इथेरियम बग बाउंटी प्रोग्राम

बाउंटी में शामिल क्लाइंट

दायरे में

हमारा बग बाउंटी प्रोग्राम एंड-टू-एंड फैला हुआ है: प्रोटोकॉल की सुदृढ़ता (जैसे ब्लॉकचेन सर्वसम्मति मॉडल, वायर और p2p प्रोटोकॉल, प्रूफ-ऑफ़-स्टेक (PoS), आदि) और प्रोटोकॉल/कार्यान्वयन अनुपालन से लेकर नेटवर्क सुरक्षा और सर्वसम्मति अखंडता तक। क्लासिकल क्लाइंट सुरक्षा के साथ-साथ क्रिप्टोग्राफ़िक प्रिमिटिव की सुरक्षा भी कार्यक्रम का हिस्सा है। सभी बग प्रकटीकरण और भेद्यता सबमिशन हमारे बग सबमिशन फॉर्म (opens in a new tab) के माध्यम से किए जाने चाहिए।

विशिष्टता बग

इथेरियम विशिष्टताएं निष्पादन परत और सर्वसम्मति परत के लिए डिज़ाइन के तर्क का विवरण देती हैं।

सर्वसम्मति परत विशिष्टताएं
निष्पादन परत विशिष्टताएं

निम्नलिखित एनोटेशन की जांच करना मददगार हो सकता है:

बग के प्रकार

सुरक्षा/अंतिमता-तोड़ने वाले बग
डिनायल ऑफ़ सर्विस (DOS) वैक्टर
मान्यताओं में विसंगतियां, जैसे वे स्थितियां जहां ईमानदार वैलिडेटर की कटौती की जा सकती है
गणना या पैरामीटर विसंगतियां

विशिष्टता दस्तावेज़

बीकन चेन

फ़ोर्क विकल्प

Solidity जमा अनुबंध

पीयर-टू-पीयर नेटवर्किंग

क्लाइंट बग

क्लाइंट इथेरियम नेटवर्क चलाते हैं, और उन्हें विशिष्टता में निर्धारित तर्क का पालन करने और संभावित हमलों के खिलाफ सुरक्षित रहने की आवश्यकता होती है। हम जो बग खोजना चाहते हैं वे प्रोटोकॉल के कार्यान्वयन से संबंधित हैं।

वर्तमान में निष्पादन परत क्लाइंट (बेसु, एरिगोन, गेथ, नेदरमाइंड और रेथ) और सर्वसम्मति परत क्लाइंट (लाइटहाउस, लोडस्टार, निम्बस, टेकु और प्रिज़्म) बग बाउंटी प्रोग्राम में शामिल हैं।

बग के प्रकार

विशिष्टता का अनुपालन न करने की समस्याएं
अप्रत्याशित क्रैश, RCE या डिनायल ऑफ़ सर्विस (DOS) कमजोरियां
कोई भी समस्या जो बाकी नेटवर्क से अपूरणीय सर्वसम्मति विभाजन का कारण बनती है

मददगार लिंक

भाषा कंपाइलर बग

Solidity और Vyper कंपाइलर बग बाउंटी प्रोग्राम के दायरे में हैं। कृपया भेद्यता को पुन: उत्पन्न करने के लिए आवश्यक सभी विवरण शामिल करें जैसे: इनपुट प्रोग्राम जो बग को ट्रिगर करता है, प्रभावित कंपाइलर संस्करण, लक्षित EVM संस्करण, फ्रेमवर्क/IDE यदि लागू हो, EVM निष्पादन वातावरण/क्लाइंट यदि लागू हो और ऑपरेटिंग सिस्टम, कृपया आपके द्वारा खोजे गए बग को पुन: उत्पन्न करने के चरणों को यथासंभव विस्तार से शामिल करें।

Solidity और Vyper अविश्वसनीय इनपुट के संकलन के संबंध में सुरक्षा गारंटी नहीं रखते हैं - और हम दुर्भावनापूर्ण रूप से उत्पन्न डेटा पर कंपाइलर के क्रैश होने के लिए पुरस्कार जारी नहीं करते हैं।

मददगार लिंक

Solidity

Vyper

जमा अनुबंध बग

बीकन चेन जमा अनुबंध की विशिष्टताएं और स्रोत कोड बग बाउंटी प्रोग्राम का हिस्सा हैं।

मददगार लिंक

जमा अनुबंध विशिष्टताएं
जमा अनुबंध स्रोत कोड

डिपेंडेंसी बग

इथेरियम नेटवर्क के काम करने के लिए कुछ डिपेंडेंसी महत्वपूर्ण हैं, और इनमें से कुछ को बग बाउंटी प्रोग्राम में जोड़ा गया है। वर्तमान में, बग बाउंटी प्रोग्राम में शामिल डिपेंडेंसी की सूची C-KZG-4844 और Go-KZG-4844 है।

मददगार लिंक

C-KZG-4844
Go-ETH-KZG

दायरे से बाहर

केवल दायरे में सूचीबद्ध लक्ष्य ही बग बाउंटी प्रोग्राम का हिस्सा हैं। जो कमजोरियां कार्यक्रम के तहत योग्य नहीं हैं उनमें शामिल हैं:

✕बुनियादी ढाँचे के बग—जैसे वेबपेज, dns, ईमेल, आदि।^*
✕ERC-20 अनुबंध बग^*
✕Ethereum Naming Service (ENS) बग (ENS फाउंडेशन द्वारा अनुरक्षित)
✕ऐसी भेद्यताएँ जिनके लिए उपयोगकर्ता को सार्वजनिक रूप से API को एक्सपोज़ करने की आवश्यकता होती है, जैसे कि जेसन-आरपीसी या बीकन API
✕EngineAPI को विश्वसनीय माना जाता है और इसे सार्वजनिक रूप से एक्सपोज़ करने के लिए नहीं बनाया गया है
✕टाइपोग्राफ़िकल त्रुटियाँ
✕परीक्षण
✕उच्च-प्रयास (निरंतर, CPU या बैंडविड्थ गहन, और/या 1 से अधिक पैकेट या ऑनचेन लेन-देन की आवश्यकता वाले) सिंगल-पीयर DoS हमले
✕कोई भी सार्वजनिक रूप से ज्ञात समस्याएँ (इसमें फ़ोरम पोस्ट, PR, GitHub समस्याएँ, कमिट, ब्लॉग पोस्ट, सार्वजनिक डिस्कॉर्ड संदेश आदि शामिल हैं)
✕कुछ भी जिसका वर्तमान में इथेरियम मेननेट पर सीधा प्रभाव नहीं पड़ता है।

^*ये शामिल नहीं हैं, हालाँकि, हम कभी-कभी प्रभावित पक्षों तक पहुँचने में मदद कर सकते हैं

बग हंटिंग नियम

बग बाउंटी प्रोग्राम हमारे सक्रिय इथेरियम समुदाय के लिए एक प्रायोगिक और विवेकाधीन पुरस्कार कार्यक्रम है जो उन लोगों को प्रोत्साहित करने और पुरस्कृत करने के लिए है जो प्लेटफ़ॉर्म को बेहतर बनाने में मदद कर रहे हैं। यह कोई प्रतियोगिता नहीं है। आपको पता होना चाहिए कि हम किसी भी समय कार्यक्रम को रद्द कर सकते हैं, और पुरस्कार पूरी तरह से एथेरियम फाउंडेशन बग बाउंटी पैनल के विवेक पर हैं। इसके अलावा, हम उन व्यक्तियों को पुरस्कार जारी करने में सक्षम नहीं हैं जो प्रतिबंध सूची में हैं या जो प्रतिबंध सूची वाले देशों (जैसे, उत्तर कोरिया, ईरान, आदि) में हैं। स्थानीय कानूनों के अनुसार हमें आपकी पहचान का प्रमाण मांगना आवश्यक है। आप सभी करों के लिए जिम्मेदार हैं। सभी पुरस्कार लागू कानून के अधीन हैं। अंत में, आपका परीक्षण किसी भी कानून का उल्लंघन नहीं करना चाहिए या किसी ऐसे डेटा से समझौता नहीं करना चाहिए जो आपका नहीं है और इसे स्थानीय रूप से चल रहे टेस्टनेट पर होना चाहिए।

1POC के बिना या जो पहले ही किसी अन्य उपयोगकर्ता द्वारा सबमिट किए जा चुके हैं या विशिष्टता और क्लाइंट मेंटेनर को पहले से ही ज्ञात हैं, वे बाउंटी पुरस्कारों के लिए पात्र नहीं हैं।
2किसी भेद्यता का सार्वजनिक प्रकटीकरण या पूर्व सहमति के बिना अन्य पक्षों को इसकी रिपोर्ट करना इसे बाउंटी के लिए अपात्र बनाता है।
3एथेरियम फाउंडेशन के कर्मचारी और ठेकेदार, एथेरियम फाउंडेशन के अनुदान प्राप्तकर्ता, या बाउंटी प्रोग्राम के दायरे में आने वाली क्लाइंट टीमें केवल अंक अर्जित करने में कार्यक्रम में भाग ले सकती हैं और उन्हें मौद्रिक पुरस्कार नहीं मिलेंगे।
4इथेरियम बाउंटी प्रोग्राम पुरस्कार निर्धारित करने में कई चरों पर विचार करता है। पात्रता, स्कोर और पुरस्कार से संबंधित सभी शर्तों का निर्धारण पूरी तरह से और अंतिम रूप से एथेरियम फाउंडेशन बग बाउंटी पैनल के विवेक पर है।

भेद्यता गंभीरता योग्यताएँ

गंभीरता का आकलन प्रत्येक खोजी गई भेद्यता की निम्नलिखित कार्य करने की अद्वितीय क्षमता के आधार पर किया जाता है:

कम गंभीरता

>0.01% वैलिडेटर्स की कटौती
आसानी से नेटवर्क विभाजन का कारण बनना जो नेटवर्क के >0.01% को प्रभावित करता है
एकल नेटवर्क पैकेट या ऑनचेन लेन-देन भेजकर नेटवर्क के >0.01% को डाउन करने में सक्षम होना

मध्यम गंभीरता

>1% वैलिडेटर्स की कटौती
आसानी से नेटवर्क विभाजन का कारण बनना जो नेटवर्क के >5% को प्रभावित करता है
एकल नेटवर्क पैकेट या ऑनचेन लेन-देन भेजकर नेटवर्क के >5% को डाउन करने में सक्षम होना

उच्च गंभीरता

>33% वैलिडेटर्स की कटौती
आसानी से नेटवर्क विभाजन का कारण बनना जो नेटवर्क के >33% को प्रभावित करता है
एकल ऑनचेन लेन-देन भेजकर नेटवर्क के >33% को डाउन करने में सक्षम होना

क्रिटिकल गंभीरता

>50% वैलिडेटर्स की कटौती
किसी EIP/विनिर्देश या क्लाइंट बग का फायदा उठाकर आसानी से अनंत मात्रा में ETH बनाना जिसे नेटवर्क द्वारा अंतिम रूप दिया गया हो
सभी EOA से ETH चुराना
सभी EOA से ETH बर्न करना
एकल दुर्भावनापूर्ण ऑनचेन लेन-देन भेजकर पूरे नेटवर्क को डाउन करना जिससे सभी क्लाइंट क्रैश हो जाएं

बग सबमिट करें

2,000 USD तक

कम

2,000 USD तक

1,000 अंक तक

कम जोखिम वाला बग सबमिट करें

10,000 USD तक

मध्यम

10,000 USD तक

5,000 अंक तक

मध्यम जोखिम वाला बग सबमिट करें

50,000 USD तक

उच्च

50,000 USD तक

10,000 अंक तक

उच्च जोखिम वाला बग सबमिट करें

1,000,000 USD तक

गंभीर

1,000,000 USD तक

25,000 अंक तक

गंभीर जोखिम वाला बग सबमिट करें

अक्सर पूछे जाने वाले प्रश्न

वर्तमान में कोई अंतिम तिथि निर्धारित नहीं है। नवीनतम समाचारों के लिए एथेरियम फाउंडेशन ब्लॉग देखें।

सबमिशन के मान्य होने के बाद, आमतौर पर कुछ दिनों बाद, पुरस्कारों का भुगतान ETH या DAI में किया जाता है। स्थानीय कानूनों के अनुसार हमें आपकी पहचान का प्रमाण माँगना आवश्यक है। इसके अलावा, हमें आपके ETH पते की आवश्यकता होगी।

हम आपका पुरस्कार आपकी पसंद के किसी स्थापित धर्मार्थ संगठन को दान कर सकते हैं।

हमारा लक्ष्य सबमिशन का जल्द से जल्द जवाब देना है। AI सबमिशन में वृद्धि के कारण, कृपया हमें आपके सबमिशन का जवाब देने के लिए एक सप्ताह तक का समय दें।

गुमनाम रूप से या किसी उपनाम के साथ सबमिट करना ठीक है, लेकिन यह आपको ETH/DAI पुरस्कारों के लिए अयोग्य बना देगा। ETH/DAI पुरस्कारों के लिए योग्य होने के लिए, हमें आपका असली नाम और आपकी पहचान का प्रमाण चाहिए, जिसे हमारी सुरक्षित ड्रॉप वेबसाइट पर PGP का उपयोग करके एन्क्रिप्ट करके एथेरियम फाउंडेशन की हमारी कानूनी टीम को भेजा जाना चाहिए, जो दस्तावेज़ों के एकमात्र समीक्षक हैं। अपनी बाउंटी किसी चैरिटी को दान करने के लिए आपकी पहचान की आवश्यकता नहीं होती है।

कृपया हमें बताएं कि क्या आप लीडरबोर्ड पर अपना नाम/उपनाम प्रदर्शित नहीं करना चाहते हैं।

प्रत्येक पाई गई भेद्यता / समस्या को एक स्कोर दिया जाता है। बाउंटी हंटर्स को कुल अंकों के आधार पर हमारे लीडरबोर्ड पर रैंक किया जाता है।

बग बाउंटी प्रोग्राम