Μετάβαση στο κύριο περιεχόμενο

Διαθέσιμο για υποβολή προτάσεων

Πρόγραμμα εντοπισμού σφαλμάτων

Κερδίστε έως και 250.000 USD και μια θέση στον πίνακα κατάταξης με την εύρεση του πρωτοκόλλου, της εφαρμογής πελάτη και των σφαλμάτων γλώσσας μεταγλωττιστή που επηρεάζουν το δίκτυο του Ethereum.

Αναφορά σφάλματος(opens in a new tab)Κανόνες συμμετοχής
Δείτε τους πλήρεις πίνακες κατάταξης

Εφαρμογές πελάτη επιλέξιμες για ανταμοιβές εντοπισμού σφαλμάτων

Εντός πεδίου εφαρμογής

Το Πρόγραμμα εντοπισμού σφαλμάτων μας καλύπτει ένα ευρύ φάσμα: από την αξιοπιστία των πρωτοκόλλων (όπως το μοντέλο συναίνεσης της κρυπτοαλυσίδας, τα πρωτόκολλα μεταβίβασης και p2p, η απόδειξη συμμετοχής κ.λπ.) και τη συμμόρφωση πρωτοκόλλου/υλοποίησης έως την ασφάλεια του δικτύου και την ακεραιότητα της συναίνεσης. Η παραδοσιακή ασφάλεια των εφαρμογών πελάτη, καθώς και η ασφάλεια των πρωτογενών στοιχείων κρυπτογράφησης, αποτελούν επίσης μέρος του προγράμματος. Σε περίπτωση αμφιβολιών, στείλτε email στο bounty@ethereum.org και ρωτήστε μας. Μπορείτε να αναφέρετε ένα ζήτημα/ευπάθεια απευθείας στο bounty@ethereum.org(opens in a new tab), οπότε σας ζητάμε να κρυπτογραφήσετε το μήνυμα χρησιμοποιώντας το δικό μας Κλειδί PGP(opens in a new tab).

Σφάλματα προδιαγραφών

Οι Προδιαγραφές του Ethereum περιγράφουν λεπτομερώς το σκεπτικό του σχεδιασμού για το Επίπεδο εκτέλεσης και το Επίπεδο συναίνεσης.

Προδιαγραφές επιπέδου συναίνεσης(opens in a new tab)
Προδιαγραφές επιπέδου εκτέλεσης(opens in a new tab)

Ίσως σας φανεί χρήσιμο να ρίξετε μια ματιά στις παρακάτω σημειώσεις:

Τύποι σφαλμάτων

  • Σφάλματα παραβίασης ασφάλειας / Σφάλματα κατά την ολοκλήρωση
  • Φορείς άρνησης υπηρεσίας (DOS)
  • Ασυνέπειες σε παραδοχές, όπως καταστάσεις όπου επιβεβαιωμένοι επικυρωτές μπορούν να υποστούν περικοπή (slashing)
  • Ασυνέπειες υπολογισμού ή παραμέτρων

Σφάλματα λογισμικών πελάτη

Οι εφαρμογές πελάτη εκτελούν το δίκτυο του Ethereum. Πρέπει να ακολουθούν τη λογική λειτουργίας που ορίζεται στις προδιαγραφές και να παρέχουν ασφάλεια κατά πιθανών επιθέσεων. Τα σφάλματα που θέλουμε να εντοπίσουμε σχετίζονται με την εφαρμογή του πρωτοκόλλου.

Αυτήν τη στιγμή, στο Πρόγραμμα εντοπισμού σφαλμάτων (Bug Bounty Program) περιλαμβάνονται οι εφαρμογές πελάτη επιπέδου εκτέλεσης (Besu, Erigon, Geth, Nethermind και Reth) και οι εφαρμογές πελάτη επιπέδου συναίνεσης (Lighthouse, Lodestar, Nimbus, Teku και Prysm). Περισσότερες εφαρμογές πελάτη ενδέχεται να προστεθούν με την ολοκλήρωση των ελέγχων και τη διάθεσή τους για πλήρη λειτουργία.

Τύποι σφαλμάτων

  • Ζητήματα μη συμμόρφωσης προδιαγραφών
  • Μη αναμενόμενες καταρρεύσεις, ευπάθειες απομακρυσμένης εκτέλεσης εντολών (RCE) ή άρνησης υπηρεσίας (denial of service)
  • Τυχόν ζητήματα που προκαλούν ανεπανόρθωτο διαχωρισμό συναίνεσης από το υπόλοιπο δίκτυο

Σφάλματα γλώσσας μεταγλωττιστή

Οι μεταγλωττιστές Solidity και Vyper εμπίπτουν στο πεδίο εφαρμογής του προγράμματος εντοπισμού σφαλμάτων. Συμπεριλάβετε όλες τις απαραίτητες λεπτομέρειες για την αναπαραγωγή της ευπάθειας, όπως τα εξής: Πρόγραμμα εισόδου που ενεργοποιεί το σφάλμα, Έκδοση μεταγλωττιστή που επηρεάζεται, Έκδοση στόχου EVM, Framework/IDE εάν υπάρχει, περιβάλλον/πελάτης εκτέλεσης EVM εάν υπάρχει και λειτουργικό σύστημα. Συμπεριλάβετε τα βήματα για την αναπαραγωγή του σφάλματος που έχετε βρει με όσο το δυνατόν περισσότερες λεπτομέρειες.

Η Solidity και η Vyper δεν διατηρούν εγγυήσεις ασφαλείας όσον αφορά τη μεταγλώττιση μη αξιόπιστης εισόδου και ούτε εκδίδουμε ανταμοιβές για καταρρεύσεις του μεταγλωττιστή σε κακόβουλη παραγωγή δεδομένων.

Χρήσιμοι σύνδεσμοι

Solidity(opens in a new tab)
Vyper(opens in a new tab)

Σφάλματα σύμβασης κατάθεσης

Οι προδιαγραφές και ο πηγαίος κώδικας του συμβολαίου κατάθεσης της Κύριας Αλυσίδας είναι μέρος του προγράμματος εύρεσης σφαλμάτων.

Dependency bugs

Ορισμένες εξαρτήσεις είναι ζωτικής σημασίας για τη λειτουργία του Δικτύου Ethereum και ορισμένες από αυτές έχουν προστεθεί στο πρόγραμμα επιβράβευσης σφαλμάτων. Επί του παρόντος, η λίστα των εξαρτήσεων που περιλαμβάνονται στο πρόγραμμα επιβράβευσης σφαλμάτων είναι C-KZG-4844 και Go-KZG-4844.

Εκτός πεδίου εφαρμογής

Στο Πρόγραμμα εντοπισμού σφαλμάτων συμπεριλαμβάνονται μόνο οι στόχοι που απαριθμούνται ως «εντός πεδίου εφαρμογής». Αυτό σημαίνει ότι, για παράδειγμα, οι υποδομές μας, όπως ιστοσελίδες, dns, email κ. λπ., δεν αποτελούν μέρος του πεδίου αναζήτησης. Τα σφάλματα συμβολαίων ERC20 συνήθως δεν αποτελούν αντικείμενο του πεδίου. Ωστόσο, σε τέτοιες περιπτώσεις μπορούμε να βοηθήσουμε στην επικοινωνία με θιγόμενα μέρη, όπως συντάκτες ή ανταλλακτήρια. Το ENS συντηρείται από το ίδρυμα ENS και δεν αποτελεί μέρος του πεδίου αναζήτησης. Οι ευπάθειες που απαιτούν από τον χρήστη να έχει εκθέσει δημόσια ένα API, όπως το JSON-RPC ή το Beacon API, δεν εμπίπτουν στο πεδίο εφαρμογής του προγράμματος εντοπισμού σφαλμάτων.

Αναφορά σφάλματος

Για κάθε έγκυρο σφάλμα που εντοπίζετε, θα κερδίζετε ανταμοιβές. Η ποσότητα των ανταμοιβών που θα σας δοθούν θα ποικίλλει ανάλογα με τη Σοβαρότητα. Η σοβαρότητα υπολογίζεται σύμφωνα με το μοντέλο διαβάθμισης κινδύνου OWASP που βασίζεται στις Επιπτώσεις στο Δίκτυο του Ethereum και την Πιθανότητα εμφάνισης. Προβολή μεθόδου OWASP(opens in a new tab)

Το EF θα παρέχει επίσης ανταμοιβές με βάση τα εξής:

Ποιότητα περιγραφής: Δίδονται υψηλότερες ανταμοιβές για σαφείς και καλογραμμένες περιγραφές.

Ποιότητα αναπαραγωγιμότητας: πρέπει να περιλαμβάνεται επαλήθευση ιδέας (Proof of Concept – POC) για να πληρούνται τα κριτήρια ανταμοιβής. Παρακαλούμε να συμπεριλαμβάνετε τον δοκιμαστικό κώδικα, τα σενάρια και λεπτομερείς οδηγίες. Όσο πιο εύκολο είναι για εμάς να αναπαράγουμε και να επαληθεύσουμε την ευπάθεια, τόσο υψηλότερη θα είναι η ανταμοιβή.

Ποιότητα διόρθωσης, εάν περιλαμβάνεται: δίδονται υψηλότερες ανταμοιβές για τα κείμενα με σαφή περιγραφή του τρόπου διόρθωσης του σφάλματος.

Έως 2.000 USD

Χαμηλός

Έως 2.000 USD

Έως 1.000 πόντοι

Σοβαρότητα

  • Χαμηλού επηρεασμού, μέτριας πιθανότητας
  • Μέτριου επηρεασμού, χαμηλή πιθανότητα

Παράδειγμα

Ο κακόβουλος χρήστης μπορεί μερικές φορές να θέσει έναν κόμβο σε κατάσταση που θα τον αναγκάζει να απορρίψει μία επιβεβαίωση από κάθε εκατό που έλαβε από έναν επικυρωτή
Αναφορά σφάλματος χαμηλού κινδύνου(opens in a new tab)
Έως 10.000 USD

Μεσαίο

Έως 10.000 USD

Έως 5.000 πόντοι

Σοβαρότητα

  • Υψηλού επηρεασμού, χαμηλή πιθανότητα
  • Μέτριου επηρεασμού, μέτρια πιθανότητα
  • Χαμηλού επηρεασμού, υψηλή πιθανότητα

Παράδειγμα

Ένας κακόβουλος χρήστης μπορεί να διεξάγει με επιτυχία επιθέσεις έκλειψης σε κόμβους με χρήση αναγνωριστικών ομότιμων που έχουν 4 byte αρχικών μηδενικών
Αναφορά σφάλματος μέτριου κινδύνου(opens in a new tab)
Έως 50.000 USD

Υψηλό

Έως 50.000 USD

Έως 10.000 πόντοι

Σοβαρότητα

  • Υψηλού επηρεασμού, μέτρια πιθανότητα
  • Μέτριου επηρεασμού, υψηλή πιθανότητα

Παράδειγμα

Ο κακόβουλος χρήστης μπορεί να διαιρέσει επιτυχώς μεγάλα μέρη του δικτύου, ενώ η ενεργοποίηση της ευπάθειας είναι σύνηθες φαινόμενο για τον κακόβουλο χρήστη
Αναφορά σφάλματος υψηλού κινδύνου(opens in a new tab)
Έως 250.000 USD

Κρίσιμο

Έως 250.000 USD

Έως 25.000 πόντοι

Σοβαρότητα

  • Υψηλού επηρεασμού, υψηλής πιθανότητα

Παράδειγμα

Ο κακόβουλος χρήστης μπορεί να πραγματοποιήσει επιτυχώς απομακρυσμένη εκτέλεση κώδικα σε μια εφαρμογή πελάτη πλειοψηφίας, ενώ η ενεργοποίηση της ευπάθειας είναι σύνηθες φαινόμενο για τον κακόβουλο χρήστη
Αναφορά κρίσιμου σφάλματος(opens in a new tab)

Κανόνες εντοπισμού σφαλμάτων

Το πρόγραμμα εντοπισμού σφαλμάτων είναι ένα πειραματικό και προαιρετικό πρόγραμμα ανταμοιβών για την ενεργή κοινότητα του Ethereum, το οποίο αποσκοπεί να ενθαρρύνει και να ανταμείψει αυτούς που βοηθούν στη βελτίωση της πλατφόρμας. Δεν πρόκειται για διαγωνισμό. Θα πρέπει να γνωρίζετε ότι μπορούμε να ακυρώσουμε το πρόγραμμα ανά πάσα στιγμή και ότι τα βραβεία έγκεινται στη διακριτική ευχέρεια της επιτροπής του Ιδρύματος Ethereum για το εν λόγω πρόγραμμα. Επιπλέον, δεν είμαστε σε θέση να χορηγήσουμε βραβεία σε άτομα που βρίσκονται σε καταλόγους κυρώσεων ή που βρίσκονται σε χώρες που περιλαμβάνονται σε καταλόγους κυρώσεων (π.χ. Βόρεια Κορέα, Ιράν κ.λπ.). Η τοπική νομοθεσία μάς υποχρεώνει να σας ζητήσουμε αποδεικτικό της ταυτότητάς σας. Εσείς είστε υπεύθυνοι για την απόδοση τυχόν φόρων. Όλα τα βραβεία υπόκεινται στην ισχύουσα νομοθεσία. Τέλος, οι δοκιμαστικές ενέργειές σας δεν πρέπει να παραβιάζουν κανένα νόμο ή να θέτουν σε κίνδυνο δεδομένα που δεν σας ανήκουν, και πρέπει να λαμβάνουν χώρα σε τοπικά δοκιμαστικά δίκτυα.

  • Τα σφάλματα που υποβάλλονται χωρίς επαλήθευση ιδέας (POC), που έχουν ήδη αναφερθεί από άλλους χρήστες ή που είναι ήδη γνωστά στην ομάδα ελέγχου και συντήρησης δεν θα λαμβάνουν ανταμοιβή.
  • Η δημοσιοποίηση μιας ευπάθειας ή αναφορά σε τρίτο μέρος χωρίς τη σύμφωνη γνώμη, την καθιστά μη επιλέξιμη για ανταμοιβή.
  • Οι εργαζόμενοι και οι εξωτερικοί συνεργάτες του Ιδρύματος Ethereum ή οι ομάδες εφαρμογών πελάτη που εμπίπτουν στο πλαίσιο του προγράμματος εντοπισμού σφαλμάτων μπορούν να συμμετέχουν στο εν λόγω πρόγραμμα μόνο για τη συγκέντρωση βαθμών και δεν θα λαμβάνουν χρηματικές ανταμοιβές.
  • Το πρόγραμμα ανταμοιβών του Ethereum εξετάζει μια σειρά μεταβλητών για τον καθορισμό των ανταμοιβών. Ο προσδιορισμός της επιλεξιμότητας, της βαθμολογίας και όλων των όρων που σχετίζονται με ένα βραβείο έγκειται στην αποκλειστική και τελική διακριτική ευχέρεια της οικείας επιτροπής του Ιδρύματος Ethereum.

Πίνακας κατάταξης του Προγράμματος εντοπισμού σφαλμάτων για το Επίπεδο εκτέλεσης

Εντοπίστε σφάλματα του επιπέδου συναίνεσης και κατακτήστε μια θέση στον πίνακα κατάταξης

Πίνακας κατάταξης του Προγράμματος εντοπισμού σφαλμάτων για το Επίπεδο συναίνεσης

Εντοπίστε σφάλματα του επιπέδου συναίνεσης και κατακτήστε μια θέση στον πίνακα κατάταξης

Συχνές ερωτήσεις

Ερωτήσεις;

Στείλτε μας email: bounty@ethereum.org(opens in a new tab)

Ήταν χρήσιμη αυτή η σελίδα;