Pomozite prevesti ovu stranicu

🌏

Ovu stranicu pregledavate na engleskom jer je još nismo preveli. Pomozite nam prevesti ovaj sadržaj.

Ovdje nema programskih pogreški!🐛

Ova stranica nije prevedena. Namjerno smo ostavili ovu stranicu na engleskom jeziku zasada.

Otvoreno za prijave

Nagrade lova na Eth2 pogreške 🐛
Pronalaženjem pogrešaka u protokolu Eth2 protokolu i klijentu zaradite do 50.000 USD i mjesto na ljestvici najboljih.

Klijenti predstavljeni u nagradama

Važeće programske pogreške

Ovaj program nagrađivanja pronalaženja pogrešaka usmjeren je na pronalaženje pogrešaka u osnovnoj specifikaciji Beacon Chain Eth2-a i klijentskim implementacijama Prysm, Lighthouse i Teku.

📒

Poreške u specifikaciji nadogradnje Beacon Chain

Specifikacija lanca Beacon Chain detaljno opisuje obrazloženje dizajna i predložene promjene u Ethereumu nadogradnjom Beacon Chain.

Pročitajte cijelu specifikaciju
Execution Layer Specifications

Vrste programske pogreške

  • pogreške u sigurnosti / prekidanju konačnosti.
  • vektori uskraćivanja usluge (DOS)
  • nedosljednosti u pretpostavkama, poput situacija u kojima se mogu degradirati pošteni validatori.
  • izračun ili nedosljednosti parametara.
💻

Programske pogreške klijenta Eth2

Klijenti će pokrenuti Beacon Chain nakon što se izvrši nadogradnja. Klijenti će morati slijediti logiku navedenu u specifikaciji da budu sigurni od potencijalnih napada. Poreške koje želimo pronaći povezane su s implementacijom protokola.

Currently Lighthouse, Nimbus, Teku, and Prysm bugs are currently eligible for this bounty. More clients may be added as they complete audits and become production ready.

Vrste programske pogreške

  • problemi neusklađenosti specifikacije.
  • osjetljivost neočekivanih padova ili uskraćivanje usluge (DOS).
  • bilo koji problemi koji uzrokuju nepopravljivi konsenzus odvajaju se od ostatka mreže.

Korisne poveznice

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Korisne poveznice

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Nije uključeno

Nadogradnje lanca djelića i nadogradnje spajanja još su uvijek u aktivnom razvoju pa još nisu uključeni u ovaj program nagrađivanja.

Pošaljite pogrešku

Za svaku otkrivenu programsku pogrešku dobit ćete bodove. Bodovi koje zaradite ovise o ozbiljnosti greške. Zaklada Ethereum (EF) utvrđuje ozbiljnost pomoću metode OWASP. Pogledajte metodu OWASP

EF će također dodjeljivati bodove na temelju:

Kvaliteta opisa: veće nagrade isplaćuju se za jasne, dobro napisane prijave.

Kvaliteta ponovljivosti: uključite testni kod, skripte i detaljne upute. Što nam je lakše reproducirati i provjeriti ranjivost, to je veća nagrada.

Kvaliteta popravka, ako je uključeno: veće nagrade isplaćuju se za prijave s jasnim opisom načina rješavanja problema.

Do 2.000 DAI

Nisko

Do 2.000 DAI

Do 1.000 bodova

Ozbiljnost

  • Nizak utjecaj, srednja vjerojatnost
  • Srednji utjecaj, mala vjerojatnost

Primjer

Napadač ponekad može staviti čvor u stanje zbog kojeg će jedna od sto potvrda koje je izvršio validator biti ispuštena
Prijavite pogrešku niskog rizika
Do 10.000 DAI

Srednje

Do 10.000 DAI

Do 5.000 bodova

Ozbiljnost

  • Visok utjecaj, mala vjerojatnost
  • Srednji utjecaj, srednja vjerojatnost
  • Nizak utjecaj, visoka vjerojatnost

Primjer

Napadač može uspješno izvoditi skrivene napade na čvorove s peer-id-ovima s 4 vodeće nulta bajta
Prijavite pogrešku srednjeg rizika
Do 20.000 DAI

Visoko

Do 20.000 DAI

Do 10.000 bodova

Ozbiljnost

  • Visok utjecaj, srednja vjerojatnost
  • Srednji utjecaj, visoka vjerojatnost

Primjer

Postoji konsenzusna pogreška između dva klijenta, ali napadaču je teško ili nepraktično pokrenuti taj događaj.
Prijavite pogrešku visokog rizika
Do 50.000 DAI

Kritično

Do 50.000 DAI

Do 25.000 bodova

Ozbiljnost

  • Visok utjecaj, visoka vjerojatnost

Primjer

Postoji konsenzusna pogreška između dva klijenta, i napadaču je lako pokrenuti taj događaj.
Prijavite pogrešku kritičnog rizika

Pravila lova na pogreške

Program nagrađivanja lova na pogreške eksperimentalni je i diskrecijski program nagrađivanja za našu aktivnu Ethereumovu zajednicu za poticanje i nagrađivanje onih koji pomažu u poboljšanju platforme. To nije natjecanje. Trebate znati znati da program možemo otkazati u bilo kojem trenutku, a dodjela nagrada je isključivo diskrecijsko pravo odbora za nagrade za lov na programske pogreške zaklade Ethereum. Osim toga, nismo u mogućnosti dodijeliti nagrade osobama koje se nalaze na popisima sankcija ili su u zemljama koje su na popisima sankcija (npr. Sjeverna Koreja, Iran itd.). Sami ste dgovorni za sve poreze. Sve nagrade podliježu važećem zakonu. Na kraju, vaše testiranje ne smije kršiti nijedan zakon niti ugroziti podatke koji nisu vaši.

  • Problemi koje je već poslao drugi korisnik ili su već poznati osobama koje održavaju specifikacije i klijente ne ispunjavaju uvjete za nagrade.
  • Javno otkrivanje ranjivosti čini je neprihvatljivom za nagradu.
  • Istraživači zaklade Ethereum i zaposlenici timova klijenata Eth2 ne ispunjavaju uvjete za nagrade.
  • Ethereum program nagrađivanja uzima u obzir brojne varijable u određivanju nagrada. Određivanje prihvatljivosti, rezultat i svi uvjeti koji se odnose na nagradu isključivo su odluka odbora za nagrade za lov na pogreške zaklade Ethereum.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Često postavljana pitanja

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Pitanja?

Pošaljie nam poruku e-pošte: bounty@ethereum.org

✉️

Was this page helpful?