प्रस्तुतियों के लिए खुला है
बग बाउंटी प्रोग्राम
एथेरियम नेटवर्क को प्रभावित करने वाले प्रोटोकॉल, क्लाइंट और सॉलिडिटी बग ढूँढकर 250,000 USD तक कमाएँ और लीडरबोर्ड पर जगह बनाएँ।
बाउंटी में प्रदर्शित किए गए क्लाइंट
स्कोप में
हमारा बग बाउंटी प्रोग्राम शुरू से अंत तक फैला हुआ है: प्रोटोकॉल की मज़बूती से (जैसे ब्लॉकचेन सहमति मॉडल, वायर और p2p प्रोटोकॉल, हिस्सेदारी का सबूत, आदि) और नेटवर्क सुरक्षा तथा हिस्सेदारी का सबूत अखंडता के लिए प्रोटोकॉल/कार्यान्वयन अनुपालन। क्लासिकल क्लाइंट सुरक्षा के साथ-साथ क्रिप्टोग्राफिक प्रीमिटिव की सुरक्षा भी प्रोग्राम का हिस्सा है। जब संदेह हो, तो bounty@ethereum.org पर एक ईमेल भेजें और हमसे पूछें।
विनिर्देश बग
एथेरियम विनिर्देश, निष्पादन परत और सहमति परत के लिए डिज़ाइन रेशनेल का विवरण प्रदान करते हैं।
निष्पादन परत विनिर्देश(opens in a new tab)
निम्नलिखित एनोटेशन की जाँच करना उपयोगी हो सकता है:
बग के प्रकार
- सुरक्षा/फ़ाइनलिटी ब्रेकिंग बग
- सेवा से इनकार (DOS) वेक्टर
- मान्यताओं में विसंगतियाँ, उन स्थितियों में, जहाँ ईमानदार सत्यापनकर्ताओं को हटाया जा सकता है
- गणना या पैरामीटर विसंगतियाँ
क्लाइंट बग
क्लाइंट एथेरियम नेटवर्क चलाते हैं और उन्हें विनिर्देश में निर्धारित तर्क का पालन करना और संभावित हमलों से सुरक्षित रहना होगा। हम जो बग ढूँढना चाहते हैं, वे प्रोटोकॉल के लागू होने से संबंधित हैं।
बग बाउंटी प्रोग्राम में वर्तमान में निष्पादन परत क्लाइंट (बेसु, एरिगॉन, गेथ और नेदरमाइंड) और सहमति परत क्लाइंट (लाइटहाउस, लोडस्टार, निम्बस, टेकू और प्रिज़्म) शामिल हैं। ऑडिट पूरा करने और उत्पादन के लिए तैयार होने के बाद और क्लाइंट जोड़े जाएँगे।
बग के प्रकार
- विनिर्देश गैर-अनुपालन की समस्याएँ
- अप्रत्याशित क्रैश, RCE या सेवा से इनकार (DOS) की भेद्यताएँ
- किसी भी समस्या के कारण अपूरणीय सहमति शेष नेटवर्क से अलग हो जाती है
सॉलिडिटी बग
इस स्कोप में क्या शामिल है, इसके बारे में अधिक जानकारी के लिए सॉलिडिटी SECURITY.MD देखें।
अविश्वसनीय इनपुट के संकलन के संबंध में सॉलिडिटी सुरक्षा की गारंटी नहीं देती है– और हम दुर्भावनापूर्ण रूप से जेनरेट किए गए डेटा पर सॉल्क कंपाइलर के क्रैश के लिए पुरस्कार जारी नहीं करते हैं।
जमा अनुबंध बग
बीकन चेन जमा अनुबंध के विनिर्देश और स्रोत कोड बग बाउंटी प्रोग्राम का हिस्सा हैं।
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
स्कोप से बाहर
Only the targets listed under in-scope are part of the Bug Bounty Program. This means that for example our infrastructure; such as webpages, dns, email etc, are not part of the bounty-scope. ERC20 contract bugs are typically not included in the bounty scope. However, we can help reach out to affected parties, such as authors or exchanges in such cases. ENS is maintained by the ENS foundation, and is not part of the bounty scope. Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API, is out of scope of the bug bounty program.
एक बग सबमिट करें
प्रत्येक मान्य बग के लिए आपको पुरस्कार मिलेंगे। प्रदान किए गए पुरस्कारों की मात्रा गंभीरता के आधार पर अलग-अलग होगी। एथेरियम नेटवर्क और संभावना पर प्रभाव के आधार पर OWASP जोखिम रेटिंग मॉडल के अनुसार गंभीरता की गणना की जाती है। OWASP विधि देखें(opens in a new tab)
EF इस आधार पर भी पुरस्कार प्रदान करेगा:
विवरण की गुणवत्ता: स्पष्ट, अच्छी तरह से लिखित प्रस्तुतियों के लिए पुरस्कारों का अधिक भुगतान किया जाता है।
पुनः प्रस्तुत करने की गुणवत्ता: पुरस्कार के योग्य होने के लिए प्रूफ़ ऑफ़ कॉन्सेप्ट (POC) शामिल किया जाना चाहिए। कृपया टेस्ट कोड, स्क्रिप्ट और विस्तृत निर्देश शामिल करें। हमारे लिए भेद्यता को पुनः प्रस्तुत करना और सत्यापित करना जितना आसान होगा, उतना ही अधिक पुरस्कार मिलेगा।
सुधार की गुणवत्ता, यदि शामिल है: इस समस्या को ठीक करने के स्पष्ट विवरण वाले सबमिशन के लिए पुरस्कारों का अधिक भुगतान किया जाता है।
निम्न
2,000 USD तक
1,000 पॉइंट तक
गंभीरता
- निम्न प्रभाव, मध्यम संभावना
- मध्यम प्रभाव, निम्न संभावना
उदाहरण
मध्यम
10,000 USD तक
5,000 पॉइंट तक
गंभीरता
- उच्च प्रभाव, निम्न संभावना
- मध्यम प्रभाव, मध्यम संभावना
- निम्न प्रभाव, उच्च संभावना
उदाहरण
उच्च
50,000 USD तक
10,000 पॉइंट तक
गंभीरता
- उच्च प्रभाव, मध्यम संभावना
- मध्यम प्रभाव, उच्च संभावना
उदाहरण
गंभीर
250,000 USD तक
25,000 पॉइंट तक
गंभीरता
- ज़्यादा प्रभाव, ज़्यादा संभावना
उदाहरण
बग तलाशने के नियम
बग बाउंटी प्रोग्राम हमारे सक्रिय एथेरियम समुदाय के लिए एक प्रयोगात्मक और विवेकाधीन पुरस्कार प्रोग्राम है, जो उन लोगों को प्रोत्साहित करने और पुरस्कृत करने के लिए है, जो प्लेटफ़ॉर्म को बेहतर बनाने में मदद कर रहे हैं। यह कोई प्रतियोगिता नहीं है। आपको पता होना चाहिए कि हम किसी भी समय प्रोग्राम को रद्द कर सकते हैं, और पुरस्कार Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र विवेक पर निर्भर हैं। इसके अलावा, हम उन व्यक्तियों को पुरस्कार जारी करने में सक्षम नहीं हैं, जो प्रतिबंध सूची में हैं या जो प्रतिबंध सूची (जैसे उत्तर कोरिया, ईरान आदि) वाले देशों में हैं। स्थानीय कानूनों के अनुसार हमें आपकी पहचान का प्रमाण माँगने की ज़रूरत हो सकती है। आप सभी करों के भुगतान के लिए उत्तरदायी होंगे। सभी पुरस्कार लागू कानून के अधीन हैं। अंत में, आपके परीक्षण को किसी भी कानून का उल्लंघन नहीं करना चाहिए या ऐसे किसी भी डेटा से छेड़छाड़ नहीं करनी चाहिए, जो आपका नहीं है और स्थानीय रनिंग टेस्टनेट पर होना चाहिए।
- POC के बिना समस्याएँ या ऐसी समस्याएँ, जो पहले से ही किसी अन्य उपयोगकर्ता द्वारा सबमिट की गई हैं या पहले से ही विनिर्देश में ज्ञात हैं और क्लाइंट अनुरक्षक बाउंटी पुरस्कार के लिए योग्य नहीं हैं।
- किसी भेद्यता का सार्वजनिक प्रकटीकरण पुरस्कार के लिए अयोग्य बनाता है।
- Ethereum फाउंडेशन के कर्मचारी और ठेकेदार या बाउंटी प्रोग्राम के स्कोप में आने वाली क्लाइंट टीम केवल पॉइंट के संकलन के लिए प्रोग्राम में भाग ले सकती है और मौद्रिक पुरस्कार नहीं मिलेंगे।
- एथेरियम बाउंटी प्रोगाम रिवॉर्ड का निर्धारण करने में कई वेरिएबल पर विचार करता है। अवार्ड से संबंधित पात्रता, स्कोर और सभी शर्तें Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र और अंतिम विवेक पर हैं।
निष्पादन परत बग बाउंटी लीडरबोर्ड
इस लीडरबोर्ड में जोड़े जाने के लिए निष्पादन परत बग ढूँढें
- 4
- 12In place number 12 with 13000 pointsBob Conan13000 पॉइंट
- 14
- 20
- 32
- 39
- 46
- 51
- 53
सहमति परत बग बाउंटी लीडरबोर्ड
इस लीडरबोर्ड में जोड़े जाने के लिए सहमति परत बग ढूँढें
- 5In place number 5 with 10000 pointsscio10000 पॉइंट
- 16In place number 16 with 1750 pointsAkincibor1750 पॉइंट
अक्सर पूछे जाने वाले सवाल
प्रश्न हैं?
हमें इमेल करें: bounty@ethereum.org(opens in a new tab)