मुख्य सामग्री पर जाएँ

प्रस्तुतियों के लिए खुला है

बग बाउंटी प्रोग्राम

एथेरियम नेटवर्क को प्रभावित करने वाले प्रोटोकॉल, क्लाइंट और भाषा संकलक बग्स का पता लगाकर 250,000 USD और एक लीडरबोर्ड पर स्थान प्राप्त करें।

एक बग सबमिट करें(opens in a new tab)नियम पढ़ें
पूरा लीडरबोर्ड देखें

बाउंटी में प्रदर्शित किए गए क्लाइंट

स्कोप में

हमारा बग बाउंटी प्रोग्राम एंड-टू-एंड फैला हुआ है: प्रोटोकॉल की मजबूती से लेकर (जैसे ब्लॉकचेन कंसेंसस मॉडल, वायर और p2p प्रोटोकॉल, हिस्सेदारी का सबूत, आदि) और प्रोटोकॉल/कार्यान्वयन अनुपालन से लेकर नेटवर्क सुरक्षा और कंसेंसस अखंडता तक। क्लासिकल क्लाइंट सुरक्षा के साथ-साथ क्रिप्टोग्राफिक प्रिमिटिव्स की सुरक्षा भी प्रोग्राम का हिस्सा है। जब संदेह हो, तो bounty@ethereum.org पर एक ईमेल भेजें और हमसे पूछें। आप सीधे bounty@ethereum.org(opens in a new tab) पर एक खुलासा/कमजोरी भी सबमिट कर सकते हैं, जिस स्थिति में हम आपसे अनुरोध करते हैं कि आप हमारी PGP कुंजी(opens in a new tab) का उपयोग करके संदेश को एन्क्रिप्ट करें

विनिर्देश बग

एथेरियम विनिर्देश, निष्पादन परत और सहमति परत के लिए डिज़ाइन रेशनेल का विवरण प्रदान करते हैं।

सहमति परत विनिर्देश(opens in a new tab)
निष्पादन परत विनिर्देश(opens in a new tab)

बग के प्रकार

  • सुरक्षा/फ़ाइनलिटी ब्रेकिंग बग
  • सेवा से इनकार (DOS) वेक्टर
  • मान्यताओं में विसंगतियाँ, उन स्थितियों में, जहाँ ईमानदार सत्यापनकर्ताओं को हटाया जा सकता है
  • गणना या पैरामीटर विसंगतियाँ

क्लाइंट बग

क्लाइंट एथेरियम नेटवर्क चलाते हैं और उन्हें विनिर्देश में निर्धारित तर्क का पालन करना और संभावित हमलों से सुरक्षित रहना होगा। हम जो बग ढूँढना चाहते हैं, वे प्रोटोकॉल के लागू होने से संबंधित हैं।

वर्तमान में निष्पादन परत क्लाइंट्स (बेसु, एरिगोन, गेथ, नेदरमाइंड और रेथ) और सहमति परत क्लाइंट्स (लाइटहाउस, लोडस्टार, निम्बस, टेकू और प्रिज़्म) बग बाउंटी प्रोग्राम में शामिल हैं। अधिक क्लाइंट्स को ऑडिट पूरा करने और प्रोडक्शन के लिए तैयार होने के बाद जोड़ा जा सकता है।

बग के प्रकार

  • विनिर्देश गैर-अनुपालन की समस्याएँ
  • अप्रत्याशित क्रैश, RCE या सेवा से इनकार (DOS) की भेद्यताएँ
  • किसी भी समस्या के कारण अपूरणीय सहमति शेष नेटवर्क से अलग हो जाती है

भाषा संकलक बग्स

Solidity और Vyper संकलक बग बाउंटी प्रोग्राम के स्कोप में हैं। कृपया जोखिम को प्रस्तुत करने के लिए आवश्‍यक समस्त विवरण शामिल करें जैसे कि: बग को ट्रिगर करने वाला इनपुट प्रोग्राम, प्रभावित संकलक संस्करण, लक्षित EVM संस्करण, फ्रेमवर्क/IDE यदि लागू हो, EVM निष्पादन वातावरण/क्लाइंट यदि लागू हो और ऑपरेटिंग सिस्टम। कृपया जितना संभव हो सके बग को पुनः उत्पन्न करने के लिए चरणों को शामिल करें।

Solidity और Vyper अविश्वसनीय इनपुट के संकलन के संबंध में सुरक्षा गारंटी नहीं रखते हैं – और हम जानबूझकर उत्पन्न डेटा पर संकलक के क्रैश के लिए पुरस्कृत नहीं करते।

उपयोगी लिंक

Solidity(opens in a new tab)
Vyper(opens in a new tab)

जमा अनुबंध बग

बीकन चेन जमा अनुबंध के विनिर्देश और स्रोत कोड बग बाउंटी प्रोग्राम का हिस्सा हैं।

डिपेंडेंसी बग्स

कुछ डिपेंडेंसीज एथेरियम नेटवर्क के कामकाज के लिए महत्वपूर्ण हैं, और इनमें से कुछ को बग बाउंटी प्रोग्राम में जोड़ा गया है। वर्तमान में, बग बाउंटी प्रोग्राम में शामिल डिपेंडेंसीज की सूची में C-KZG-4844 और Go-KZG-4844 शामिल हैं।

स्कोप से बाहर

केवल इन-स्कोप के तहत सूचीबद्ध लक्ष्य ही बग बाउंटी प्रोग्राम का हिस्सा हैं। इसका मतलब है कि उदाहरण के लिए हमारा इन्फ्रास्ट्रक्चर; जैसे वेबपेज, dns, ईमेल आदि, बाउंटी-स्कोप का हिस्सा नहीं हैं। ERC20 कॉन्ट्रैक्ट बग्स आमतौर पर बाउंटी स्कोप में शामिल नहीं होते हैं। हालांकि, हम ऐसे मामलों में प्रभावित पक्षों, जैसे लेखकों या एक्सचेंजों तक पहुंचने में मदद कर सकते हैं। ENS का रखरखाव ENS फाउंडेशन द्वारा किया जाता है, और यह बाउंटी स्कोप का हिस्सा नहीं है। यूज़र द्वारा सार्वजनिक रूप से एक API को उजागर करने की आवश्यकता वाली कमजोरियां, जैसे JSON-RPC या बीकन API, बग बाउंटी प्रोग्राम के स्कोप से बाहर हैं।

एक बग सबमिट करें

प्रत्येक मान्य बग के लिए आपको पुरस्कार मिलेंगे। प्रदान किए गए पुरस्कारों की मात्रा गंभीरता के आधार पर अलग-अलग होगी। एथेरियम नेटवर्क और संभावना पर प्रभाव के आधार पर OWASP जोखिम रेटिंग मॉडल के अनुसार गंभीरता की गणना की जाती है। OWASP विधि देखें(opens in a new tab)

EF इस आधार पर भी पुरस्कार प्रदान करेगा:

वर्णन की गुणवत्ता: स्पष्ट, अच्छी तरह से लिखित प्रस्तुतियों के लिए पुरस्कारों का अधिक भुगतान किया जाता है।

पुनः प्रस्तुत करने की गुणवत्ता: पुरस्कार के योग्य होने के लिए प्रूफ़ ऑफ़ कॉन्सेप्ट (POC) शामिल किया जाना चाहिए। कृपया टेस्ट कोड, स्क्रिप्ट और विस्तृत निर्देश शामिल करें। हमारे लिए भेद्यता को पुनः प्रस्तुत करना और सत्यापित करना जितना आसान होगा, उतना ही अधिक पुरस्कार मिलेगा।

सुधार की गुणवत्ता, यदि शामिल है: इस समस्या को ठीक करने के स्पष्ट विवरण वाले सबमिशन के लिए पुरस्कारों का अधिक भुगतान किया जाता है।

2,000 USD तक

निम्न

2,000 USD तक

1,000 पॉइंट तक

गंभीरता

  • निम्न प्रभाव, मध्यम संभावना
  • मध्यम प्रभाव, निम्न संभावना

उदाहरण

हमलावर कभी-कभी किसी स्थिति में एक नोड डाल सकता है, जो इसे एक सत्यापनकर्ता द्वारा किए गए प्रत्येक सौ सत्यापन में से एक को छोड़ने का कारण बनता है
निम्न जोखिम वाला बग सबमिट करें(opens in a new tab)
10,000 USD तक

मध्यम

10,000 USD तक

5,000 पॉइंट तक

गंभीरता

  • उच्च प्रभाव, निम्न संभावना
  • मध्यम प्रभाव, मध्यम संभावना
  • निम्न प्रभाव, उच्च संभावना

उदाहरण

हमलावर आगे के 4 शून्य वाली बाइट के साथ पीयर-आईडी के साथ नोड्स पर सफलतापूर्वक एक्लिप्स हमलों का संचालन कर सकता है
मध्यम जोखिम वाला बग सबमिट करें(opens in a new tab)
50,000 USD तक

उच्च

50,000 USD तक

10,000 पॉइंट तक

गंभीरता

  • उच्च प्रभाव, मध्यम संभावना
  • मध्यम प्रभाव, उच्च संभावना

उदाहरण

हमलावर नेटवर्क के बड़े हिस्से को सफलतापूर्वक विभाजित कर सकता है, और हमलावर के लिए भेद्यता को ट्रिगर करना आसान है
उच्च जोखिम वाला बग सबमिट करें(opens in a new tab)
250,000 USD तक

गंभीर

250,000 USD तक

25,000 पॉइंट तक

गंभीरता

  • ज़्यादा प्रभाव, ज़्यादा संभावना

उदाहरण

हमलावर ज़्यादातर क्लाइंट में सफलतापूर्वक रिमोट कोड निष्पादन कर सकता है, और हमलावर के लिए भेद्यता को ट्रिगर करना आसान है
गंभीर जोखिम वाला बग सबमिट करें(opens in a new tab)

बग तलाशने के नियम

बग बाउंटी प्रोग्राम हमारे सक्रिय एथेरियम समुदाय के लिए एक प्रयोगात्मक और विवेकाधीन पुरस्कार प्रोग्राम है, जो उन लोगों को प्रोत्साहित करने और पुरस्कृत करने के लिए है, जो प्लेटफ़ॉर्म को बेहतर बनाने में मदद कर रहे हैं। यह कोई प्रतियोगिता नहीं है। आपको पता होना चाहिए कि हम किसी भी समय प्रोग्राम को रद्द कर सकते हैं, और पुरस्कार Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र विवेक पर निर्भर हैं। इसके अलावा, हम उन व्यक्तियों को पुरस्कार जारी करने में सक्षम नहीं हैं, जो प्रतिबंध सूची में हैं या जो प्रतिबंध सूची (जैसे उत्तर कोरिया, ईरान आदि) वाले देशों में हैं। स्थानीय कानून हमें आपकी पहचान का प्रमाण मांगना आवश्‍यक बनाते हैं। आप सभी करों के भुगतान के लिए उत्तरदायी होंगे। सभी पुरस्कार लागू कानून के अधीन हैं। अंत में, आपके परीक्षण को किसी भी कानून का उल्लंघन नहीं करना चाहिए या ऐसे किसी भी डेटा से छेड़छाड़ नहीं करनी चाहिए, जो आपका नहीं है और स्थानीय रनिंग टेस्टनेट पर होना चाहिए।

  • POC के बिना समस्याएँ या ऐसी समस्याएँ, जो पहले से ही किसी अन्य यूज़र द्वारा सबमिट की गई हैं या पहले से ही विनिर्देश में ज्ञात हैं और क्लाइंट अनुरक्षक बाउंटी पुरस्कार के लिए योग्य नहीं हैं।
  • किसी कमजोरी का सार्वजनिक खुलासा करना या पूर्व सहमति के बिना इसे अन्य पक्षों को रिपोर्ट करना इसे बाउंटी के लिए अयोग्य बना देता है।
  • Ethereum फाउंडेशन के कर्मचारी और ठेकेदार या बाउंटी प्रोग्राम के स्कोप में आने वाली क्लाइंट टीम केवल पॉइंट के संकलन के लिए प्रोग्राम में भाग ले सकती है और मौद्रिक पुरस्कार नहीं मिलेंगे।
  • एथेरियम बाउंटी प्रोगाम पुरस्कार का निर्धारण करने में कई वेरिएबल पर विचार करता है। अवार्ड से संबंधित पात्रता, स्कोर और सभी शर्तें Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र और अंतिम विवेक पर हैं।

निष्पादन परत बग बाउंटी लीडरबोर्ड

इस लीडरबोर्ड में जोड़े जाने के लिए निष्पादन परत बग ढूँढें

सहमति परत बग बाउंटी लीडरबोर्ड

इस लीडरबोर्ड में जोड़े जाने के लिए सहमति परत बग ढूँढें

अक्सर पूछे जाने वाले सवाल

प्रश्न हैं?

हमें ईमेल करें: bounty@ethereum.org(opens in a new tab)

क्या यह पेज सहायक था?