为什么我们的 Bounty System 使用 PowerBook G4 会给你更多报酬
抱歉,我需要您提供要翻译的具体文本内容才能进行翻译。请把文章的正文粘贴在这里(保留原有的 Markdown 格式),我会在保持源链接不变的前提下,将内容翻译成简体中文。
RustChain 赏金系统概览
大多数漏洞赏金计划的运作方式如下:
- 发现漏洞。
- 撰写报告。
- 等待约 3 个月,争论漏洞严重性,签署 NDA 后可能以法币获得报酬。
奖励与发现漏洞所使用的基础设施没有关联。
在 $3,000 的 MacBook Pro 上运行 Burp Suite 的研究员,获得的奖励与在 2002 年的 PowerBook G4 上逆向协议的研究员相同。
RustChain 的区别
- 赏金以 GitHub Issue 形式,以 RTC 代币计价。
- 研究员从透明的社区基金中获得报酬,基金预算有限。
- 在老旧硬件上挖矿收益更高——PowerBook G4 的收益是现代笔记本的 2.5 倍。
- 无需平台、无需注册、无需中间人抽成。
这不是比喻。 我们真的会为更老的电脑支付更高的报酬。
如何领取赏金
| 步骤 | 操作 |
|---|---|
| 1 | 在 Scottcjn/rustchain-bounties 中打开一个 GitHub issue。 |
| 2 | 阅读范围(标题 = 目标,正文 = RTC 奖励)。 |
| 3 | 完成工作。 |
| 4 | 提交 PR 或撰写报告。 |
| 5 | 在你的矿工钱包中收到 RTC 代币。 |
参考汇率: 1 RTC = $0.10 USD。
200 RTC 赏金相当于 $20 —— 相比 HackerOne 标准较为 modest,但旨在面向独立研究员而非企业红队。随着网络发展,代币可能升值。
当前活跃悬赏
| 悬赏 | 目标 | 奖励 | 难度 |
|---|---|---|---|
| Ledger Integrity | 伪造或篡改交易历史 | 200 RTC | Hard |
| Consensus Attacks | 打破 RIP‑200 轮询,伪造证明 | 200 RTC | Hard |
| Epoch Settlement | 操纵奖励计算或分配 | 150 RTC | Medium |
| Pending Transfers | 利用待处理转账队列 | 150 RTC | Medium |
| API Auth | 绕过管理员认证或提升权限 | 100 RTC | Medium |
| Ergo Anchor | 伪造或重放 Ergo 区块链锚点 | 100 RTC | Medium |
总计: 6 个活跃悬赏 → 900 RTC (≈ $90 按参考汇率)。
这些是 真实、明确范围 的攻击面,来源于安全审计。
案例研究:BuilderFred(2026 年 2 月)
一位名为 BuilderFred 的研究员对 RustChain 节点进行了全面审计,发现了 6 项有效漏洞,并获得了 150 RTC(网络上的首笔赏金支付)。
发现
-
VM Fingerprint Bypass – 服务器信任自报的
"passed": true来进行硬件检查。
修复方案: 服务器现在要求提供原始证据数据并自行验证。 -
Antiquity Spoofing – 现代 CPU 可以伪装成 G4 PowerBook 并获得 2.5× 的乘数。
修复方案: 交叉验证 SIMD 特性集;真实的 G4 会报告 AltiVec 能力,而 x86 CPU 无法生成。 -
Mock Signature Mode – Testnet 标志
TESTNET_ALLOW_MOCK_SIG和TESTNET_ALLOW_INLINE_PUBKEY仍然开启,导致伪造签名成为可能。
修复方案: 在生产环境中关闭这两个标志。 -
Inline PubKey Hijack – 开启 inline pubkey 后,攻击者可以在不证明密钥所有权的情况下绑定任意钱包地址。
修复方案: 已禁用。 -
SQL Schema Mismatch – 字段命名不一致(
model、arch与device_model、device_arch)导致所有 x86 矿工的哈希指向相同的硬件 ID。
修复方案: 同时接受两种命名约定,并在硬件哈希中加入 MAC 地址。 -
Hardware Binding Bypass – 硬件 ID 计算中未包含 MAC 地址,不同机器使用相同 CPU 型号会产生相同的 ID。
修复方案: 在 SHA‑256 硬件哈希中加入 IP 和 MAC 地址。
此次支付表明 审计流程有效,并且 独立研究员可以在没有官僚阻碍的情况下获得报酬。
Proof‑of‑Antiquity 挖矿与 VM 抵抗
赏金由 Proof‑of‑Antiquity 挖矿 提供资金,该方式使用硬件指纹识别来确保 一颗真实 CPU = 一票。挖矿奖励无法被 VM 农场操控。
必要检查(所有检查必须通过,矿工才能获得奖励)
| 检查 | 测量内容 | 虚拟机失效原因 |
|---|---|---|
| Clock‑Skew & Oscillator Drift | 晶体振荡器不完美(500‑5000 采样) | 虚拟机使用宿主时钟,没有真实振荡器 |
| Cache Timing Fingerprint | 跨缓冲区大小的 L1/L2/L3 延迟谐波 | 虚拟化层对缓存进行虚拟化 → 过于统一 |
| SIMD Unit Identity | AltiVec/SSE/AVX 流水线时序不对称 | 仿真器将所有指令平整为相同延迟 |
| Thermal Drift Entropy | 冷/暖/饱和/放松状态下的热曲线采样 | 虚拟 CPU 没有热物理特性 |
| Instruction Path Jitter | 整数、分支、FPU、加载/存储的周期级抖动 | 虚拟化层的中断注入产生周期性伪影 |
| Anti‑Emulation Detection | DMI 厂商字符串、hypervisor CPU 标志、虚拟 SCSI | QEMU/VMware/VirtualBox 会留下文件系统痕迹 |
检测到的虚拟机其权重仅为 0.000000001×(真实 CPU 的十亿分之一)——对奖励而言等同于零,但仍会记录用于监控。
服务器端验证示例
def validate_fingerprint_data(fingerprint: dict) -> tuple:
"""Server‑side validation – requires raw evidence, not self‑reports."""
if not fingerprint:
return False, "no_fingerprint_data"
checks = fingerprint.get("checks", {})
# Anti‑emulation: reject if VM indicators present
anti_emu = checks.get("anti_emulation", {})
if anti_emu.get("passed") == False:
return False, f"vm_detected:{anti_emu.get('data', {}).get('vm_indicators', [])}"
# Clock drift: real hardware has measurable variance
clock = checks.get("clock_drift", {})
cv = clock.get("data", {}).get("cv", 0)
if cv < 0.0001:
return False, "timing_too_uniform"
return True, "valid"在 BuilderFred 的审计之后,关键变化是服务器不再信任自行报告的数据;它现在验证原始指纹证据。
RustChain 挖矿奖励
奖励会根据硬件年龄加权:
| 架构 | 基础倍率 | 示例硬件 |
|---|---|---|
| PowerPC G4 | 2.5× | PowerBook G4 (2002)、Power Mac G4 MDD |
| PowerPC G5 | 2.0× | Power Mac G5 Dual (2005) |
| IBM POWER8 | 2.0× | Power System S824 (2014) |
| Retro x86 | 1.4× | Pentium 4、Core 2 Duo |
| Apple Silicon | 1.2× | Mac Mini M2 |
| Modern x86‑64 | 1.0× | Ryzen、Intel 12th + gen |
倍率会随时间衰减:
aged = 1.0 + (base - 1.0) * (1 - 0.15 * chain_age_years)约 16.67 年 后,所有架构都会收敛到 1.0×。该奖励旨在鼓励保持旧硬件运行,而非提供永久优势。
为什么对赏金重要
用于支付赏金的社区基金来自同一批用于奖励矿工的代币供应。其经济模型形成闭环:
- 矿工赚取 RTC。
- 社区基金持有 RTC。
- 研究人员通过赏金获得 RTC。
- 研究人员可以在用于研究的同一硬件上继续挖掘 RTC。
一位使用 PowerBook G4 的安全研究员在 2.5× 的倍率下进行挖矿的同时,也在寻找漏洞。
代币供应与经济学
| 参数 | 数值 |
|---|---|
| 总供应量 | 8,388,608 RTC (2²³) |
| 预挖 | 6 %(创始人分配) |
| 可挖掘 | 94 % |
| 社区基金 | ~96,673 RTC |
| 纪元奖励 | 1.5 RTC 每 10‑分钟纪元 |
| 参考汇率 | 1 RTC = $0.10 USD |
无 ICO。无预售。无代币生成事件。
社区基金在创世时分配,并通过赏金和开发资助逐步支出。当支付 200 RTC 的赏金时,直接来自该基金——在链上可见,任何人都可以审计。
总供应量是二的幂,因为在账本使用整数算术 (amount_i64) 以避免浮点舍入误差时,二进制精度至关重要。每一个 RTC 的分数都被精确记录。
入门矿工指南
# Install the miner CLI
pip install clawrtc
# Create a wallet
clawrtc wallet create
# Start mining (your hardware gets fingerprinted and earns accordingly)
clawrtc mine
# Check your balance
clawrtc wallet show如果你的机器通过所有 6 项指纹检查,它将在每个 epoch 中获得 RTC:
- 现代 x86 笔记本电脑 → 1.0×
- PowerBook G4 → 2.5×
把你手头的老旧硬件擦拭干净——在这个网络上它们的价值比在 eBay 上更高。
作为安全研究员
-
浏览公开悬赏:Scottcjn/rustchain-bounties
-
阅读每个问题的范围和奖励。
-
对实时网络进行测试:
curl -sk https://rustchain.org/health -
将发现提交为 GitHub issue 或 PR。
-
以 RTC 支付到你的矿工钱包。
作为构建者
社区基金还支持除安全赏金之外的开发补助。如果您正在为生态系统构建工具、集成或文档:
- 提交一个描述工作内容和拟议 RTC 金额的 issue。
- 与基金管理者合作以获得补助。
有用链接
- RustChain – https://rustchain.org
- 赏金 – https://github.com/Scottcjn/rustchain-bounties
- 源代码 – https://github.com/Scottcjn/Rustchain
- ClawRTC (PyPI) – https://pypi.org/project/clawrtc
- BoTTube – https://bottube.ai
- 区块浏览器 – https://rustchain.org
- 节点健康 –
curl -sk https://rustchain.org/health - 活跃矿工 –
curl -sk https://rustchain.org/api/miners
本系列的其他文章
- 我构建了一个视频平台,AI 代理是创作者
- 代理互联网拥有 54,000+ 用户
- 古老证明:奖励复古硬件的区块链
- 你的 AI 代理无法与其他代理交流。Beacon 解决了这个问题。
- 我们如何让“一CPU一票”真正运行
- 我在 768 GB IBM POWER8 服务器上运行 LLM
由路易斯安那州的 Elyan Labs 构建。复古机器进行挖矿。研究人员拆解东西。2002 年的 PowerBook G4 的收益超过 2025 年的 Ryzen 9。