[TPP-17] ZKsync Immunefi 漏洞赏金计划 2026

[TPP-17] ZKsync Immunefi 漏洞赏金计划 2026

摘要

本提案旨在批准通过两个总额为 1 亿 ZK 的限额铸造者来资助 Immunefi 上的 ZKsync 漏洞赏金计划：

1. ZKsyncBugBounty2026：包含价值 160 万美元等值的 ZK 代币（8000 万 ZK），用于前瞻性的漏洞赏金；以及
2. ZKsyncBugBounty2025Retro：包含价值 40 万美元等值的 ZK 代币（2000 万 ZK），用于向 Matter Labs 报销 2025 年已支付的漏洞赏金。

概述

ZKsync 的安全性是协议本身以及更广泛的 ZK 链生态系统的关键基础设施。ZKsync 核心合约、电路、工具或基础设施中的漏洞可能会对 ZKsync、ZK Stack 部署以及依赖 ZKsync 技术的其他 ZK 链产生连锁影响。

该提案设立了两种不同的、以美元计价且有上限的铸造权限，一种用于前瞻性的漏洞赏金资金，另一种用于一次性的追溯报销。这种结构为一项关键的、覆盖整个生态系统的安全功能提供了清晰的范围划分、强有力的控制和透明的核算。

本提案授权为以下事项提供资金：

• 通过 Immunefi 管理的持续 ZKsync 漏洞赏金奖励，以及
• 对 Matter Labs 在 2025 年支付的历史漏洞赏金进行报销。

动机

一个强大的漏洞赏金计划是 ZKsync 的关键安全措施。ZKsync 中的漏洞不仅影响单个网络，还会影响 ZK 生态系统中使用的共享协议组件和工具。

有效的漏洞赏金计划：

• 激励负责任的披露，而非恶意利用
• 吸引高技能的安全研究人员为协议做出贡献
• 在漏洞进入生产环境之前降低系统性风险

现有的 Immunefi 漏洞赏金计划 是应急响应程序的关键部分。随着 紧急升级委员会 持续待命，针对关键提交的升级能够在数小时内上报并执行。

历史上，在代币大会资金机制尚未成熟时，Matter Labs 直接资助了漏洞赏金支付，以确保安全覆盖不间断。随着 ZKsync 治理的演进，有必要：

• 将持续的漏洞赏金资金过渡到由治理授权的结构中，并且
• 追溯性地报销先前已核实、对整个生态系统有益的安全支出

本提案将这两个目标正式化，同时保持严格的上限、清晰的问责制和完全的透明度。

规范

本提案授权两种以美元计价且有上限的铸造权限，按 0.02 美元的价格转换为 ZK。上限铸造权限的计算采用了每 ZK 0.02 美元的保守参考价格，确保无论市场状况如何，ZKsync 的安全性都得到优先考虑。

如果在报销时 ZK 的现行市场价格更高，铸造的代币数量将减少，任何未使用的上限部分将保持未铸造状态。

1. 2026 年漏洞赏金资金

将授予一个上限为 1,600,000 美元等值（按 0.02 美元计为 8000 万 ZK）的铸造权限，用于资助未来的 ZKsync 漏洞赏金奖励。ZKsync 安全委员会将作为管理员，并与 Immunefi 及其他 ZKsync 安全维护者合作分发赏金。

此计划的赏金范围包括以下组件，其中漏洞会影响所有依赖 ZKsync 技术的 ZK 链和应用：

• ZKsync 协议合约
• ZK Stack 组件
• 支持基于 ZKsync 的链的关键工具和基础设施
• 根据 GAP 2 通过的 SEAL 安全港协议提交的内容

ZKsyncBugBounty2026 上限铸造权限（前瞻性漏洞赏金）

... 请访问下方链接查看完整提案

https://tally.xyz/gov/zksync/proposal/52899273737246738438218414127099712652047337592218084212368843786372445167418