# 安全政策 - 负责任披露

我们目前正在积极与 [Immunefi](https://immunefi.com/) 合作，制定一项全面的漏洞赏金计划。

## 报告漏洞

我们对 [Virtuals Protocol](https://app.virtuals.io/) 的安全非常重视。截至 2025 年 8 月 5 日，我们已支付超过 30,000 美元的赏金，并感谢负责任地向我们报告漏洞的安全研究人员社区。如果您认为自己发现了安全漏洞，请通过发送电子邮件至以下地址向我们报告： <security@virtuals.io> ，并附上：

* 漏洞的详细描述
* 复现步骤
* 漏洞的潜在影响
* 您已识别出的任何可能的缓解方法

接下来会发生什么？

* 初始回复将在 **24 小时内** 发送，以确认我们已收到您的报告
* 每 3 个工作日提供一次进度更新
* 关键问题最迟在 15 天内解决
* 我们将与您协调公开披露时间

在 *在之后* 我们修复问题并与您协调公开披露之前，请不要在博客/X 等平台发帖。

## 范围内内容

Virtuals Protocol 所涉及的一切都在范围内。这包括但不限于：

* 智能合约
* 我们的 SDK
* 我们仓库中的生产就绪代码，例如 [Virtuals Protocol](https://github.com/Virtual-Protocol), [G.A.M.E](https://github.com/game-by-virtuals)

## 认可

我们认可帮助提升我们关键基础设施安全性的安全研究人员。贡献者将获得：

* 在安全致谢中署名
* 因发现安全问题而获得赏金

赏金如何确定？

* 描述质量：请提供一份写得清晰的提交报告
* 可复现性：请包含概念验证（POC），以确保我们能够重复验证，并使您获得奖励。代码、脚本和细节都很重要！越容易复现，奖励越高。
* 修复质量：如果您还提供了修复方案，您将获得更高奖励，这有助于减轻我们的工程负担。

基于以上所有因素，我们使用 [CVSS 评分](https://nvd.nist.gov/vuln-metrics/cvss) 来确定公平的支付金额。

## 联系

* 安全问题： <security@virtuals.io>