মূল কন্টেন্টে যান

জমা দেওয়ার জন্য উন্মুক্ত

বাগ বাউন্টি প্রোগ্রাম 

ইথেরিয়াম নেটওয়ার্ক-কে প্রভাবিত করে এমন প্রোটোকল, ক্লায়েন্ট এবং ল্যাঙ্গুয়েজ কম্পাইলার বাগ খুঁজে বের করে 1,000,000 USD পর্যন্ত উপার্জন করুন এবং লিডারবোর্ডে জায়গা করে নিন।

বাগ জমা দিন (opens in a new tab)নিয়মগুলো পড়ুন
সম্পূর্ণ লিডারবোর্ড দেখুন

বাউন্টিতে অন্তর্ভুক্ত ক্লায়েন্টগুলো

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

আওতাভুক্ত

আমাদের বাগ বাউন্টি প্রোগ্রামটি এন্ড-টু-এন্ড বিস্তৃত: প্রোটোকলের দৃঢ়তা (যেমন ব্লকচেইন ঐক্যমত মডেল, ওয়্যার এবং p2p প্রোটোকল, প্রুফ-অফ-স্টেক ইত্যাদি) এবং প্রোটোকল/বাস্তবায়ন কমপ্লায়েন্স থেকে শুরু করে নেটওয়ার্ক নিরাপত্তা এবং ঐক্যমত অখণ্ডতা পর্যন্ত। ক্লাসিক্যাল ক্লায়েন্ট নিরাপত্তার পাশাপাশি ক্রিপ্টোগ্রাফিক প্রিমিটিভগুলোর নিরাপত্তাও এই প্রোগ্রামের অংশ। সমস্ত বাগ প্রকাশ এবং দুর্বলতা জমা অবশ্যই আমাদের বাগ জমা দেওয়ার ফর্ম (opens in a new tab)-এর মাধ্যমে করতে হবে।

স্পেসিফিকেশন বাগ

ইথেরিয়াম স্পেসিফিকেশনগুলো এক্সিকিউশন লেয়ার এবং কনসেনসাস লেয়ার-এর ডিজাইনের যৌক্তিকতা বিস্তারিতভাবে বর্ণনা করে।

নিম্নলিখিত টীকাগুলো পরীক্ষা করা সহায়ক হতে পারে:

বাগের ধরন

  • নিরাপত্তা/চূড়ান্ততা-ভঙ্গকারী বাগ
  • ডিনায়াল অফ সার্ভিস (DOS) ভেক্টর
  • অনুমানের মধ্যে অসঙ্গতি, যেমন এমন পরিস্থিতি যেখানে সৎ ভ্যালিডেটরদের স্ল্যাশিং করা হতে পারে
  • হিসাব বা প্যারামিটারের অসঙ্গতি

স্পেসিফিকেশন ডকুমেন্ট

বিকন চেইন (opens in a new tab)
ফর্ক চয়েস (opens in a new tab)
Solidity ডিপোজিট কন্ট্রাক্ট (opens in a new tab)
পিয়ার-টু-পিয়ার নেটওয়ার্কিং (opens in a new tab)

ক্লায়েন্ট বাগ

ক্লায়েন্টরা ইথেরিয়াম নেটওয়ার্ক চালায়, এবং তাদের স্পেসিফিকেশনে নির্ধারিত লজিক অনুসরণ করতে হবে এবং সম্ভাব্য আক্রমণের বিরুদ্ধে সুরক্ষিত থাকতে হবে। আমরা যে বাগগুলো খুঁজতে চাই তা প্রোটোকল বাস্তবায়নের সাথে সম্পর্কিত।

বর্তমানে এক্সিকিউশন লেয়ার ক্লায়েন্ট (বেসু, এরিগন, গেথ, নেদারমাইন্ড এবং রেথ) এবং কনসেনসাস লেয়ার ক্লায়েন্ট (লাইটহাউস, লোডস্টার, নিম্বাস, টেকু এবং প্রিজম) বাগ বাউন্টি প্রোগ্রামে অন্তর্ভুক্ত রয়েছে।

বাগের ধরন

  • স্পেসিফিকেশন অমান্য করার সমস্যা
  • অপ্রত্যাশিত ক্র্যাশ, RCE বা ডিনায়াল অফ সার্ভিস (DOS) দুর্বলতা
  • নেটওয়ার্ক-এর বাকি অংশ থেকে অপূরণীয় ঐক্যমত বিভাজন সৃষ্টিকারী যেকোনো সমস্যা

সহায়ক লিংক

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

ল্যাঙ্গুয়েজ কম্পাইলার বাগ

Solidity এবং Vyper কম্পাইলারগুলো বাগ বাউন্টি প্রোগ্রামের আওতাভুক্ত। অনুগ্রহ করে দুর্বলতাটি পুনরুৎপাদন করার জন্য প্রয়োজনীয় সমস্ত বিবরণ অন্তর্ভুক্ত করুন যেমন: ইনপুট প্রোগ্রাম যা বাগটি ট্রিগার করে, প্রভাবিত কম্পাইলার সংস্করণ, টার্গেট EVM সংস্করণ, ফ্রেমওয়ার্ক/IDE (যদি প্রযোজ্য হয়), EVM এক্সিকিউশন এনভায়রনমেন্ট/ক্লায়েন্ট (যদি প্রযোজ্য হয়) এবং অপারেটিং সিস্টেম। অনুগ্রহ করে আপনার পাওয়া বাগটি পুনরুৎপাদন করার ধাপগুলো যতটা সম্ভব বিস্তারিতভাবে অন্তর্ভুক্ত করুন।

Solidity এবং Vyper অবিশ্বস্ত ইনপুট কম্পাইল করার ক্ষেত্রে কোনো নিরাপত্তা গ্যারান্টি দেয় না – এবং আমরা ক্ষতিকারকভাবে তৈরি করা ডেটার কারণে কম্পাইলার ক্র্যাশ হওয়ার জন্য কোনো পুরস্কার প্রদান করি না।

সহায়ক লিংক

Solidity (opens in a new tab)
Vyper (opens in a new tab)

ডিপোজিট কন্ট্রাক্ট বাগ

বিকন চেইন ডিপোজিট কন্ট্রাক্ট-এর স্পেসিফিকেশন এবং সোর্স কোড বাগ বাউন্টি প্রোগ্রামের অংশ।

সহায়ক লিংক

ডিপেন্ডেন্সি বাগ

ইথেরিয়াম নেটওয়ার্ক সঠিকভাবে কাজ করার জন্য কিছু নির্দিষ্ট ডিপেন্ডেন্সি অত্যন্ত গুরুত্বপূর্ণ, এবং এর মধ্যে কয়েকটি বাগ বাউন্টি প্রোগ্রামে যুক্ত করা হয়েছে। বর্তমানে, বাগ বাউন্টি প্রোগ্রামে অন্তর্ভুক্ত ডিপেন্ডেন্সিগুলোর তালিকা হলো C-KZG-4844 এবং Go-KZG-4844।

সহায়ক লিংক

আওতা বহির্ভূত

শুধুমাত্র আওতাভুক্ত হিসেবে তালিকাভুক্ত টার্গেটগুলোই বাগ বাউন্টি প্রোগ্রামের অংশ। যে দুর্বলতাগুলো এই প্রোগ্রামের অধীনে যোগ্য নয় সেগুলোর মধ্যে রয়েছে:

  • অবকাঠামোগত বাগ—যেমন ওয়েবপেজ, dns, ইমেইল ইত্যাদি।*
  • ERC-20 কন্ট্রাক্ট বাগ*
  • ইথেরিয়াম নেমিং সার্ভিস (ENS) বাগ (ENS ফাউন্ডেশন দ্বারা পরিচালিত)
  • এমন দুর্বলতা যার জন্য ব্যবহারকারীকে সর্বজনীনভাবে কোনো API উন্মুক্ত করতে হয়, যেমন জেসন-আরপিসি বা বিকন API
  • EngineAPI-কে বিশ্বস্ত বলে মনে করা হয় এবং এটি সর্বজনীনভাবে উন্মুক্ত করার উদ্দেশ্যে নয়
  • টাইপোগ্রাফিক ভুল
  • টেস্ট
  • উচ্চ-প্রচেষ্টার (দীর্ঘস্থায়ী, CPU বা ব্যান্ডউইথ নিবিড়, এবং/অথবা 1টির বেশি প্যাকেট বা অনচেইন ট্রানজ্যাকশন প্রয়োজন এমন) সিঙ্গেল-পিয়ার DoS আক্রমণ
  • যেকোনো সর্বজনীনভাবে পরিচিত সমস্যা (ফোরাম পোস্ট, PR, GitHub ইস্যু, কমিট, ব্লগ পোস্ট, সর্বজনীন ডিসকর্ড মেসেজ ইত্যাদি অন্তর্ভুক্ত)
  • এমন যেকোনো কিছু যার বর্তমানে ইথেরিয়াম মেইননেট-এর ওপর সরাসরি কোনো প্রভাব নেই।

*এগুলো অন্তর্ভুক্ত নয়, তবে আমরা মাঝে মাঝে ক্ষতিগ্রস্ত পক্ষগুলোর সাথে যোগাযোগ করতে সাহায্য করতে পারি

বাগ হান্টিংয়ের নিয়ম

বাগ বাউন্টি প্রোগ্রামটি আমাদের সক্রিয় ইথেরিয়াম কমিউনিটির জন্য একটি পরীক্ষামূলক এবং বিবেচনামূলক পুরস্কার প্রোগ্রাম, যা প্ল্যাটফর্মের উন্নতিতে সাহায্যকারীদের উৎসাহিত ও পুরস্কৃত করার জন্য তৈরি। এটি কোনো প্রতিযোগিতা নয়। আপনার জানা উচিত যে আমরা যেকোনো সময় প্রোগ্রামটি বাতিল করতে পারি, এবং পুরস্কার প্রদান সম্পূর্ণভাবে ইথেরিয়াম ফাউন্ডেশন বাগ বাউন্টি প্যানেলের বিবেচনার ওপর নির্ভরশীল। এছাড়া, যারা নিষেধাজ্ঞার তালিকায় আছেন বা নিষেধাজ্ঞার তালিকায় থাকা দেশগুলোতে (যেমন, উত্তর কোরিয়া, ইরান ইত্যাদি) বসবাস করেন, তাদের আমরা পুরস্কার প্রদান করতে পারি না। স্থানীয় আইনের কারণে আমাদের আপনার পরিচয়ের প্রমাণ চাইতে হতে পারে। সমস্ত করের জন্য আপনি দায়ী থাকবেন। সমস্ত পুরস্কার প্রযোজ্য আইনের অধীন। পরিশেষে, আপনার টেস্টিং কোনো আইন লঙ্ঘন করবে না বা আপনার নয় এমন কোনো ডেটার সাথে আপস করবে না এবং এটি অবশ্যই লোকাল রানিং টেস্টনেটে সম্পন্ন হতে হবে।

  1. 1POC (প্রুফ অফ কনসেপ্ট) ছাড়া সমস্যা, বা যা ইতিমধ্যে অন্য কোনো ব্যবহারকারী জমা দিয়েছেন, অথবা যা স্পেসিফিকেশন এবং ক্লায়েন্ট রক্ষণাবেক্ষণকারীদের কাছে আগে থেকেই পরিচিত, সেগুলো বাউন্টি পুরস্কারের জন্য যোগ্য নয়।
  2. 2পূর্বানুমতি ছাড়া কোনো দুর্বলতা জনসমক্ষে প্রকাশ করা বা অন্য কোনো পক্ষের কাছে রিপোর্ট করা হলে তা বাউন্টির জন্য অযোগ্য বলে বিবেচিত হবে।
  3. 3ইথেরিয়াম ফাউন্ডেশন-এর কর্মচারী এবং ঠিকাদার, ইথেরিয়াম ফাউন্ডেশন অনুদানপ্রাপ্ত ব্যক্তি, বা বাউন্টি প্রোগ্রামের আওতাভুক্ত ক্লায়েন্ট টিমের সদস্যরা শুধুমাত্র পয়েন্ট অর্জনের জন্য এই প্রোগ্রামে অংশগ্রহণ করতে পারবেন এবং কোনো আর্থিক পুরস্কার পাবেন না।
  4. 4ইথেরিয়াম বাউন্টি প্রোগ্রাম পুরস্কার নির্ধারণের ক্ষেত্রে বেশ কয়েকটি চলক বিবেচনা করে। যোগ্যতা, স্কোর এবং পুরস্কার সম্পর্কিত সমস্ত শর্তাবলীর চূড়ান্ত সিদ্ধান্ত সম্পূর্ণভাবে ইথেরিয়াম ফাউন্ডেশন বাগ বাউন্টি প্যানেলের ওপর নির্ভর করে।

দুর্বলতার তীব্রতার যোগ্যতা

প্রতিটি আবিষ্কৃত দুর্বলতার নিচের কাজগুলো করার অনন্য ক্ষমতার ওপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়:

নিম্ন তীব্রতা
  • >0.01% ভ্যালিডেটরকে স্ল্যাশিং করা
  • সহজেই নেটওয়ার্ক বিভাজন ঘটানো যা নেটওয়ার্কের >0.01%-কে প্রভাবিত করে
  • একটি মাত্র নেটওয়ার্ক প্যাকেট বা অনচেইন ট্রানজ্যাকশন পাঠিয়ে নেটওয়ার্কের >0.01% ডাউন করতে সক্ষম হওয়া
মাঝারি তীব্রতা
  • >1% ভ্যালিডেটরকে স্ল্যাশিং করা
  • সহজেই নেটওয়ার্ক বিভাজন ঘটানো যা নেটওয়ার্কের >5%-কে প্রভাবিত করে
  • একটি মাত্র নেটওয়ার্ক প্যাকেট বা অনচেইন ট্রানজ্যাকশন পাঠিয়ে নেটওয়ার্কের >5% ডাউন করতে সক্ষম হওয়া
উচ্চ তীব্রতা
  • >33% ভ্যালিডেটরকে স্ল্যাশিং করা
  • সহজেই নেটওয়ার্ক বিভাজন ঘটানো যা নেটওয়ার্কের >33%-কে প্রভাবিত করে
  • একটি মাত্র অনচেইন ট্রানজ্যাকশন পাঠিয়ে নেটওয়ার্কের >33% ডাউন করতে সক্ষম হওয়া
সংকটপূর্ণ তীব্রতা
  • >50% ভ্যালিডেটরকে স্ল্যাশিং করা
  • কোনো EIP/স্পেসিফিকেশন বা ক্লায়েন্ট বাগ কাজে লাগিয়ে সহজেই অসীম পরিমাণ ETH তৈরি করা যা নেটওয়ার্ক দ্বারা চূড়ান্তকৃত হয়
  • সব EOA থেকে ETH চুরি করা
  • সব EOA থেকে ETH পোড়ানো
  • একটি মাত্র ক্ষতিকারক অনচেইন ট্রানজ্যাকশন পাঠিয়ে পুরো নেটওয়ার্ক ডাউন করে দেওয়া যার ফলে সব ক্লায়েন্ট ক্র্যাশ করে

বাগ জমা দিন

2,000 USD পর্যন্ত

নিম্ন

2,000 USD পর্যন্ত

1,000 পয়েন্ট পর্যন্ত

নিম্ন ঝুঁকির বাগ জমা দিন (opens in a new tab)
10,000 USD পর্যন্ত

মাঝারি

10,000 USD পর্যন্ত

5,000 পয়েন্ট পর্যন্ত

মাঝারি ঝুঁকির বাগ জমা দিন (opens in a new tab)
50,000 USD পর্যন্ত

উচ্চ

50,000 USD পর্যন্ত

10,000 পয়েন্ট পর্যন্ত

উচ্চ ঝুঁকির বাগ জমা দিন (opens in a new tab)
1,000,000 USD পর্যন্ত

গুরুতর

1,000,000 USD পর্যন্ত

25,000 পয়েন্ট পর্যন্ত

গুরুতর ঝুঁকির বাগ জমা দিন (opens in a new tab)

এক্সিকিউশন লেয়ার বাগ বাউন্টি লিডারবোর্ড

এই লিডারবোর্ডে যুক্ত হতে এক্সিকিউশন লেয়ার বাগ খুঁজুন

কনসেনসাস লেয়ার বাগ বাউন্টি লিডারবোর্ড

এই লিডারবোর্ডে যুক্ত হতে কনসেনসাস লেয়ার বাগ খুঁজুন

সচরাচর জিজ্ঞাসিত প্রশ্নাবলী

বর্তমানে কোনো শেষ তারিখ নির্ধারণ করা হয়নি। সর্বশেষ খবরের জন্য ইথেরিয়াম ফাউন্ডেশন ব্লগ (opens in a new tab) দেখুন।

সাবমিশন যাচাই হওয়ার পর, সাধারণত কয়েকদিন পর ETH বা DAI-তে পুরস্কার প্রদান করা হয়। স্থানীয় আইনের কারণে আমাদের আপনার পরিচয়ের প্রমাণ চাইতে হয়। এছাড়া, আমাদের আপনার ETH ঠিকানা প্রয়োজন হবে।

আমরা আপনার পুরস্কার আপনার পছন্দের কোনো প্রতিষ্ঠিত দাতব্য সংস্থায় দান করতে পারি।

আমরা যত দ্রুত সম্ভব সাবমিশনের উত্তর দেওয়ার লক্ষ্য রাখি। এআই (AI) সাবমিশন বৃদ্ধির কারণে, আপনার সাবমিশনের উত্তর দেওয়ার জন্য অনুগ্রহ করে আমাদের এক সপ্তাহ পর্যন্ত সময় দিন।

বেনামে বা ছদ্মনামে সাবমিট করা ঠিক আছে, তবে এটি আপনাকে ETH/DAI পুরস্কারের জন্য অযোগ্য করে তুলবে। ETH/DAI পুরস্কারের জন্য যোগ্য হতে, আমাদের আপনার আসল নাম এবং পরিচয়ের প্রমাণ প্রয়োজন, যা আমাদের সুরক্ষিত ড্রপ ওয়েবসাইটে PGP ব্যবহার করে এনক্রিপ্ট করে ইথেরিয়াম ফাউন্ডেশন-এর লিগ্যাল টিমের কাছে পাঠাতে হবে, যারা এই নথিপত্রের একমাত্র পর্যালোচক। কোনো দাতব্য সংস্থায় আপনার বাউন্টি দান করার জন্য আপনার পরিচয়ের প্রয়োজন নেই।

আপনি যদি লিডারবোর্ডে আপনার নাম/ডাকনাম প্রদর্শন করতে না চান তবে অনুগ্রহ করে আমাদের জানান।

প্রতিটি প্রাপ্ত দুর্বলতা / সমস্যার জন্য একটি স্কোর নির্ধারণ করা হয়। বাউন্টি হান্টারদের মোট পয়েন্টের ভিত্তিতে আমাদের লিডারবোর্ডে র‍্যাঙ্ক করা হয়।