달라고 요청했다.
파일코인 가상 머신은 여러 이정표에서 파일코인의 메인넷에 추가되고 있다. 마일스톤 1의 일부로 파일코인 네트워크는 파일코인 가상 머신의 독점 사용으로 전환된다. 이는 모든 클라이언트 구현에서 현재 레거시 VM에서 새로운 Wasm 기반 참조 FVM의 채택으로 전환하는 상당한 변화를 나타낸다.
여기에는 Wasm 실행 비용을 설명하는 새로운 가스 모델도 포함될 것이다. 현재로서는 러스트(Rust)의 내장 액터만 마일스톤 1에 지원되며, 사용자 프로그래밍이 가능한 액터들은 9월(추정)의 이후 마일스톤 2 릴리스에 대한 수평선에 있다.
이것은 완전히 새로운 코드베이스이기 때문에 현재 주요 초점 영역 중 하나는 구현의 잠재적인 버그에 대해 M1 코드베이스를 감사하도록 더 많은 외부 개발자를 초대하는 것이다. 또한 파일코인 커뮤니티에 FVM 및 업데이트된 내장 액터 v8의 참조 구현을 탐색하여 접근 방식에 대한 피드백을 제공할 기회를 제공하고자 한다.
이 프로그램을 통해 버그 헌터들에게 인센티브를 제공하는 것 외에도 파일코인 기여 팀 전체의 구성원이 1차 내부 감사를 수행했으며 외부 보안 전문가의 감사를 시작했다. 몇 가지 강화 작업도 진행 중이다.
FVM M1 버그 보너스의 적용 범위
1. 참조 FVM(ref-fvm)
- 파일코인 VM의 참조 구현(사양).
- 러스트로 작성되었으며 FFI를 통해 러스트가 아닌 클라이언트에 통합되거나 러스트 클라이언트에 직접 통합된다.
- FFI를 통해 Ref FVM을 Lotus에 통합한다.
- Go로 작성됐다.
- (목록에 나열된 PR은 코드베이스의 진입점에 불과하지만, 범위가 이에 한정되는 것은 아니다. 이는 마스터 및 기타 보류 중인 PR에 있는 내용을 검토하면 된다).
- FFI 글루 코드.
- Go와 로스트로 쓰임.
- (위와 같이 연계된 PR은 진입점에 불과하지만, 그 범위가 이에 한정되는 것은 아니다).
4. 기본 제공 액터
- 러스트로 작성된 Wasm 컴파일 내장 액터는 모든 파일코인 클라이언트에서 사용된다.
- 액터에 대한 액터 사양 및 테스트 백터를 참조할 수 있다.
- Go로 작성된 실행 가능 사양은 filecpon-project/specs-actors에서 사용할 수 있으며, 이는 파일코인 네트워크 pre-FVM에 전원을 공급한다.
- 감사 행위자는 일반적으로 파일코인 도메인 전문 지식이 필요하다.
보상 및 범위 밖의 기능
FVM 팀은 M1을 배송하기 전에 커뮤니티로부터 코드를 검토하는데 가능한 많은 도움을 받고자 한다. 그러나 현재 강화가 진행 중인 것으로 알려진 특정 영역이 있다. 이를 위해 정기적으로 업데이트될 깃허브(Github)에 나열된다고 알려진 문제를 포함하여 범위에 대한 제외 목록을 만들었다. 이 지역들은 이 명단에서 제외된 후에야 포상금을 받을 수 있다.
FVM M1 버그 보고에 대한 보상은 파일코인 보안 프로그램의 일반적인 버그 보상과 동일하다. 마찬가지로, 범위를 벗어난 것을 포함하여 일반 파일코인 보안 프로그램의 규칙이 적용된다.
파일코인 클라이언트 구현(로터스(Lotus), 비너스(Venus), 포레스트(Forest), 푸혼(Fuhon)) 및 파일코인 증명 라이브러리의 버그는 일반 파일코인 보안 프로그램 범위 및 보상에 속한다. 마지막으로 이전 파일코인 감사는 파일코인 사양의 감사 섹션에서 찾을 수 있다.
테스트 도구
노드 구현 간의 상호 운용성 테스트를 지원하는 파일코인 테스트 벡터를 기반으로 하는 FVM 테스트 벡터는 특히 FVM을 대상으로 하고 전체 기능을 실행한다. 커뮤니티 개발자 팀은 FVM의 정확성을 테스트하기 위해 통합 테스트 프레임워크를 개발하고 있다. FVM의 다양한 구성 요소도 퍼징될 것이다.
버그 보고
취약점을 보고하려면 [email protected]에 연락하여 보너스를 받으면 된다. 여기에 나열된 기밀 보고 지침을 사용할 수 있다. 또는 FVM 버그 바운티 프로그램이 여기 깃코인에 게시되어 있으며 ImmuneFi에서도 공유될 예정이다.
슬랙(Slack), 트위터(Twitter) 등에서 공개발표를 하거나 취약성에 대해 논의할 시 보상을 받을 수 없다.
앞을 내다보다
5월 말까지 기존 개발자 커뮤니티와 새로운 외부 개발자들이 FVM M2에 사용자 프로그래밍 가능성 및 EVM 호환성을 추가하기 위해 향후 이정표를 세우기에 앞서 FVM M1의 광범위한 잠재적 취약성을 발견하는 데 도움이 되기를 바란다.
이것은 파일코인 프로토콜에 추가된 가장 흥미로운 것 중 하나가 될 것이다. 커스텀 액터를 통해 개발자는 프로그래밍 가능한 스토리지에서 DeFi, DAO, 구독, 보험 등에 이르기까지 파일코인이 제공할 수 있는 매우 광범위한 잠재적 사용 사례를 활용할 수 있다. 더 많은 기회에 대해 알아보려면 FVM 웹 사이트를 방문하면 된다.
M2의 출시를 준비하기 위해, FVM 팀은 7월에 예정된 M2 코드베이스에 대해 더 많은 보안 감사와 또 다른 버그 바운티 라운드를 시작할 것이다. 또한 개발자 워크플로우, 툴링 및 초기 dapps를 포함한 초기 빌더를 위한 FVM Foundry Program을 통해 초기 FVM을 사용해 볼 수 있도록 다양한 개발자 그룹을 초대했다.
이번 여름 M2에 대한 FVM 버그 보너스를 기대할 수 있다.
더욱 다양한 정보 및 방송 관련 소식은
공식 SNS 채널을 통해 확인 가능합니다.