安全审计
安全是我们开发的核心。我们的库已经由安全专家和独立研究人员进行了审计。报告是公开的:
Diligence - 2025年8月 - mUSD 合约报告
额外的mUSD M^Zero Labs合约审计: ChainSecurity, Guardian
OtterSec - 2024年10月 - LavaMoat Webpack插件报告
Diligence - 2024年10月 - 委托框架报告
Diligence - 2024年8月 - 委托框架报告
Diligence - 2024年6月 - DeleGator报告
Cure53 - 2024年4月 - 密钥树接口报告
Cure53 - 2024年3月 - 签名Snap和代码库报告
Least Authority - 2023年9月 - Snaps报告
Least Authority - 2023年9月 - Snaps扩展集成报告
Cure53 - 2023年2月 - 密钥树接口报告
Least Authority 2022 - 助记词实现报告
Least Authority - 2020年3月 - LavaMoat插件报告
Least Authority - 2019年11月 - 权限系统 + CapNode报告
Least Authority - 2019年4月 - 移动应用报告
Cure53 - 2017年8月 - MetaMask渗透测试报告
MetaMask漏洞赏金计划
我们通过漏洞赏金计划与活跃的安全研究人员社区合作,不断提高MetaMask的安全性。
您参与此漏洞赏金计划是自愿的,并受以下条款和条件的约束。通过向MetaMask(即Consensys)报告漏洞,您确认已阅读并同意完全遵守本计划中披露的规则。
报告漏洞
如果您认为在我们的产品或服务中发现了潜在的安全漏洞,请使用以下选项之一向我们报告。请不要公开提交问题或在Discord、Slack、Twitter等公共场所讨论漏洞。
如果您认为发现了漏洞,可通过以下方式报告:
通过HackerOne平台提交报告https://hackerone.com/metamask
如果您无法使用HackerOne,我们感谢直接发送至[email protected]的报告。如果您有特别敏感的数据需要在发送给我们的漏洞赏金团队之前加密,请使用本页底部的OpenPGP密钥进行加密。
区块链安全专家和我们DeFi社区的成员如需访问我们的认证测试环境,可以请求访问我们的Consensys计划https://hackerone.com/consensys。
我们将尽最大努力尽快解决所有漏洞,并与研究人员协调披露发现的问题。代码库中所有其他非安全相关的错误应在GitHub上提交为问题。
向公众负责任披露漏洞的政策
我们的负责任披露政策采用一个过程,即先在私下分类和解决漏洞,只有在合理的时间段后才公开披露。这允许漏洞被修补并为用户提供升级路径。负责任的披露政策有助于保护项目用户免受在补丁发布之前公开披露的安全漏洞的影响。
请避免可能使我们的用户、项目或任何项目团队成员面临风险的恶意行为。
在我们有机会与您一起审查和解决问题之前,请不要在本计划之外披露您的发现。
遵循HackerOne的披露指南。
OpenPGP密钥
-----BEGIN PGP PUBLIC KEY BLOCK----mQINBGIm1ZABEACpbTPkgC3vtCdt5viZS1dq0J44RZm4QEXJW3yjUJNwZrRS7xv4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=emGk
-----END PGP PUBLIC KEY BLOCK-----