मुख्य सामग्री पर जाएँ

प्रस्तुतियों के लिए खुला है

बग बाउंटी प्रोग्राम

एथेरियम नेटवर्क को प्रभावित करने वाले प्रोटोकॉल, क्लाइंट और सॉलिडिटी बग ढूँढकर 250,000 USD तक कमाएँ और लीडरबोर्ड पर जगह बनाएँ।

एक बग सबमिट करें(opens in a new tab)नियम पढ़ें
पूरा लीडरबोर्ड देखें

बाउंटी में प्रदर्शित किए गए क्लाइंट

स्कोप में

हमारा बग बाउंटी प्रोग्राम शुरू से अंत तक फैला हुआ है: प्रोटोकॉल की मज़बूती से (जैसे ब्लॉकचेन सहमति मॉडल, वायर और p2p प्रोटोकॉल, हिस्सेदारी का सबूत, आदि) और नेटवर्क सुरक्षा तथा हिस्सेदारी का सबूत अखंडता के लिए प्रोटोकॉल/कार्यान्वयन अनुपालन। क्लासिकल क्लाइंट सुरक्षा के साथ-साथ क्रिप्टोग्राफिक प्रीमिटिव की सुरक्षा भी प्रोग्राम का हिस्सा है। जब संदेह हो, तो bounty@ethereum.org पर एक ईमेल भेजें और हमसे पूछें।

विनिर्देश बग

एथेरियम विनिर्देश, निष्पादन परत और सहमति परत के लिए डिज़ाइन रेशनेल का विवरण प्रदान करते हैं।

सहमति परत विनिर्देश(opens in a new tab)
निष्पादन परत विनिर्देश(opens in a new tab)

निम्नलिखित एनोटेशन की जाँच करना उपयोगी हो सकता है:

बग के प्रकार

  • सुरक्षा/फ़ाइनलिटी ब्रेकिंग बग
  • सेवा से इनकार (DOS) वेक्टर
  • मान्यताओं में विसंगतियाँ, उन स्थितियों में, जहाँ ईमानदार सत्यापनकर्ताओं को हटाया जा सकता है
  • गणना या पैरामीटर विसंगतियाँ

विनिर्देश दस्तावेज़

क्लाइंट बग

क्लाइंट एथेरियम नेटवर्क चलाते हैं और उन्हें विनिर्देश में निर्धारित तर्क का पालन करना और संभावित हमलों से सुरक्षित रहना होगा। हम जो बग ढूँढना चाहते हैं, वे प्रोटोकॉल के लागू होने से संबंधित हैं।

बग बाउंटी प्रोग्राम में वर्तमान में निष्पादन परत क्लाइंट (बेसु, एरिगॉन, गेथ और नेदरमाइंड) और सहमति परत क्लाइंट (लाइटहाउस, लोडस्टार, निम्बस, टेकू और प्रिज़्म) शामिल हैं। ऑडिट पूरा करने और उत्पादन के लिए तैयार होने के बाद और क्लाइंट जोड़े जाएँगे।

बग के प्रकार

  • विनिर्देश गैर-अनुपालन की समस्याएँ
  • अप्रत्याशित क्रैश, RCE या सेवा से इनकार (DOS) की भेद्यताएँ
  • किसी भी समस्या के कारण अपूरणीय सहमति शेष नेटवर्क से अलग हो जाती है

सॉलिडिटी बग

इस स्कोप में क्या शामिल है, इसके बारे में अधिक जानकारी के लिए सॉलिडिटी SECURITY.MD देखें।

अविश्वसनीय इनपुट के संकलन के संबंध में सॉलिडिटी सुरक्षा की गारंटी नहीं देती है– और हम दुर्भावनापूर्ण रूप से जेनरेट किए गए डेटा पर सॉल्क कंपाइलर के क्रैश के लिए पुरस्कार जारी नहीं करते हैं।

उपयोगी लिंक

जमा अनुबंध बग

बीकन चेन जमा अनुबंध के विनिर्देश और स्रोत कोड बग बाउंटी प्रोग्राम का हिस्सा हैं।

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

स्कोप से बाहर

Only the targets listed under in-scope are part of the Bug Bounty Program. This means that for example our infrastructure; such as webpages, dns, email etc, are not part of the bounty-scope. ERC20 contract bugs are typically not included in the bounty scope. However, we can help reach out to affected parties, such as authors or exchanges in such cases. ENS is maintained by the ENS foundation, and is not part of the bounty scope. Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API, is out of scope of the bug bounty program.

एक बग सबमिट करें

प्रत्येक मान्य बग के लिए आपको पुरस्कार मिलेंगे। प्रदान किए गए पुरस्कारों की मात्रा गंभीरता के आधार पर अलग-अलग होगी। एथेरियम नेटवर्क और संभावना पर प्रभाव के आधार पर OWASP जोखिम रेटिंग मॉडल के अनुसार गंभीरता की गणना की जाती है। OWASP विधि देखें(opens in a new tab)

EF इस आधार पर भी पुरस्कार प्रदान करेगा:

विवरण की गुणवत्ता: स्पष्ट, अच्छी तरह से लिखित प्रस्तुतियों के लिए पुरस्कारों का अधिक भुगतान किया जाता है।

पुनः प्रस्तुत करने की गुणवत्ता: पुरस्कार के योग्य होने के लिए प्रूफ़ ऑफ़ कॉन्सेप्ट (POC) शामिल किया जाना चाहिए। कृपया टेस्ट कोड, स्क्रिप्ट और विस्तृत निर्देश शामिल करें। हमारे लिए भेद्यता को पुनः प्रस्तुत करना और सत्यापित करना जितना आसान होगा, उतना ही अधिक पुरस्कार मिलेगा।

सुधार की गुणवत्ता, यदि शामिल है: इस समस्या को ठीक करने के स्पष्ट विवरण वाले सबमिशन के लिए पुरस्कारों का अधिक भुगतान किया जाता है।

2,000 USD तक

निम्न

2,000 USD तक

1,000 पॉइंट तक

गंभीरता

  • निम्न प्रभाव, मध्यम संभावना
  • मध्यम प्रभाव, निम्न संभावना

उदाहरण

हमलावर कभी-कभी किसी स्थिति में एक नोड डाल सकता है, जो इसे एक सत्यापनकर्ता द्वारा किए गए प्रत्येक सौ सत्यापन में से एक को छोड़ने का कारण बनता है
निम्न जोखिम वाला बग सबमिट करें(opens in a new tab)
10,000 USD तक

मध्यम

10,000 USD तक

5,000 पॉइंट तक

गंभीरता

  • उच्च प्रभाव, निम्न संभावना
  • मध्यम प्रभाव, मध्यम संभावना
  • निम्न प्रभाव, उच्च संभावना

उदाहरण

हमलावर आगे के 4 शून्य वाली बाइट के साथ पीयर-आईडी के साथ नोड्स पर सफलतापूर्वक एक्लिप्स हमलों का संचालन कर सकता है
मध्यम जोखिम वाला बग सबमिट करें(opens in a new tab)
50,000 USD तक

उच्च

50,000 USD तक

10,000 पॉइंट तक

गंभीरता

  • उच्च प्रभाव, मध्यम संभावना
  • मध्यम प्रभाव, उच्च संभावना

उदाहरण

हमलावर नेटवर्क के बड़े हिस्से को सफलतापूर्वक विभाजित कर सकता है, और हमलावर के लिए भेद्यता को ट्रिगर करना आसान है
उच्च जोखिम वाला बग सबमिट करें(opens in a new tab)
250,000 USD तक

गंभीर

250,000 USD तक

25,000 पॉइंट तक

गंभीरता

  • ज़्यादा प्रभाव, ज़्यादा संभावना

उदाहरण

हमलावर ज़्यादातर क्लाइंट में सफलतापूर्वक रिमोट कोड निष्पादन कर सकता है, और हमलावर के लिए भेद्यता को ट्रिगर करना आसान है
गंभीर जोखिम वाला बग सबमिट करें(opens in a new tab)

बग तलाशने के नियम

बग बाउंटी प्रोग्राम हमारे सक्रिय एथेरियम समुदाय के लिए एक प्रयोगात्मक और विवेकाधीन पुरस्कार प्रोग्राम है, जो उन लोगों को प्रोत्साहित करने और पुरस्कृत करने के लिए है, जो प्लेटफ़ॉर्म को बेहतर बनाने में मदद कर रहे हैं। यह कोई प्रतियोगिता नहीं है। आपको पता होना चाहिए कि हम किसी भी समय प्रोग्राम को रद्द कर सकते हैं, और पुरस्कार Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र विवेक पर निर्भर हैं। इसके अलावा, हम उन व्यक्तियों को पुरस्कार जारी करने में सक्षम नहीं हैं, जो प्रतिबंध सूची में हैं या जो प्रतिबंध सूची (जैसे उत्तर कोरिया, ईरान आदि) वाले देशों में हैं। स्थानीय कानूनों के अनुसार हमें आपकी पहचान का प्रमाण माँगने की ज़रूरत हो सकती है। आप सभी करों के भुगतान के लिए उत्तरदायी होंगे। सभी पुरस्कार लागू कानून के अधीन हैं। अंत में, आपके परीक्षण को किसी भी कानून का उल्लंघन नहीं करना चाहिए या ऐसे किसी भी डेटा से छेड़छाड़ नहीं करनी चाहिए, जो आपका नहीं है और स्थानीय रनिंग टेस्टनेट पर होना चाहिए।

  • POC के बिना समस्याएँ या ऐसी समस्याएँ, जो पहले से ही किसी अन्य उपयोगकर्ता द्वारा सबमिट की गई हैं या पहले से ही विनिर्देश में ज्ञात हैं और क्लाइंट अनुरक्षक बाउंटी पुरस्कार के लिए योग्य नहीं हैं।
  • किसी भेद्यता का सार्वजनिक प्रकटीकरण पुरस्कार के लिए अयोग्य बनाता है।
  • Ethereum फाउंडेशन के कर्मचारी और ठेकेदार या बाउंटी प्रोग्राम के स्कोप में आने वाली क्लाइंट टीम केवल पॉइंट के संकलन के लिए प्रोग्राम में भाग ले सकती है और मौद्रिक पुरस्कार नहीं मिलेंगे।
  • एथेरियम बाउंटी प्रोगाम रिवॉर्ड का निर्धारण करने में कई वेरिएबल पर विचार करता है। अवार्ड से संबंधित पात्रता, स्कोर और सभी शर्तें Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र और अंतिम विवेक पर हैं।

निष्पादन परत बग बाउंटी लीडरबोर्ड

इस लीडरबोर्ड में जोड़े जाने के लिए निष्पादन परत बग ढूँढें

सहमति परत बग बाउंटी लीडरबोर्ड

इस लीडरबोर्ड में जोड़े जाने के लिए सहमति परत बग ढूँढें

अक्सर पूछे जाने वाले सवाल

प्रश्न हैं?

हमें इमेल करें: bounty@ethereum.org(opens in a new tab)

क्या यह पेज सहायक था?