Прeскачане към основното съдържание

Помогнете с превода на тази страница

🌏

Виждате тази страница на английски език, защото все още не сме я превели. Помогнете ни да преведем съдържанието.

Преведете страницата

Тук няма грешки!🐛

Тази страница не се превежда. Засега нарочно сме я оставили на английски език.

Отворено за изпращане

Търсене на бъгове в Eth2 🐛
Спечелете до $50 000 USD и място в класацията, като откриете грешки в протокола Eth2 и клиента.
Докладвайте за бъгПрочетете правилата
Вижте цялата класация

Клиенти, споменати в изследванията

Валидни бъгове

Тази програма за търсене на бъгове е фокусирана в намирането на бъгове в основната спецификация на Сигналната верига на Eth2 и в изпълненията на клиентите на Prysm, Lighthouse и Teku.

📒

Бъгове в спецификацията на сигналната верига

Спецификацията на сигналната верига разглежда подробно обосновката на дизайна и предложените промени в Етереум чрез ъпгрейда на сигналната верига.

Прочетете цялата спецификация
Execution Layer Specifications

Може би е полезно да проверите следните бележки:

Видове бъгове

  • бъгове в безопасността/завършването на блока.
  • вектори на отказа от изпълнение/denial of service (DOS)
  • несъответствия при преценките, като случаи, където честни валидатори могат да бъдат наказани и изхвърлени.
  • несъответствия в изчисленията или параметрите.

Документи за спецификацията

💻

Бъгове при клиенти на Eth2

Клиентите ще управляват сигналната верига веднага щом се направи ъпгрейдът. Клиентите ще трябва да следват логиката на сета в спесификацията и да се подсигурят срещу потенциални атаки. Бъговете, които искаме да открием, са свързани с прилагането на протокола.

Понастоящем бъговете Lighthouse, Nimbus, Teku и Prysm са допустими при това изследване. Могат да бъдат добавени и повече клиенти, когато те приключат с одита и станат готови за пускане.

Видове бъгове

  • проблеми при несъответствие в спецификацията.
  • уязвимости от типа на неочаквани провали или отказ на услуги/denial of service (DOS).
  • други проблеми, които причиняват непоправими консенсусни сплитове от останалата мрежа.

Полезни връзки

📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Полезни връзки

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Не включва

Веригата от компоненти и док ъпгрейдите все още са в активна разработка и не са включени в тази програма за търсене на бъгове.

Докладвайте за бъг

За всеки открит бъг ще получите точки като награда. Точките, които ще спечелите, зависят от сериозността на бъга. Фондация Етереум (EF) определя тази сериозност по метода OWASP. Вижте OWASP метода

Фондация Етереум ще дава точки на основата на:

Качество на описанието: По-високи награди се изплащат при ясни и добре написани заявления.

Качество на възпроизводимост: Моля, включете тест код, скриптове и подробни указания. Колкото е по-лесно за нас да възпроизведем и установим уязвимостта, толкова по-голяма ще е наградата.

Качество на поправките, ако е включено: По-високи награди се плащат за заявления с ясно описание как да се реши проблемът.

До 2000 DAI

Ниско

До 2000 DAI

До 1000 точки

Трудност

  • Ниско въздействие, средна вероятност
  • Средно въздействие, ниска вероятност

Пример

Атакуващият може понякога да постави даден нод в състояние, което ще предизвика падането на една от всеки сто атестации, направени от валидатора
Докладвайте за бъг с нисък риск
До 10 000 DAI

Средно

До 10 000 DAI

До 5000 точки

Трудност

  • Високо въздействие, ниска вероятност
  • Средно въздействие, средна вероятност
  • Ниско въздействие, висока вероятност

Пример

Атакуващият може успешно да проведе прикрити атаки на нодове с peer-id с 4 водещи нулеви битове/4 leading zero bytes
Докладвайте за бъг със среден риск
До 20 000 DAI

Високо

До 20 000 DAI

До 10 000 точки

Трудност

  • Високо въздействие, средна вероятност
  • Средно въздействие, висока вероятност

Пример

Съществува бъг в консенсуса между двама клиенти, но е трудно или непрактично за атакуващия да предизвика такова събитие.
Докладвайте за бъг с висок риск
До 50 000 DAI

Критично важно

До 50 000 DAI

До 25 000 точки

Трудност

  • High impact, high likelihood

Пример

Съществува бъг в консенсуса между двама клиенти и за атакуващия не е от значение да предизвика такова събитие.
Докладвайте за бъг с критичен риск

Правила при търсене на бъгове

Програмата за откриване на бъгове е експериментална и наградите са по усмотрение на нашата активна Етереум общност с цел поощряване и награда за тези, които помагат за усъвършенстване на платформата. Това не е състезание. Трябва да сте наясно, че може да спрем програмата по всяко време и наградите са единствено по преценка на панела за откриване на бъгове на Фондация Етереум. Също така не може да даваме награди на хора, които са в списъци на санкционирани лица, или които се намират в страни, включени в такива списъци (например Северна Корея, Иран и други). Всички данъци са ваша отговорност. Всички награди са подчинени на съответните закони. И накрая, вашите опити не трябва на нарушават никакви закони или да компрометират данни, които не са ваши.

  • Проблеми, които вече са докладвани от друг потребител, или са вече известни в спецификацията и поддръжката на клиентите, не подлежат на награди в това търсене на бъгове.
  • Публичното оповестяване на дадена уязвимост я прави неприемлива за това търсене.
  • Специалистите от Фондация Етереум и служителите от клиентските екипи на Eth2 не подлежат на награждаване.
  • Програмата на Етереум за търсене на бъгове се съобразява с редица варианти при определяне на наградите. Определянето на приемливостта, резултата и всички условия, свързани с дадена награда, са окончателна преценка единствено и само на панела за търсене на бъгове на Фондация Етереум.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Класация на търсенето на бъгове

Открийте бъгове в Eth2, за да ви добавим в тази класация

Често задавани въпроси

Въпроси?

Пишете ни: bounty@ethereum.org

✉️

Was this page helpful?