امکان ارسال وجود دارد

برنامه پاداش باگ

با یافتن باگ‌های پروتکل، کاربر و Solidity که بر شبکه اتریوم تأثیر می‌گذارند، تا 250،000 دلار و جایگاهی در جدول امتیازات کسب کنید.

ارسال باگopens in a new tab قوانین را بخوانید

1
hGaopens in a new tab
In place number 1 with 57000 pointsMartin Holst Swende (See Github Profile)
57000 امتیازها
2
gGaopens in a new tab
In place number 2 with 53100 pointsGuido Vranken (See Github Profile)
53100 امتیازها
3
pGaopens in a new tab
In place number 3 with 42400 pointsprotolambda (See Github Profile)
42400 امتیازها
4
sGaopens in a new tab
In place number 4 with 35000 pointsSam Sun (See Github Profile)
35000 امتیازها
5
In place number 5 with 31000 pointsnrv (@nervoir)
31000 امتیازها

دیدن جدول کامل امتیاز ها

کاربرهای ویژه در باونتی‌ها

در محدوده

برنامه باگ‌بانتی ما سرتاسر را در بر می گیرد: از صحت پروتکل ها (مانند مدل اجماع بلاکچین، پروتکل های سیمی و p2p، اثبات سهام و غیره) و انطباق پروتکل/پیاده سازی با امنیت شبکه و یکپارچگی اجماع. امنیت کلاسیک کاربر و نیز امنیت رمزنگاری های اولیه نیز بخشی از این برنامه است. در صورت وجود هرگونه ابهام، یک ایمیل به bounty@ethereum.org ارسال کنید و از ما سوال بپرسید. همچنین می‌توانید افشا/آسیب‌پذیری را مستقیماً به آدرس bounty@ethereum.orgopens email client ارسال کنید، در این صورت از شما می خواهیم که پیام را با استفاده از کلید PGPopens in a new tab رمزگذاری کنید

اشکالات مشخصات

مشخصات اتریوم منطق طراحی لایه اجرا و لایه اجماع را شرح می دهد.

مشخصات لایه اجماعopens in a new tab
مشخصات لایه اجراopens in a new tab

بررسی پاورقی‌های زیر می‌تواند سودمند باشد:

انواع باگ

باگ‌های امنیتی/مخل قطعیت
بردارهای ممانعت از سرویس (DOS)
عدم پیوستگی در فرضیات، مانند وضعیتی که در آن اعتبارسنج‌های صادق ممکن است خط زده شوند
عدم پیوستگی در محاسبات یا پارامترها

اسناد مشخصات

زنجیره‌ی بیکنopens in a new tab

↗

انتخاب فورکopens in a new tab

↗

قرارداد سپرده Solidityopens in a new tab

↗

شبکه‌ همتا به همتاopens in a new tab

↗

اشکالات مشتری

مشتریان شبکه اتریوم را اجرا می کنند و باید از منطق تعیین شده در مشخصات پیروی کنند و در برابر حملات احتمالی ایمن باشند. اشکالاتی که می خواهیم پیدا کنیم مربوط به اجرای پروتکل است.

در حال حاضر کاربرهای لایه اجرا (Besu و Erigon و Geth و Nethermind و Reth) و کاربرهای لایه اجماع (Lighthouse و Lodestar و Nimbus و Teku و Prysm) در برنامه باگ‌‌باونتی گنجانده شده اند. با تکمیل ممیزی و آماده شدن برای تولید، ممکن است کاربرهای بیشتری اضافه شوند.

انواع باگ

مشکلات عدم همخوانی مشخصات
خرابی های غیرمنتظره، آسیب پذیری RCE یا رد سرویس (DOS)
هر مشکلی که سبب جدایی تعمیرناپذیر اجماع از بقیه شبکه شود

لینک‌های سودمند

Besuopens in a new tab

↗

Erigonopens in a new tab

↗

Gethopens in a new tab

↗

Lighthouseopens in a new tab

↗

Lodestaropens in a new tab

↗

Nimbusopens in a new tab

↗

Nethermindopens in a new tab

↗

Prysmopens in a new tab

↗

Rethopens in a new tab

↗

Tekuopens in a new tab

↗

Grandineopens in a new tab

↗

باگ‌های Solidity

برای جزئیات بیشتر در مورد آنچه در این محدوده گنجانده شده است به Solidity SECURITY.MD مراجعه کنید.

Solidity دارای ضمانت‌های امنیتی در مورد ایجاد ورودی نامعتبر نیست - و ما برای خرابی کامپایلر solc در داده‌های تولید شده به طور مخرب پاداشی صادر نمی‌کنیم.

لینک‌های سودمند

Solidityopens in a new tab

↗

Vyperopens in a new tab

↗

اشکالات قرارداد واریز

مشخصات و کد منبع قرارداد سپرده زنجیره ای بیکن بخشی از برنامه پاداش باگ است.

لینک‌های سودمند

Deposit Contract Specificationsopens in a new tab
Deposit Contract Source Codeopens in a new tab

باگ های وابستگی

وابستگی های خاصی برای عملکرد شبکه اتریوم بسیار مهم هستند و برخی از این وابستگی ها به برنامه پاداش باگ اضافه شده اند. در حال حاضر، لیست وابستگی‌های موجود در برنامه پاداش باگ عبارت است از C-KZG-4844 و Go-KZG-4844.

لینک‌های سودمند

C-KZG-4844opens in a new tab
Go-KZG-4844opens in a new tab

خارج از دامنه

فقط اهدافی که در محدوده فهرست شده اند، بخشی از برنامه پاداش باگ هستند. این بدان معناست که برای مثال زیرساخت های ما مانند صفحات وب، dns، ایمیل و غیره، بخشی از محدوده پاداش نیستند. باگ های قرارداد ERC20 معمولاً در محدوده پاداش گنجانده نمی شوند. با این حال، ما می‌توانیم در ارتباط با طرف‌های آسیب‌دیده، مانند نویسندگان یا صرافی ها در چنین مواردی، کمک کنیم. ENS توسط بنیاد ENS نگهداری می شود، و بخشی از محدوده پاداش نیست. آسیب‌پذیری‌هایی که کاربر را ملزم به افشای عمومی یک API، مانند JSON-RPC یا Beacon API می‌کند، خارج از محدوده برنامه پاداش باگ است.

ارسال باگ

برای هر اشکال معتبری که پیدا کنید، جوایزی دریافت خواهید کرد. تعداد جوایز اعطا شده بسته به شدت متفاوت خواهد بود. شدت بر اساس مدل رتبه بندی ریسک OWASP بسته به تأثیر بر شبکه اتریوم و احتمال محاسبه می شود. مشاهده روش OWASPopens in a new tab

بنیاد همچنین پاداش‌هایی را به شرح زیر اهدا می‌کند:

کیفیت توضیحات: به ارسالی‌های تمیز و خوانا جوایز بیشتری تعلق می‌گیرد.

کیفیت تکرارپذیری: برای واجد شرایط بودن برای جوایز، باید یک اثبات مفهوم (POC) گنجانده شود. لطفا کد تست، اسکریپت ها و دستورالعمل های دقیق را وارد کنید. هرچه بازتولید و تأیید آسیب‌پذیری برای ما آسان‌تر باشد، پاداش بالاتری خواهد داشت.

کیفیت رفع مشکل، در صورت شمول: به ارسالی‌هایی که شامل توضیح شفاف درباره چگونگی رفع مشکل باشند پاداش بیشتری تعلق می‌گیرد.

تا 2000 دلار

کم

تا 2000 دلار

تا سقف 1000 امتیاز

شدت

اثرات کم، احتمال متوسط
اثرات متوسط، احتمال کم

مثال

مهاجم می‌تواند یک گره را گاهی در شرایطی قرار دهد که باعث رد کردن یک از هر صد تصدیق انجام شده توسط اعتبارسنج شود

ارسال باگ با ریسک کمopens in a new tab

تا سقف 10000 دلار

متوسط

تا سقف 10000 دلار

تا سقف 5000 امتیاز

شدت

اثرات زیاد، احتمال کم
اثرات متوسط، احتمال متوسط
اثرات کم، احتمال زیاد

مثال

مهاجم می‌تواند با موفقیت، حملات خسوف (eclipse) را روی گره‌هایی با شناسه‌ همتای شامل 4 بایت اول صفر به انجام برساند

ارسال باگ با ریسک متوسطopens in a new tab

تا سقف 50000 دلار

زیاد

تا سقف 50000 دلار

تا سقف 10000 امتیاز

شدت

اثرات زیاد، احتمال متوسط
اثرات متوسط، احتمال زیاد

مثال

مهاجم می‌تواند با موفقیت بخش‌های بزرگی از شبکه را پارتیشن بندی کند، و تحریک آسیب‌پذیری برای مهاجم امری بی‌اهمیت است

ارسال باگ با ریسک زیادopens in a new tab

تا سقف 250000‏ دلار

بحرانی

تا سقف 250000‏ دلار

تا سقف 25000 امتیاز

شدت

اثرات زیاد، احتمال زیاد

مثال

مهاجم می‌تواند با موفقیت اجرای کد از راه دور را در اکثر کاربرها انجام دهد، و برای یک مهاجم ایجاد آسیب‌پذیری بی‌اهمیت است

ارسال باگ با ریسک بحرانیopens in a new tab

قوانین شکار باگ

برنامه پاداش باگ یک برنامه جایزه گرفته آزمایشی و داوطلبانه برای اعضای فعال ما در جامعه اتریوم است جهت تشویق و جایزه دادن به آنهایی که به تقویت پلتفرم کمک می‌کنند. این یک رقابت نیست. باید توجه داشته باشید که ما می‌توانیم هر زمان برنامه را لغو کنیم و اعطای جوایز به صلاحدید پنل پاداش باگ بنیاد اتریوم است. علاوه بر آن، ما قادر به جایزه دادن به افرادی که در لیست تحریم ها هستند یا کشور هایی که در لیست تحریم ها هستند نیستیم (مثلا: کره شمالی، ایران و...). مسئولیت تمام مالیات شما با شماست. تمام جوایز مشمول قوانین اجرایی هستند. نهایتا،‌ آزمایش شما نباید هیچ قانونی را نقض کرده یا هیچ داده ای را که متعلق به شما نیست افشا کند.

مشکلاتی که سابقا توسط کاربری دیگر فرستاده شده باشد یا کاربرهای نگهدارنده و تیم های عیب یابی از قبل بر آن واقف بوده باشند واجد پاداش باگ نیستند.
افشای عمومی یک آسیب‌پذیری یا گزارش آن به طرف‌های دیگر بدون توافق قبلی باعث می‌شود که این آسیب‌پذیری واجد شرایط نباشد.
کارمندان و پیمانکاران بنیاد اتریوم یا تیم‌های مشتری در محدوده برنامه پاداش می‌توانند فقط در انباشت امتیاز در برنامه شرکت کنند و پاداش پولی دریافت نخواهند کرد.
برنامه پاداش اتریوم تعدادی مؤلفه را در تعیین جوایز مدنظر قرار می‌دهد. تعیین صلاحیت، امتیازها و تمام امور مرتبط با یک پاداش در اختیار تمام و کمال پنل پاداش باگ بنیاد اتریوم است.

پرسش‌های متداول

Page last update: ۹ خرداد ۱۴۰۴

popens in a new tab

copens in a new tab

fopens in a new tab

سؤالی دارید؟

به ما ایمیل بزنید: bounty@ethereum.orgopens email client

برنامه پاداش باگ