فتح للإرسال
برنامج مكافآت البحث عن الأخطاء
اربح ما يصل إلى 250000 دولار أمريكي واحجز مكانًا في لوحة المتصدرين من خلال العثور على بروتوكول، وعميل وعيوب سوليديتي تؤثر على شبكة إثيريوم.
العملاء المميزين في المكافآت
ضمن النطاق
برنامج مكافآت البحث عن الأخطاء لدينا هو برنامج شامل: حيث يضم سلامة البروتوكولات (مثل نموذج إجماع الآراء لسلسلة الكتل وبروتوكولات الاتصال السلكي ومن نظير إلى نظير، وإثبات الحصة، وغيرها) والتزام البروتوكولات/عمليات التنفيذ بأمان الشبكة وسلامة الإجماع. ويمثل أمان العميل الكلاسيكي وأمان البدائيات المشفرة جزءًا من البرنامج. وإذا ساورك شك، يُرجى إرسال رسالة بريد إلكتروني إلى العنوان bounty@ethereum.org واسألنا.
أخطاء المواصفات
توضح مواصفات إثيريوم تفاصيل الأساس المنطقي للتصميم لطبقة التنفيذ وطبقة إجماع الآراء.
مواصفات طبقة التنفيذ
قد يكون من المفيد التدقيق في الشروح التالية:
أنواع الأخطاء
- القضاء على الأخطاء نهائيًا/للسلامة
- ناقلات رفض الخدمة (DOS)
- التناقضات في الافتراضات، مثل الحالات التي يمكن فيها شطب المدققين الأمينين
- تناقضات الحساب أو البارامترات
وثائق المواصفات
أخطاء العميل
يقوم العملاء بتشغيل شبكة إثيريوم، ويتعين عليهم اتباع المنطق الموضح في المواصفات وأن يكونوا آمنين من الهجمات المحتملة. الأخطاء التي نريد العثور عليها تتعلق بتنفيذ البروتوكول.
وفي الوقت الحالي، يتم تضمين عملاء طبقة التنفيذ (Besu وErigon وGeth وNethermind) وعملاء طبقة آراء الإجماع (Lighthouse وLodestar وNimbus وTeku وPrysm) في برنامج مكافآت البحث عن الأخطاء. وقد يُضاف المزيد من العملاء بينما يكملون التدقيقات ويصبح الإنتاج جاهزًا.
أنواع الأخطاء
- مشاكل عدم الامتثال للمواصفات
- أخطاء غير متوقعة أو الهندسة العكسية أو الثغرات الأمنية لرفض الخدمة (DOS)
- أي مشاكل تسبب حالات انقسام بإجماع الآراء عن بقية الشبكة لا يمكن إصلاحها
أخطاء سوليديتي
يمكن الاطلاع على SECURITY.MD لسوليديتي لمزيد من التفاصيل حول ما يتم تضمينه في هذا النطاق.
لا تضمن سوليديتي الأمان فيما يخص تجميع الإدخال غير الموثوق به - ولا نصدر مكافآت مقابل أعطال المجمع في البيانات التي تم إنشاؤها بشكل ضار.
أخطاء عقد الإيداع
إن المواصفات والنص البرمجي المصدري لعقد إيداع سلسلة المنارة جزء من برنامج مكافأة البحث عن الأخطاء.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
خارج النطاق
الأهداف المدرجة ضمن النطاق هي فقط التي تكون جزءًا من برنامج مكافآت البحث عن الأخطاء. وهذا يعني، على سبيل المثال، أن بنيتنا التحتية؛ مثل صفحات الويب، والصفحات والبريد الإلكتروني، وما إلى ذلك، ليست جزءًا من نطاق المكافأة. وعادة ما لا تدرج أخطاء العقد ERC20 ضمن نطاق المكافأة. ومع ذلك، يمكننا أن نساعد في التواصل مع الأطراف المتضررة، مثل المؤلفين أو التبادلات في مثل هذه الحالات. ويتم المحافظة على ENS بواسطة مؤسسة ENS، وهو ليس جزءًا من نطاق المكافأة.
إرسال خطأ
بالنسبة لكل خطأ صالح تعثر عليه، ستربح مكافآت. وستتباين كمية المكافآت المربوحة تبعًا لشدتها. وتُحسب الشدة بناءً على نموذج تقييم مخاطر OWASP المستند على التأثير على شبكة إثيريوم والاحتمالية. عرض أسلوب OWASP
ستوفر EF أيضًا مكافآت بناءً على:
جودة الوصف: تُدفع مكافآت أعلى مقابل مساهمات واضحة ومكتوبة جيدًا.
جودة إمكانية الاستعادة: يجب تضمين دليل المفهوم لتكون مؤهلاً للمكافآت. يُرجى تضمين رمز الاختبار والبرامج النصية والإرشادات التفصيلية. وكلما كان من الأسهل علينا استنساخ نقاط الضعف والتحقق منها، زادت المكافأة.
جودة الإصلاح، إذا تم تضمينها: يتم دفع مكافآت أعلى للمساهمات مع وصف واضح لكيفية إصلاح المشكلة.
منخفض
حتى 2000 دولار أمريكي
حتى 1000 نقطة
الخطورة
- تأثير منخفض، احتمال متوسط
- تأثير متوسط، احتمال ضعيف
مثال
متوسط
حتى 10000 دولار أمريكي
حتى 5000 نقطة
الخطورة
- تأثير مرتفع، احتمال ضغيف
- تأثير متوسط، احتمال متوسط
- تأثير منخفض، احتمال مرتفع
مثال
مرتفع
حتى 50000 دولار أمريكي
حتى 10000 نقطة
الخطورة
- تأثير مرتفع، احتمال متوسط
- تأثير متوسط، احتمال مرتفع
مثال
شديد
حتى 250000 دولار أمريكي
حتى 25000 نقطة
الخطورة
- تأثير مرتفع، احتمال مرتفع
مثال
قواعد البحث عن الأخطاء
برنامج مكافأة الأخطاء هو برنامج جوائز تجريبي وتقديري لمجتمعنا النشط في إثيريوم لتشجيع ومكافأة أولئك الذين يساعدون على تحسين المنصة. إنها ليست منافسة. يجب أن تعلم أنه يمكننا إلغاء البرنامج في أي وقت، والجوائز هي حسب تقدير فريق مكافآت البحث عن الأخطاء في مؤسسة إثيريوم. وبالإضافة إلى ذلك، فإننا غير قادرين على إصدار تعويضات للأفراد المدرجين في قوائم الجزاءات أو المدرجين في البلدان المدرجة في قوائم الجزاءات (مثل، كوريا الشمالية وإيران، إلخ). وتفرض علينا القوانين المحلية طلب الحصول على إثبات الهوية. أنت مسؤول عن جميع الضرائب. جميع الجوائز تخضع للقانون المنطبق. وأخيرًا، يجب ألا ينتهك اختبارك أي قانون أو يضر بأي بيانات ليست لك ويجب أن يُجرى على شبكات التجريب المحلية.
- المشكلات التي ليس لها دليل المفهوم أو التي تم تقديمها بالفعل من قبل مستخدم آخر أو معروفة بالفعل لمتعهدي المواصفات والعملاء ليست مؤهلة للحصول على حوافز المكافآت.
- الإفصاح العلني عن الثغرات يجعله غير مؤهل للحصول على مكافأة.
- لا يجوز للموظفين والمتعاقدين التابعين لمؤسسة إثيريوم أو فرق العملاء في نطاق برنامج المكافأة المشاركة في البرنامج إلا في تراكم النقاط ولن يتلقوا مكافآت نقدية.
- برنامج مكافأة إثيريوم يأخذ في الاعتبار عددًا من المتغيرات في تحديد المكافآت. أما تحديد الأهلية والدرجة وجميع الشروط المتصلة بجائزة ما فهي متروكة للسلطة التقديرية الوحيدة والنهائية التي يتمتع بها فريق مكافآت البحث عن الأخطاء في مؤسسة إثيريوم.
أسئلة؟
راسلنا عبر البريد الإلكتروني: bounty@ethereum.org