المساعدة في ترجمة هذه الصفحة

🌏

ترى هذه الصفحة بالإنجليزية لأننا لم نترجمها بعد. ساعدنا في ترجمة هذا المحتوى.

لا توجد أخطاء هنا!🐛

هذه الصفحة ليست مترجمة. لقد تركنا هذه الصفحة باللغة الإنجليزية بشكل متعمد للوقت الحالي.

فتح للإرسال

مكافآت أخطاء upgrades 🐛
اكسب ما يصل إلى 50000 دولار أمريكي ومكانًا على لوحة المتصدرين من خلال العثور على بروتوكول upgrades وأخطاء العملاء. من أجل الحصول على المزيد من التفاعل على ترقية ألتير Altair، قد تضاعفت جميع المكافآت المتعلقة بمواطن الضعف والخلل في تطوير ألتير Altair من الآن وحتى أربعة أسابيع من الإطلاق (تشرين الثاني/نوفمبر 27). وتصل قيمة أخطاء Altair الحرجة في كل من العملاء والمواصفات الآن إلى 100 ألف دولار.

العملاء المميزين في المكافآت

أخطاء صحيحة

يركز برنامج مكافأة الأخطاء هذا على اكتشاف الأخطاء في مواصفات سلسلة المنارة upgrades الأساسية وتطبيقات العميل Lighthouse وNimbus وTeku وPrysm.

📒

أخطاء مواصفات سلسلة المنارة

وتورد مواصفات سلسلة المنارة تفاصيل الأساس المنطقي للتصميم والتغييرات المقترح إدخالها على إثيريوم عن طريق ترقية سلسلة المنارة هذه.

اقرأ المواصفات كاملة
Execution Layer Specifications

قد يكون من المفيد التدقيق في الشروح التالية:

أنواع الأخطاء

  • القضاء على الأخطاء نهائيًا/للسلامة.
  • رفض ناقلات خدمة (DOS)
  • التناقضات في الافتراضات، مثل الحالات التي يمكن فيها شطب المدققين الأمينين.
  • تناقضات الحساب أو البارامترات.
💻

أخطاء عملاء upgrades

سيقوم العملاء بتشغيل سلسلة المنارة بمجرد نشر الترقية. وسيحتاج العملاء إلى اتباع المنطق المحدد في المواصفات وأن يكونوا آمنين من الهجمات المحتملة. الأخطاء التي نريد العثور عليها تتعلق بتنفيذ البروتوكول.

أخطاء Lighthouse وNimbus وTeku وPrysm مؤهلة حاليًا للحصول على هذه المكافأة. يمكن إضافة المزيد من العملاء عندما يكملون عمليات التدقيق ويصبحون جاهزين للإنتاج.

أنواع الأخطاء

  • مشاكل عدم الامتثال للمواصفات.
  • أخطاء غير متوقعة أو رفض الثغرات الأمنية للخدمة (DOS).
  • أي مشاكل تسبب حالات انقسام بإجماع الآراء عن بقية الشبكة لا يمكن إصلاحه.

روابط مفيدة

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

روابط مفيدة

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

غير مدرج

لا تزال ترقيات الدمج وسلسلة الأجزاء قيد التطوير النشط، ولذا لم يتم تضمينها بعد كجزء من برنامج المكافأة هذا.

إرسال خطأ

لكل خطأ تجده ستحصل على نقاط مكافأة. النقاط التي تكسبها تعتمد على شدة الخطأ. وتقرر مؤسسة إثيريوم مدى الشدة باستخدام طريقة مكتب غرب أفريقيا في المحيط الهادئ. عرض أسلوب OWASP

كما سيمنح الاتحاد نقاطًا تستند إلى ما يلي:

جودة الوصف: تُدفع مكافآت أعلى مقابل عروض واضحة ومكتوبة جيدًا.

جودة إمكانية الاستعادة: الرجاء تضمين رمز الاختبار والنصوص البرمجية والتعليمات المفصلة. كلما كان من الأسهل لنا أن نستنسخ ونتحقق من الضعف، ارتفعت المكافأة.

جودة الإصلاح، إذا تم تضمينها: يتم دفع مكافآت أعلى للتسليم مع وصف واضح لكيفية إصلاح المشكلة.

Up to 2,000 USD

Low

Up to 2,000 USD

Up to 1,000 points

Severity

  • Low impact, medium likelihood
  • Medium impact, low likelihood

Example

Attacker can sometimes put a node in a state that causes it to drop one out of every one hundred attestations made by a validator
Submit low risk bug
Up to 10,000 USD

Medium

Up to 10,000 USD

Up to 5,000 points

Severity

  • High impact, low likelihood
  • Medium impact, medium likelihood
  • Low impact, high likelihood

Example

Attacker can successfully conduct eclipse attacks on nodes with peer-ids with 4 leading zero bytes
Submit medium risk bug
Up to 50,000 USD

High

Up to 50,000 USD

Up to 10,000 points

Severity

  • High impact, medium likelihood
  • Medium impact, high likelihood

Example

There is a consensus bug between two clients, but it is difficult or impractical for the attacker to trigger the event.
Submit high risk bug
Up to 250,000 USD

Critical

Up to 250,000 USD

Up to 25,000 points

Severity

  • High impact, high likelihood

Example

There is a remote code execution in a majority client, and it is trivial for an attacker to trigger the vulnerability.
Submit critical risk bug

قواعد البحث عن الأخطاء

برنامج مكافأة الأخطاء هو برنامج جوائز تجريبي وتقديري لمجتمعنا النشط في إثيريوم لتشجيع ومكافأة أولئك الذين يساعدون على تحسين المنصة. إنها ليست منافسة. يجب أن تعلم أنه يمكننا إلغاء البرنامج في أي وقت، والجوائز هي حسب تقدير لوحة مكافآت مؤسسة إثيريوم. وبالإضافة إلى ذلك، فإننا غير قادرين على إصدار تعويضات للأفراد المدرجين في قوائم الجزاءات أو المدرجين في البلدان المدرجة في قوائم الجزاءات (مثل، كوريا الشمالية وإيران، إلخ). أنت مسؤول عن جميع الضرائب. جميع الجوائز تخضع للقانون المنطبق. وأخيرًا، يجب ألا ينتهك اختبارك أي قانون أو يضر بأي بيانات ليست لك.

  • المشكلات التي تم تقديمها بالفعل من قبل مستخدم آخر أو معروفة بالفعل لمتعهدي المواصفات والعملاء ليست مؤهلة للحصول على حوافز المكافآت.
  • الإفصاح العلني عن الثغرات يجعله غير مؤهل للحصول على مكافأة.
  • والباحثون في مؤسسة إثيريوم وموظفو فرق عملاء upgrades ليسوا مؤهلين للحصول على مكافآت.
  • برنامج مكافأة إثيريوم يأخذ في الاعتبار عدد من المتغيرات في تحديد المكافآت. أما تحديد الأهلية والدرجة وجميع الشروط المتصلة بجائزة ما فهي متروكة للسلطة التقديرية الوحيدة والنهائية التي يتمتع بها فريق مكافأة الخلل التابع لمؤسسة إثيريوم.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

1
samczsun GitHub avatar
Sam Sun
35000 نقاط
🏆
2
holiman GitHub avatar
Martin Holst Swende
33500 نقاط
🥈
3
guidovranken GitHub avatar
Guido Vranken
21750 نقاط
🥉
4
chainsecurity GitHub avatar
ChainSecurity
21000 نقاط
5
junorouse GitHub avatar
Juno Im
20500 نقاط
6
uknowy GitHub avatar
Yoonho Kim (team Hithereum)
20000 نقاط
7
johnyangk GitHub avatar
John Youngseok Yang (Software Platform Lab)
20000 نقاط
8
peckshield GitHub avatar
PeckShield
17000 نقاط
9
itsunixiknowthis GitHub avatar
ItsUnixIKnowThis
15000 نقاط
10
catageek GitHub avatar
Bertrand Masius
15000 نقاط
11
tintinweb GitHub avatar
Tin
12500 نقاط
12
Ralph Pichler
12500 نقاط
13
Bob Conan
12000 نقاط
14
lukaszmatczak GitHub avatar
Łukasz Matczak
11000 نقاط
15
Heilman/Marcus/Goldberg
10000 نقاط
16
jonasnick GitHub avatar
Jonas Nick
10000 نقاط
17
jtoman GitHub avatar
John Toman
10000 نقاط
18
Sebastian Henningsen
8000 نقاط
19
Dominic Brütsch
7500 نقاط
20
HarryR GitHub avatar
Harry Roberts
5000 نقاط
21
p- GitHub avatar
Peter Stöckli
5000 نقاط
22
Dedaub GitHub avatar
Neville Grech
5000 نقاط
23
EthHead GitHub avatar
EthHead
5000 نقاط
24
SergioDemianLerner GitHub avatar
Sergio Demian Lerner
2500 نقاط
25
danhper GitHub avatar
Daniel Perez
2500 نقاط
26
yaronvel GitHub avatar
Yaron Velner
2000 نقاط
27
whitj00 GitHub avatar
Whit Jackson
2000 نقاط
28
Ming Chuan Lin
2000 نقاط
29
melonport GitHub avatar
Melonport team
2000 نقاط
30
maurelian GitHub avatar
Maurelian
2000 نقاط
31
Cjentzsch GitHub avatar
Christoph Jentzsch
2000 نقاط
32
DVPNET GitHub avatar
DVP (dvpnet.io)
1200 نقاط
33
Vasily Vasiliev
1000 نقاط
34
talko GitHub avatar
talko
1000 نقاط
35
swaldman GitHub avatar
Steve Waldman
1000 نقاط
36
ptk GitHub avatar
Panu Kekäläinen
1000 نقاط
37
montyly GitHub avatar
Josselin Feist
1000 نقاط
38
henrit GitHub avatar
Henrit
1000 نقاط
39
BlameByte GitHub avatar
Marc Bartlett
1000 نقاط
40
Barry Whitehat
1000 نقاط
41
badmofo GitHub avatar
Lucas Ryan
1000 نقاط
42
agroce GitHub avatar
Alex Groce
1000 نقاط
43
n0thingness GitHub avatar
Daniel Briskin
750 نقاط
44
daenamkim GitHub avatar
Daenam Kim
750 نقاط
45
Myeongjae Lee
500 نقاط
46
Marcin Noga (Cisco/Talos Security)
500 نقاط
47
jazzybedi
500 نقاط
48
feeker GitHub avatar
Feeker - 360 ESG Codesafe Team
500 نقاط
49
ethernomad GitHub avatar
Jonathan Brown
500 نقاط
50
davidmurdoch GitHub avatar
David Murdoch
500 نقاط
51
wadeAlexC GitHub avatar
Alexander Wade
500 نقاط
52
gitpusha GitHub avatar
Luis Schliesske
200 نقاط

أسئلة مكررة

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

أسئلة؟

راسلنا عبر البريد الإلكتروني: bounty@ethereum.org

✉️

هل كانت هذه الصفحة مفيدة؟