پرش به محتوای اصلی

کمک به ترجمه این صفحه

🌏

شما این صفحه را به زبان انگلیسی می‌بینید زیرا ما هنوز آن را ترجمه نکرده‌ایم. برای ترجمه این محتوا به ما کمک کنید.

ترجمه صفحه

اینجا هیچ اشکالی وجود ندارد!🐛

این برگه هنوز ترجمه نشده است. ما به عمد این برگه را فعلاً به زبان انگلیسی رها کرده‌ایم.

امکان ارسال وجود دارد

پیدا کردن باگ لایه‌ی اجماع 🐛
با یافتن اشکالات در پروتکل لایه‌ی اجماع و مشتریان، تا سقف 50,000 دلار آمریکا و همین‌طور جایگاهی در تابلوی امتیازات کسب کنید.
ارسال باگخواندن قوانین
1
protolambda
42400 امتیازها
🏆
2
Guido Vranken
39350 امتیازها
🥈
3
Martin Holst Swende
38000 امتیازها
🥉
4
Sam Sun
35000 امتیازها
5
ChainSecurity
23000 امتیازها
مشاهده‌ی جدول کامل امتیازها

کلاینت‌های ویژه در باونتی‌ها

باگ‌های معتبر

تمرکز این برنامه‌ی پاداش برای باگ، مشخصات زنجیره‌ی بیکن لایه‌ی اجماع هسته و Lighthouse،‏ Nimbus، Teku،‏ Prysm و پیاده‌سازی‌های کلاینت Lodestar است.

📒

باگ‌های مشخصات زنجیره‌ی بیکن

مشخصات زنجیره‌ی بیکن منطق طراحی و تغییرات پیشنهادشده به اتریوم از طریق ارتقای زنجیره‌ی بیکن را شرح می‌دهد.

خواندن مشخصات جامع
Execution Layer Specifications

بررسی پاورقی‌های زیر می‌تواند سودمند باشد:

انواع باگ

  • باگ‌های امنیتی/مخل قطعیت
  • بردارهای ممانعت از سرویس (DOS)
  • عدم پیوستگی در تخمین‌ها، مانند وضعیتی که در آن اعتبارسنج‌های صادق ممکن است خط زده شوند
  • عدم پیوستگی در محاسبات یا پارامترها

اسناد و مدارک مشخصات

زنجیره‌ی بیکن
انتخاب فورک
قرارداد سپرده Solidity
شبکه‌ی همتا به همتا
💻

باگ‌های کلاینت لایه‌ی اجماع

کلاینت‌ها پس از استقرار ارتقا، زنجیره‌ی بیکن را راه‌اندازی خواهند کرد. کلاینت‌ها ملزم به پیگیری منطق مذکور در مشخصات و همین‌طور ایمنی در برابر حملات احتمالی هستند. باگ‌هایی که می‌خواهیم پیدا کنیم به راه‌اندازی پروتکل مربوط هستند.

در حال حاضر اشکالات Lighthouse،‏ Nimbus،‏ Teku و Prysm واجد شرایط دریافت پاداش کامل جایزه هستند. Lodestar نیز واجد شرایط است، اما تا زمانی که ممیزی‌های بیشتر تکمیل نشده باشد، امتیازات و پاداش ها به ‎10%‏ محدود می‌شود (حداکثر پرداخت 5000 DAI است). با تکمیل ممیزی و آماده شدن برای تولید، ممکن است کلاینت‌های بیشتری اضافه شوند.

انواع باگ

  • عیب‌یابی مشکلات عدم همخوانی
  • کرش‌های غیرمنتظره یا آسیب‌پذیری‌های ممانعت از سرویس (DOS)
  • هر مشکلی که سبب جدایی تعمیرناپذیر اجماع از سایر شبکه شود

لینک‌های سودمند

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

لینک‌های سودمند

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

مشمول نشده

ادغام و ارتقاهای خرده‌زنجیره همچنان به شکل فعال در حال توسعه‌اند و در نتیجه هنوز مشمول برنامه‌ی پاداش نیستند.

ارسال باگ

برای هر باگ که پیدا کنید، امتیاز دریافت خواهید کرد. امتیازهایی که کسب می‌کنید به شدت آسیب‌رسانی باگ بستگی دارد. باگ‌های Lodestar که در حال حاضر ‏‎10% از امتیازهای فهرست شده در زیر را دریافت می‌کنند، زیرا ممیزی‌های اضافی در حال انجام است. بنیاد اتریوم (EF) شدت آسیب‌رسانی را با استفاده از روش OWASP تعیین می‌کند. مشاهده روش OWASP

بنیاد همچنین امتیازاتی را به شرح زیر اهدا می‌کند:

کیفیت توضیحات: به ارسالی‌های تمیز و خوانا جوایز بیشتری تعلق می‌گیرد.

کیفیت تکرارپذیری: لطفا کد آزمایشی، اسکریپت‌ها و دستورالعمل‌ها را با جزئیات ضمیمه کنید. هرچه تکرارپذیری و تشخیص آسیب‌پذیری برای ما ساده‌تر باشد، پاداش بیشتر خواهند بود.

کیفیت رفع مشکل، در صورت شمول: به ارسالی‌هایی که شامل توضیح شفاف درباره چگونگی رفع مشکل باشند پاداش بیشتری تعلق می‌گیرد.

تا سقف 2,000‏ DAI

کم

تا سقف 2,000‏ DAI

تا سقف 1,000 امتیاز

شدت

  • اثرات کم، احتمال متوسط
  • اثرات متوسط، احتمال کم

مثال

مهاجم می‌تواند یک گره را گاهی در شرایطی قرار دهد که باعث رد کردن یک از هر صد تصدیق انجام شده توسط اعتبارسنج شود
ارسال باگ با ریسک کم
تا سقف 10,000‏ DAI

متوسط

تا سقف 10,000‏ DAI

تا سقف 5,000 امتیاز

شدت

  • اثرات زیاد، احتمال کم
  • اثرات متوسط، احتمال متوسط
  • اثرات کم، احتمال زیاد

مثال

مهاجم می‌تواند با موفقیت حملات خسوف (eclipse) را روی گره‌هایی با شناسه‌ی همتای شامل 4 بایت اول صفر به انجام برساند
ارسال باگ با ریسک متوسط
تا سقف 20,000‏ DAI

زیاد

تا سقف 20,000‏ DAI

تا سقف 10,000 امتیاز

شدت

  • اثرات زیاد، احتمال متوسط
  • اثرات متوسط، احتمال زیاد

مثال

یک باگ وفاق بین 2 کلاینت وجود دارد، اما برای مهاجم سخت یا در عمل غیرممکن است که رویداد را شروع کند.
ارسال باگ با ریسک زیاد
تا سقف 50,000‏ DAI

بحرانی

تا سقف 50,000‏ DAI

تا سقف 25,000 امتیاز

شدت

  • اثرات زیاد، احتمال زیاد

مثال

یک باگ وفاق بین 2 کلاینت وجود دارد، و شروع رویداد از سوی مهاجم بدیهی است.
ارسال باگ با ریسک بحرانی

قوانین شکار باگ

برنامه‌ی پاداش برای باگ یک برنامه‌ی جایزه‌دار آزمایشی و داوطلبانه برای اعضای فعال ما در انجمن اتریوم جهت تشویق و جایزه دادن به کسانی است که به تقویت پلتفرم کمک می‌کنند. این یک رقابت نیست. شما باید آگاه باشید که ما می‌توانیم هر زمانی برنامه را لغو کنیم و اعطای جوایز به صلاحدید پنل پاداش برای باگ بنیاد اتریوم است. علاوه بر آن، ما قادر به جایزه دادن به افرادی که در لیست تحریم‌ها هستند یا کشورهایی که در لیست تحریم‌ها هستند نیستیم (مثلاً: کره شمالی، ایران و غیره). مسئولیت تمام مالیات شما با خودتان است. تمام جوایز مشمول قوانین اجرایی هستند. نهایتاً،‌ آزمایش شما نباید هیچ قانونی را شکسته یا هیچ داده‌ای که متعلق به شما نیست را افشا کند.

  • مشکلاتی که قبلاً توسط کاربری دیگر فرستاده شده باشد یا گردانندگان کلاینت‌ها و تیم‌های عیب یابی از قبل بر آن واقف بوده باشند واجد دریافت پاداش برای باگ نیستند.
  • افشای عمومی یک آسیب‌پذیری باعث می‌شود که دیگر واجد شرایط دریافت پاداش نباشد.
  • تیم پژوهشگران بنیاد اتریوم و کارمندان کلاینت‌های لایه‌ی اجماع واجد شرایط جوایز نیستند.
  • برنامه پاداش اتریوم تعدادی مؤلفه را در تعیین جوایز مدنظر قرار می‌دهد. تعیین صلاحیت، امتیازها و تمام امور مرتبط با یک پاداش در اختیار تمام و کمال پنل پاداش برای باگ بنیاد اتریوم است.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

1
Martin Holst Swende
35500 امتیازها
🏆
2
Sam Sun
35000 امتیازها
🥈
3
ChainSecurity
23000 امتیازها
🥉
4
Guido Vranken
21750 امتیازها
5
Juno Im
20500 امتیازها
6
Yoonho Kim (team Hithereum)
20000 امتیازها
7
John Youngseok Yang (Software Platform Lab)
20000 امتیازها
8
PeckShield
17000 امتیازها
9
ItsUnixIKnowThis
15000 امتیازها
10
Bertrand Masius
15000 امتیازها
11
Bob Conan
13000 امتیازها
12
Tin
12500 امتیازها
13
Ralph Pichler
12500 امتیازها
14
Łukasz Matczak
11000 امتیازها
15
Heilman/Marcus/Goldberg
10000 امتیازها
16
Jonas Nick
10000 امتیازها
17
John Toman
10000 امتیازها
18
Sebastian Henningsen
8000 امتیازها
19
Dominic Brütsch
7500 امتیازها
20
Harry Roberts
5000 امتیازها
21
Peter Stöckli
5000 امتیازها
22
Neville Grech
5000 امتیازها
23
EthHead
5000 امتیازها
24
Alex Beregszaszi
3500 امتیازها
25
Sergio Demian Lerner
2500 امتیازها
26
Daniel Perez
2500 امتیازها
27
Yaron Velner
2000 امتیازها
28
Whit Jackson
2000 امتیازها
29
Ming Chuan Lin
2000 امتیازها
30
Melonport team
2000 امتیازها
31
Maurelian
2000 امتیازها
32
Christoph Jentzsch
2000 امتیازها
33
Hwanjo Heo
1500 امتیازها
34
DVP (dvpnet.io)
1200 امتیازها
35
Vasily Vasiliev
1000 امتیازها
36
talko
1000 امتیازها
37
Steve Waldman
1000 امتیازها
38
Panu Kekäläinen
1000 امتیازها
39
Josselin Feist
1000 امتیازها
40
Henrit
1000 امتیازها
41
Marc Bartlett
1000 امتیازها
42
Barry Whitehat
1000 امتیازها
43
Lucas Ryan
1000 امتیازها
44
Alex Groce
1000 امتیازها
45
Daniel Briskin
750 امتیازها
46
Daenam Kim
750 امتیازها
47
Myeongjae Lee
500 امتیازها
48
Marcin Noga (Cisco/Talos Security)
500 امتیازها
49
jazzybedi
500 امتیازها
50
Feeker - 360 ESG Codesafe Team
500 امتیازها
51
Jonathan Brown
500 امتیازها
52
David Murdoch
500 امتیازها
53
Alexander Wade
500 امتیازها
54
Luis Schliesske
200 امتیازها

جدول امتیازات پاداش برای باگ

باگ‌های لایه‌ی اجماع را بیابید تا به این جدول امتیازات اضافه شوید

1
protolambda
42400 امتیازها
🏆
2
Quan Thoi Minh Nguyen
19650 امتیازها
🥈
3
Jonny Rhea
18700 امتیازها
🥉
4
Guido Vranken
17600 امتیازها
5
Grandine team
9000 امتیازها
6
Onur Kılıç
6000 امتیازها
7
Antoine Toulme
5000 امتیازها
8
Antonio Sanso
4000 امتیازها
9
ItsUnixIKnowThis
2850 امتیازها
10
Alexander Sadovskyi
2500 امتیازها
11
tintin
2500 امتیازها
12
Martin Holst Swende
2500 امتیازها
13
Akincibor
1750 امتیازها
14
Jim McDonald
200 امتیازها

پرسش‌های متداول

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

سؤالی دارید؟

به ما ایمیل بزنید: bounty@ethereum.org

✉️

آیا این برگه مفید بود؟