برنامج مكافآت أخطاء إيثيريوم

العملاء المشمولون في المكافآت

ضمن النطاق

يمتد برنامج مكافآت الأخطاء الخاص بنا من البداية إلى النهاية: من سلامة البروتوكولات (مثل نموذج إجماع سلسلة الكتل، وبروتوكولات الاتصال ونظير إلى نظير، و إثبات الحصة (PoS)، وما إلى ذلك) وامتثال بروتوكول/التنفيذ إلى أمان شبكة وسلامة إجماع. يعد أمان العميل الكلاسيكي بالإضافة إلى أمان الأساسيات التشفيرية جزءًا من البرنامج أيضًا. يجب إجراء جميع عمليات الكشف عن الأخطاء وتقديم الثغرات من خلال نموذج إرسال الأخطاء (opens in a new tab) الخاص بنا.

أخطاء المواصفات

تفصل مواصفات إيثيريوم الأساس المنطقي لتصميم طبقة التنفيذ و طبقة الإجماع.

مواصفات طبقة الإجماع
مواصفات طبقة التنفيذ

قد يكون من المفيد التحقق من الشروحات التالية:

أنواع الأخطاء

الأخطاء التي تكسر الأمان/النهائية
نواقل حجب الخدمة (⁦DOS⁩)
التناقضات في الافتراضات، مثل المواقف التي يمكن فيها اقتطاع المدققين الصادقين
التناقضات في الحسابات أو المعلمات

مستندات المواصفات

سلسلة المنارة

اختيار التفرع

عقد الإيداع بلغة ⁦Solidity⁩

شبكات نظير إلى نظير

أخطاء العملاء

يقوم العملاء بتشغيل شبكة إيثيريوم، ويجب عليهم اتباع المنطق المنصوص عليه في المواصفات وأن يكونوا آمنين ضد الهجمات المحتملة. الأخطاء التي نريد العثور عليها تتعلق بتنفيذ بروتوكول.

حاليًا، عملاء طبقة التنفيذ (بيسو، وإريغون، وجو إيثريوم (geth)، ونيذرميند، وريث) وعملاء طبقة الإجماع (لايتهاوس، ولودستار، ونيمبوس، وتيكو، وبرايزم) مشمولون في برنامج مكافآت الأخطاء.

أنواع الأخطاء

مشكلات عدم الامتثال للمواصفات
الأعطال غير المتوقعة، أو تنفيذ التعليمات البرمجية عن بُعد (⁦RCE⁩)، أو ثغرات حجب الخدمة (⁦DOS⁩)
أي مشكلات تتسبب في انقسامات إجماع لا يمكن إصلاحها عن بقية شبكة

روابط مفيدة

أخطاء مترجم اللغة

مترجمات ⁦Solidity⁩ و⁦Vyper⁩ مشمولة في نطاق برنامج مكافآت الأخطاء. يُرجى تضمين جميع التفاصيل اللازمة لإعادة إنتاج الثغرة مثل: البرنامج المدخل الذي يتسبب في الخطأ، وإصدار المترجم المتأثر، وإصدار ⁦EVM⁩ المستهدف، وإطار العمل/بيئة التطوير المتكاملة (⁦IDE⁩) إن وجد، وبيئة تنفيذ/عميل ⁦EVM⁩ إن وجد، ونظام التشغيل. يُرجى تضمين خطوات إعادة إنتاج الخطأ الذي وجدته بأكبر قدر ممكن من التفصيل.

لا تقدم ⁦Solidity⁩ و⁦Vyper⁩ ضمانات أمنية فيما يتعلق بتجميع المدخلات غير الموثوقة – ولا نصدر مكافآت لأعطال المترجم الناتجة عن بيانات تم إنشاؤها بشكل ضار.

روابط مفيدة

Solidity

Vyper

أخطاء عقد الإيداع

تعد مواصفات وكود المصدر الخاص بـ عقد الإيداع في سلسلة المنارة جزءًا من برنامج مكافآت الأخطاء.

روابط مفيدة

مواصفات عقد الإيداع
كود المصدر لـ عقد الإيداع

أخطاء التبعيات

تعتبر بعض التبعيات حاسمة لعمل شبكة إيثيريوم، وقد تمت إضافة بعضها إلى برنامج مكافآت الأخطاء. حاليًا، قائمة التبعيات المشمولة في برنامج مكافآت الأخطاء هي ⁦C-KZG-4844⁩ و⁦Go-KZG-4844⁩.

روابط مفيدة

C-KZG-4844
Go-ETH-KZG

خارج النطاق

فقط الأهداف المدرجة ضمن النطاق هي جزء من برنامج مكافآت الأخطاء. الثغرات التي لا تتأهل بموجب البرنامج تشمل:

✕أخطاء البنية التحتية — مثل صفحات الويب، وDNS، والبريد الإلكتروني، وما إلى ذلك.^*
✕أخطاء عقود ERC-20^*
✕أخطاء خدمة أسماء إيثيريوم (ENS) (التي تديرها مؤسسة ENS)
✕الثغرات الأمنية التي تتطلب من المستخدم أن يكون قد كشف علنًا عن API، مثل JSON-RPC أو Beacon API
✕تُعتبر EngineAPI موثوقة ولا يُقصد الكشف عنها علنًا
✕الأخطاء المطبعية
✕الاختبارات
✕هجمات حجب الخدمة (DoS) على نظير واحد التي تتطلب جهدًا عاليًا (مستمرة، أو تستهلك الكثير من وحدة المعالجة المركزية أو النطاق الترددي، و/أو تتطلب أكثر من حزمة واحدة أو معاملة على السلسلة)
✕أي مشكلات معروفة علنًا (تشمل منشورات المنتديات، وطلبات السحب (PRs)، ومشكلات GitHub، والالتزامات (commits)، ومنشورات المدونات، ورسائل ديسكورد العامة، وما إلى ذلك)
✕أي شيء ليس له تأثير مباشر حاليًا على شبكة إيثيريوم الرئيسية.

^*هذه غير مشمولة، ومع ذلك، يمكننا أحيانًا المساعدة في التواصل مع الأطراف المتأثرة

قواعد صيد الأخطاء

برنامج مكافآت الأخطاء هو برنامج مكافآت تجريبي وتقديري لمجتمع إيثيريوم النشط لتشجيع ومكافأة أولئك الذين يساعدون في تحسين المنصة. إنه ليس مسابقة. يجب أن تعلم أنه يمكننا إلغاء البرنامج في أي وقت، وتكون الجوائز وفقًا للتقدير المطلق للجنة مكافآت الأخطاء التابعة لـ مؤسسة إيثيريوم. بالإضافة إلى ذلك، لا يمكننا إصدار جوائز للأفراد المدرجين في قوائم العقوبات أو الموجودين في بلدان مدرجة في قوائم العقوبات (مثل كوريا الشمالية، وإيران، وما إلى ذلك). تتطلب القوانين المحلية منا طلب إثبات هويتك. أنت مسؤول عن جميع الضرائب. تخضع جميع الجوائز للقانون المعمول به. أخيرًا، يجب ألا ينتهك اختبارك أي قانون أو يعرض أي بيانات ليست ملكك للخطر، ويجب أن يتم على شبكات اختبار محلية قيد التشغيل.

1المشكلات التي لا تحتوي على إثبات مفهوم (⁦POC⁩) أو التي تم إرسالها بالفعل بواسطة مستخدم آخر أو المعروفة بالفعل لمشرفي المواصفات والعملاء غير مؤهلة للحصول على مكافآت.
2الكشف العلني عن ثغرة أمنية أو الإبلاغ عنها لأطراف أخرى دون اتفاق مسبق يجعلها غير مؤهلة للحصول على مكافأة.
3يجوز لموظفي ومقاولي مؤسسة إيثيريوم، أو الحاصلين على منح من مؤسسة إيثيريوم، أو فرق العملاء المشمولين في نطاق برنامج المكافآت المشاركة في البرنامج فقط في تجميع النقاط ولن يتلقوا مكافآت مالية.
4يأخذ برنامج مكافآت إيثيريوم في الاعتبار عددًا من المتغيرات في تحديد المكافآت. قرارات الأهلية، والنتيجة، وجميع الشروط المتعلقة بالجائزة تخضع للتقدير المطلق والنهائي للجنة مكافآت الأخطاء التابعة لـ مؤسسة إيثيريوم.

مؤهلات خطورة الثغرات الأمنية

يتم تقييم الخطورة بناءً على القدرة الفريدة لكل ثغرة أمنية مكتشفة على القيام بما يلي:

خطورة منخفضة

اقتطاع >⁦0.01%⁩ من المدققين
التسبب بسهولة في انقسامات في الشبكة تؤثر على >⁦0.01%⁩ من الشبكة
القدرة على إسقاط >⁦0.01%⁩ من الشبكة عن طريق إرسال حزمة شبكة واحدة أو معاملة على السلسلة

خطورة متوسطة

اقتطاع >⁦1%⁩ من المدققين
التسبب بسهولة في انقسامات في الشبكة تؤثر على >⁦5%⁩ من الشبكة
القدرة على إسقاط >⁦5%⁩ من الشبكة عن طريق إرسال حزمة شبكة واحدة أو معاملة على السلسلة

خطورة عالية

اقتطاع >⁦33%⁩ من المدققين
التسبب بسهولة في انقسامات في الشبكة تؤثر على >⁦33%⁩ من الشبكة
القدرة على إسقاط >⁦33%⁩ من الشبكة عن طريق إرسال معاملة واحدة على السلسلة

خطورة حرجة

اقتطاع >⁦50%⁩ من المدققين
استغلال خطأ في EIP/المواصفات أو العميل من أجل إنشاء كمية لا نهائية من ETH بسهولة والتي تصبح نهائية بواسطة الشبكة
سرقة ETH من جميع الحسابات المملوكة خارجيًا (EOAs)
حرق ETH من جميع الحسابات المملوكة خارجيًا (EOAs)
إسقاط الشبكة بالكامل عن طريق إرسال معاملة خبيثة واحدة على السلسلة تؤدي في النهاية إلى تعطل جميع العملاء

إرسال خطأ

ما يصل إلى ⁦2,000 USD⁩

منخفض

ما يصل إلى ⁦2,000 USD⁩

ما يصل إلى ⁦1,000⁩ نقطة

إرسال خطأ ذو مخاطر منخفضة

ما يصل إلى ⁦10,000 USD⁩

متوسط

ما يصل إلى ⁦10,000 USD⁩

ما يصل إلى ⁦5,000⁩ نقطة

إرسال خطأ ذو مخاطر متوسطة

ما يصل إلى ⁦50,000 USD⁩

عالٍ

ما يصل إلى ⁦50,000 USD⁩

ما يصل إلى ⁦10,000⁩ نقطة

إرسال خطأ ذو مخاطر عالية

ما يصل إلى ⁦1,000,000 USD⁩

حرج

ما يصل إلى ⁦1,000,000 USD⁩

ما يصل إلى ⁦25,000⁩ نقطة

إرسال خطأ ذو مخاطر حرجة

الأسئلة الشائعة

لم يتم تحديد تاريخ انتهاء حاليًا. راجع مدونة مؤسسة إيثيريوم للحصول على أحدث الأخبار.

يتم دفع المكافآت بعملة ETH أو DAI بعد التحقق من صحة التقديم، وعادة ما يكون ذلك بعد بضعة أيام. تتطلب القوانين المحلية منا طلب إثبات هويتك. بالإضافة إلى ذلك، سنحتاج إلى عنوان ETH الخاص بك.

يمكننا التبرع بمكافأتك لمنظمة خيرية معتمدة من اختيارك.

نهدف إلى الرد على التقديمات في أسرع وقت ممكن. نظرًا للزيادة في التقديمات التي يتم إنشاؤها بواسطة الذكاء الاصطناعي، يُرجى إتاحة ما يصل إلى أسبوع لنا للرد على تقديمك.

التقديم بشكل مجهول أو باستخدام اسم مستعار أمر مقبول، ولكنه سيجعلك غير مؤهل للحصول على مكافآت ETH/DAI. لتكون مؤهلاً للحصول على مكافآت ETH/DAI، نطلب إرسال اسمك الحقيقي وإثبات هويتك، مشفرًا باستخدام PGP على موقعنا الآمن، إلى فريقنا القانوني في مؤسسة إيثيريوم وهم المراجعون الوحيدون للوثائق. التبرع بمكافأتك لجمعية خيرية لا يتطلب الكشف عن هويتك.

يُرجى إعلامنا إذا كنت لا ترغب في عرض اسمك/لقبك في لوحة المتصدرين.

يتم تعيين درجة لكل ثغرة أمنية / مشكلة يتم العثور عليها. يتم تصنيف صائدي المكافآت في لوحة المتصدرين الخاصة بنا حسب إجمالي النقاط.

برنامج مكافآت الأخطاء