Vault Challenge
Craquez le coffre. Gardez les fonds.
Temps ecoule
+100 $/semaine ajoutes au wallet.
Soutenir le Bounty
Adresse de don (ETH Mainnet)
0x7fAb2f1b2393f7Aba1663d3847af1d5e0e34892A
Chaque don augmente la recompense. Vos ETH vont directement dans le wallet du challenge.
Le defi
Ceci est un vrai vault VaultKeepR, cree avec la stack cryptographique de production — identique a celui de chaque utilisateur VaultKeepR. Il contient la cle privee d'un wallet Ethereum qui detient la recompense.
Dechiffrez-le → importez la cle privee → transferez les fonds. Le premier a deplacer les fonds gagne.
Protection Double Facteur (Account Abstraction)
Comme chaque vault VaultKeepR, celui-ci est protege par deux facteurs independants :
Facteur 1
Mot de passe maitre
Inconnu. Doit etre devine ou bruteforce.
Facteur 2
Secret Key appareil
32 octets aleatoires stockes sur l'appareil de l'utilisateur. Inconnu sans acces a l'appareil.
Derivation d'identite
keccak256(secretKey + ":" + password) → Smart Wallet
Le Smart Wallet signe un message challenge. La signature + le mot de passe alimentent Argon2id.
Les deux facteurs sont necessaires pour deriver le Smart Wallet, produire la signature, et generer la cle de chiffrement via Argon2id. Il vous faut les deux pour dechiffrer.
Comment ca marche
Le Smart Wallet est derive de maniere deterministe du mot de passe et d'un Secret Key lie a l'appareil via keccak256. Le wallet signe ensuite "VaultKeepR Bug Bounty Challenge -- I authorize this vault encryption" (EIP-191 personal_sign). Ni le Secret Key ni la signature ne sont publies.
Parametres cryptographiques
KDF
Argon2id (m=64 Mio, t=3, p=4)
Chiffrement
XChaCha20-Poly1305
Engagement
HMAC-SHA256 (obligatoire v3)
Identite
Account Abstraction (keccak256)
Entree cle
mot_de_passe || signature_hw
Taille cle
256-bit (32 octets)
Nonce
192-bit (24 octets)
Salt
128-bit (16 octets, aleatoire)
Version vault
3
Reseau
Ethereum Mainnet
Adresses des wallets
Wallet recompense (fonds a recuperer)
Smart Wallet (entree KDF — adresse uniquement)
0x7C93933A2e25aD767F46bCF4B10dc7D8Ddf33348
Derive du mot de passe + Secret Key via keccak256. Le Secret Key (32 octets) est inconnu.
Attestation IPFS
Donnees du coffre chiffre
{
"ciphertext": "af47cbd6fc0188f2efa1e6450b234bf5a84441616948fbe8a4094de6d4c96e5a2be68fa896335291041ecf4cc82f211c213e6aabb3e8d22497b397384996edf5df68e3a9866cefa80b68eeaec21caa41336aaecb68d5063a503a17911f9c9f4ed077db13b4240df3d3f4c134a1c40cb81b61930c219d4570dcede33ebac2eba057651d528d24e4d6d841a316b3e925a6c4033ae106f49d0ee47bcc4f1f27b26aef71821495862fcfadc0529a1830338af2aee425b3b4681f254d2b25626e9285d1e923aa9318ccca71f541b4a26f65515d650798be32d665daea025b8566ef9368631057e1efb623f780dd3865bc7624d3159a31f39dfb060024eca076f1c44b502079925e87fb663f8a25f62fb82588ebf8da9b6f54bf9e1078226767abba645d93c04d1b8607c6a69dc65c22330b4908bacf572b4ac2c0f0e856baacc97c4d5451fd980eb90dfbab2d34b8f85a15f1639ab44ef5380ed96b22bdcac6839e54e0bceef95ee0762b2c42fa538effe384a27c0176a18cb3f168a39d266c4d3c9e3232f573ab3ed7f29cdcf5ce99a6be837255d1a5f9b53ce4b78553d2a3f3e327b334247c514ec96b28ad0094208ed1c3eefad6b9568106a7b46e8efc9978489959b3e28c3806d7b41001444a63164fc3048108ed625bb704867969e63d343a7f9cfe44ac8551605963c9b1f56aadae7c11e8e1a5bfb4dcea6cbb008c1c9092934ac18ebda0b1fd9fc0af06d4d23b917ba38c14e110fb02eb44f293b9a0fa2d61d8b22cfa12d0a83de00696ddfc9171abc7f21abe067b6e429aa761c5cd4f3a8d1ecebee95f6677b922c02913d15d0d5ccb079c93ec101fd3fc6e9f48dbb22cba2e8d6eb7648aadb1a254fca09dff753a2a6e7255e3cd7542e23eaacb29a5d752130001a38b856df29b1df1bcd50032e1f9c71e6b2df76a2f3a6e2db88882695e2d5f751651abdf9a791ab69df1a3e955de21163e0f0d0d09aea6a63d7b3b9bd533e380e9c38730930bd1061fa5",
"nonce": "f6d490681e41b998c6865014151a5a711ac293d8dbc5765f",
"salt": "b91857117e914651ee6ad65e40bad21f",
"commitment": "8abe4e0c4215510f87a5603b2bf3ed3d9271b0ffe3e6589742d4d28fca1849d8",
"version": 3,
"walletAddress": "0x7C93933A2e25aD767F46bCF4B10dc7D8Ddf33348",
"challengeMessage": "VaultKeepR Bug Bounty Challenge -- I authorize this vault encryption",
"kdf": {
"algorithm": "argon2id",
"m": 65536,
"t": 3,
"p": 4,
"dkLen": 32,
"saltLengthBytes": 16
},
"cipher": {
"algorithm": "xchacha20-poly1305",
"nonceLengthBytes": 24,
"keyLengthBytes": 32
},
"commitmentScheme": {
"algorithm": "hmac-sha256",
"domain": "vaultkeepr-v3-commitment"
}
}Note : ni le Secret Key ni la signature wallet ne sont inclus ci-dessus. C'est realiste — un attaquant accedant a un vault sur IPFS voit exactement ces donnees. Le Secret Key est stocke uniquement sur l'appareil de l'utilisateur, et la signature doit en etre derivee.
Regles
- Surface d'attaque crypto uniquement — l'ingenierie sociale, le phishing et le piratage de serveurs sont hors perimetre.
- Le code source est public — consultez l'implementation complete sur vaultkeepr-core.
- Le premier a deplacer les fonds gagne — la blockchain fait foi.
- Pas de limite de temps — le challenge reste actif tant que les fonds n'ont pas ete reclames.
- Partagez votre approche — meme des resultats partiels aident a ameliorer la securite.
- La recompense augmente chaque semaine — +100 $/semaine, plus les dons de la communaute.
- Conditions realistes — ce vault est identique a celui d'un vrai utilisateur. Pas de raccourcis, pas d'indices.
Code source
VaultKeepR/vaultkeepr-core
241+ tests • Licence MIT • Entierement auditable
Soumettre vos resultats
Soumettez vos resultats
Vous avez trouve quelque chose ? Meme des avancees partielles sont precieuses. Votre identite reste confidentielle.
Partagez le challenge
Partagez le defi avec des hackers et passionnes de crypto.