پرش به محتوای اصلی

امکان ارسال وجود دارد

پیدا کردن باگ لایه‌ی اجماع 🐛

با یافتن اشکالات در پروتکل لایه‌ی اجماع و مشتریان، تا سقف 50,000 دلار آمریکا و همین‌طور جایگاهی در تابلوی امتیازات کسب کنید.

ارسال باگ(opens in a new tab)خواندن قوانین
مشاهده‌ی جدول کامل امتیازها

کلاینت‌های ویژه در باونتی‌ها

باگ‌های معتبر

تمرکز این برنامه‌ی پاداش برای باگ، مشخصات زنجیره‌ی بیکن لایه‌ی اجماع هسته و Lighthouse،‏ Nimbus، Teku،‏ Prysm و پیاده‌سازی‌های کلاینت Lodestar است.

📒

باگ‌های مشخصات زنجیره‌ی بیکن

مشخصات زنجیره‌ی بیکن منطق طراحی و تغییرات پیشنهادشده به اتریوم از طریق ارتقای زنجیره‌ی بیکن را شرح می‌دهد.

خواندن مشخصات جامع(opens in a new tab)
Execution Layer Specifications(opens in a new tab)

بررسی پاورقی‌های زیر می‌تواند سودمند باشد:

انواع باگ

  • باگ‌های امنیتی/مخل قطعیت
  • بردارهای ممانعت از سرویس (DOS)
  • عدم پیوستگی در تخمین‌ها، مانند وضعیتی که در آن اعتبارسنج‌های صادق ممکن است خط زده شوند
  • عدم پیوستگی در محاسبات یا پارامترها

اسناد و مدارک مشخصات

💻

باگ‌های کلاینت لایه‌ی اجماع

کلاینت‌ها پس از استقرار ارتقا، زنجیره‌ی بیکن را راه‌اندازی خواهند کرد. کلاینت‌ها ملزم به پیگیری منطق مذکور در مشخصات و همین‌طور ایمنی در برابر حملات احتمالی هستند. باگ‌هایی که می‌خواهیم پیدا کنیم به راه‌اندازی پروتکل مربوط هستند.

در حال حاضر اشکالات Lighthouse،‏ Nimbus،‏ Teku و Prysm واجد شرایط دریافت پاداش کامل جایزه هستند. Lodestar نیز واجد شرایط است، اما تا زمانی که ممیزی‌های بیشتر تکمیل نشده باشد، امتیازات و پاداش ها به ‎10%‏ محدود می‌شود (حداکثر پرداخت 5000 DAI است). با تکمیل ممیزی و آماده شدن برای تولید، ممکن است کلاینت‌های بیشتری اضافه شوند.

انواع باگ

  • عیب‌یابی مشکلات عدم همخوانی
  • کرش‌های غیرمنتظره یا آسیب‌پذیری‌های ممانعت از سرویس (DOS)
  • هر مشکلی که سبب جدایی تعمیرناپذیر اجماع از سایر شبکه شود
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

لینک‌های سودمند

SECURITY.md(opens in a new tab)
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

مشمول نشده

ادغام و ارتقاهای خرده‌زنجیره همچنان به شکل فعال در حال توسعه‌اند و در نتیجه هنوز مشمول برنامه‌ی پاداش نیستند.

ارسال باگ

برای هر باگ که پیدا کنید، امتیاز دریافت خواهید کرد. امتیازهایی که کسب می‌کنید به شدت آسیب‌رسانی باگ بستگی دارد. باگ‌های Lodestar که در حال حاضر ‏‎10% از امتیازهای فهرست شده در زیر را دریافت می‌کنند، زیرا ممیزی‌های اضافی در حال انجام است. بنیاد اتریوم (EF) شدت آسیب‌رسانی را با استفاده از روش OWASP تعیین می‌کند. مشاهده روش OWASP(opens in a new tab)

بنیاد همچنین امتیازاتی را به شرح زیر اهدا می‌کند:

کیفیت توضیحات: به ارسالی‌های تمیز و خوانا جوایز بیشتری تعلق می‌گیرد.

کیفیت تکرارپذیری: لطفا کد آزمایشی، اسکریپت‌ها و دستورالعمل‌ها را با جزئیات ضمیمه کنید. هرچه تکرارپذیری و تشخیص آسیب‌پذیری برای ما ساده‌تر باشد، پاداش بیشتر خواهند بود.

کیفیت رفع مشکل، در صورت شمول: به ارسالی‌هایی که شامل توضیح شفاف درباره چگونگی رفع مشکل باشند پاداش بیشتری تعلق می‌گیرد.

تا سقف 2,000‏ DAI

کم

تا سقف 2,000‏ DAI

تا سقف 1,000 امتیاز


شدت

  • اثرات کم، احتمال متوسط
  • اثرات متوسط، احتمال کم

مثال

مهاجم می‌تواند یک گره را گاهی در شرایطی قرار دهد که باعث رد کردن یک از هر صد تصدیق انجام شده توسط اعتبارسنج شود
ارسال باگ با ریسک کم(opens in a new tab)
تا سقف 10,000‏ DAI

متوسط

تا سقف 10,000‏ DAI

تا سقف 5,000 امتیاز


شدت

  • اثرات زیاد، احتمال کم
  • اثرات متوسط، احتمال متوسط
  • اثرات کم، احتمال زیاد

مثال

مهاجم می‌تواند با موفقیت حملات خسوف (eclipse) را روی گره‌هایی با شناسه‌ی همتای شامل 4 بایت اول صفر به انجام برساند
ارسال باگ با ریسک متوسط(opens in a new tab)
تا سقف 20,000‏ DAI

زیاد

تا سقف 20,000‏ DAI

تا سقف 10,000 امتیاز


شدت

  • اثرات زیاد، احتمال متوسط
  • اثرات متوسط، احتمال زیاد

مثال

یک باگ وفاق بین 2 کلاینت وجود دارد، اما برای مهاجم سخت یا در عمل غیرممکن است که رویداد را شروع کند.
ارسال باگ با ریسک زیاد(opens in a new tab)
تا سقف 50,000‏ DAI

بحرانی

تا سقف 50,000‏ DAI

تا سقف 25,000 امتیاز


شدت

  • اثرات زیاد، احتمال زیاد

مثال

یک باگ وفاق بین 2 کلاینت وجود دارد، و شروع رویداد از سوی مهاجم بدیهی است.
ارسال باگ با ریسک بحرانی(opens in a new tab)

قوانین شکار باگ

برنامه‌ی پاداش برای باگ یک برنامه‌ی جایزه‌دار آزمایشی و داوطلبانه برای اعضای فعال ما در انجمن اتریوم جهت تشویق و جایزه دادن به کسانی است که به تقویت پلتفرم کمک می‌کنند. این یک رقابت نیست. شما باید آگاه باشید که ما می‌توانیم هر زمانی برنامه را لغو کنیم و اعطای جوایز به صلاحدید پنل پاداش برای باگ بنیاد اتریوم است. علاوه بر آن، ما قادر به جایزه دادن به افرادی که در لیست تحریم‌ها هستند یا کشورهایی که در لیست تحریم‌ها هستند نیستیم (مثلاً: کره شمالی، ایران و غیره). مسئولیت تمام مالیات شما با خودتان است. تمام جوایز مشمول قوانین اجرایی هستند. نهایتاً،‌ آزمایش شما نباید هیچ قانونی را شکسته یا هیچ داده‌ای که متعلق به شما نیست را افشا کند.

  • مشکلاتی که قبلاً توسط کاربری دیگر فرستاده شده باشد یا گردانندگان کلاینت‌ها و تیم‌های عیب یابی از قبل بر آن واقف بوده باشند واجد دریافت پاداش برای باگ نیستند.
  • افشای عمومی یک آسیب‌پذیری باعث می‌شود که دیگر واجد شرایط دریافت پاداش نباشد.
  • تیم پژوهشگران بنیاد اتریوم و کارمندان کلاینت‌های لایه‌ی اجماع واجد شرایط جوایز نیستند.
  • برنامه پاداش اتریوم تعدادی مؤلفه را در تعیین جوایز مدنظر قرار می‌دهد. تعیین صلاحیت، امتیازها و تمام امور مرتبط با یک پاداش در اختیار تمام و کمال پنل پاداش برای باگ بنیاد اتریوم است.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

جدول امتیازات پاداش برای باگ

باگ‌های لایه‌ی اجماع را بیابید تا به این جدول امتیازات اضافه شوید

پرسش‌های متداول

سؤالی دارید؟

به ما ایمیل بزنید: bounty@ethereum.org(opens in a new tab)

✉️

آیا این برگه مفید بود؟