Fogadjuk a beadványokat
Hibavadász program
Keressen akár 250 000 USD-t, és kerüljön fel a ranglistára – találjon olyan hibát a protokollban, a kliensben vagy a Solidityben, amely hatással van az Ethereum-hálózatra.
A vadászatban részt vevő kliensek
Hatáskörön belül
A hibavadászprogramunk teljesen felöleli a folyamatot: a protokollok (például a blokklánckonszenzus-modell, az átutalási és p2p-protokollok, proof-of-stake stb.) stabilitásától és a protokoll/megvalósítás megfelelőségétől kezdve a hálózatbiztonságig és a konszenzusintegritásig. A klasszikus kliensbiztonság és a kriptográfiai primitívek (blokktitkosítók) biztonsága egyaránt része a programnak. Kétség esetén kérdéseit a bounty@ethereum.org címre várjuk. Közvetlenül a bounty@ethereum.org(opens in a new tab) címre is küldhet felfedést/sebezhetőséget, ebben az esetben kérjük, hogy az üzenetet a PGP Key(opens in a new tab) használatával titkosítsa.
Specifikációs hibák
Az Ethereum-specifikáció részletesen leírja a végrehajtási és a konszenzusréteg tervezés során figyelembe vett szempontokat.
Végrehajtási réteg – specifikációk(opens in a new tab)
Hasznos lehet megnézni a következő jegyzeteket:
Hibatípusok
- Biztonságot/véglegességet megtörő hibák
- Szolgáltatásmegtagadási (DOS) vektorok
- Inkonzisztencia a feltételezésekben, például olyan szituációk, ahol a becsületesen eljáró validátorok letétjét megvághatja a rendszer
- Számítási vagy paraméter-inkonzisztenciák
Klienshibák
A kliensek futtatják az Ethereum-hálózatot, követniük kell a specifikációban meghatározott logikát, és biztosítaniuk kell a potenciális támadásokkal szemben. Az általunk keresett hibák a protokollimplementációhoz kapcsolódnak.
Jelenleg a végrehajtási réteg kliensei (Besu, Erigon, Geth és Nethermind) és a konszenzus réteg kliensei (Lighthouse, Lodestar, Nimbus, Teku és Prysm) szerepelnek a Bug Bounty Programban. További kliensek is bekerülhetnek a programba, amint befejezik az ellenőrzéseket és készen állnak a használatra. Jelenleg a c-kzg-4844(opens in a new tab) és a go-kzg-4844(opens in a new tab) is szerepel a hibavadászprogramban.
Hibatípusok
- Specifikáció – megfelelőségi problémák
- Váratlan összeomlások, távoli kódfuttatással (RCE) vagy szolgáltatásmegtagadási (DOS) szembeni sérülékenységek
- Bármilyen probléma, amely javíthatatlan konszenzustörést okoz a hálózat többi részével szemben
Solidity-hibák
A hatókör tartalmával kapcsolatos további részletekért tekintse meg a Solidity SECURITY.MD állományt.
A Solidity nem tartalmaz biztonsági garanciákat a nem megbízható bemeneti adatok fordításával kapcsolatban, továbbá nem jár jutalom azért, ha a solc fordító rossz szándékkal generált adatok miatt leáll.
Hasznos hivatkozások
Letéti szerződés – hibák
A Beacon lánc letéti szerződésének specifikációi és forráskódja része a hibavadász programnak.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Hatókörön kívüli
Csak a hatókörön belüli besorolásban szereplő célok vesznek részt a hibavadászprogramban. Ez azt jelenti, hogy például az infrastruktúra – a weblapok, DNS-címek, e-mailek stb. – nem része a hibavadászatnak. Az ERC20-szerződéshez kapcsolódó hibák általában véve nem vesznek részt a hibavadászatban. Mindazonáltal ilyen esetekben segíthetünk kapcsolatba lépni az érintett felekkel, például a szerzőkkel vagy tőzsdékkel. Az ENS-t az ENS Alapítvány kezeli, és a hibavadászat hatókörén kívül esik. Szintén kívül esnek azok a gyenge pontok, amelyeknél a felhasználónak nyilvánossá kellene tenni egy API-t, mint amilyen a JSON-RPC vagy a Beacon API.
Hiba beküldése
Minden megtalált és érvényes hibáért jutalmat kap. A kapott jutalom összege a hiba súlyosságától függ. A hibák súlyosságát az OWASP kockázatminősítési modellel összhangban, az Ethereum-hálózatra gyakorolt hatás és bekövetkezés valószínűsége alapján számítjuk ki. Az OWASP-módszer megtekintése(opens in a new tab)
Az Ethereum Alapítvány (Ethereum Foundation – EF) a következők alapján is jutalmaz:
A leírás minősége: magasabb jutalom jár az egyértelmű, jól megfogalmazott beadványokért.
Reprodukálhatóság minősége: a jutalomjogosultsághoz az elképzelés működését igazolni is kell (Proof of Concept, POC). Kérjük, adja meg a tesztkódot, szkripteket és részletes instrukciókat is. Minél egyszerűbb reprodukálnunk és ellenőriznünk a sérülékenységet, annál nagyobb a jutalom.
A javítás minősége, ha tartalmazza: magasabb díj jár az olyan beadványokért, amelyek világosan leírják a probléma javításának módját.
Alacsony
legfeljebb 2000 USD
legfeljebb 1000 pont
Súlyosság
- Kicsi hatás, közepes valószínűség
- Közepes hatás, alacsony valószínűség
Példa
Közepes
legfeljebb 10 000 USD
legfeljebb 5000 pont
Súlyosság
- Nagy hatás, alacsony valószínűség
- Közepes hatás, közepes valószínűség
- Kicsi hatás, magas valószínűség
Példa
Magas
legfeljebb 50 000 USD
legfeljebb 10 000 pont
Súlyosság
- Nagy hatás, közepes valószínűség
- Közepes hatás, magas valószínűség
Példa
Kritikus
legfeljebb 250 000 USD
legfeljebb 25 000 pont
Súlyosság
- Nagy hatás, magas valószínűség
Példa
Hibavadászat – szabályok
A hibavadász program egy kísérleti és önkéntes alapú jutalomprogram aktív Ethereum-közösségünk számára, hogy ösztönözze és megjutalmazza azokat, akik segítenek a platform fejlesztésében. Ez nem egy verseny. Tudnia kell, hogy bármikor lemondhatjuk a programot, és a díjazásról az Ethereum Alapítvány hibavadászati testülete dönt. Továbbá nem adhatunk jutalmakat olyan egyéneknek, akik szankciós listákon szerepelnek, vagy szankciós listákon lévő országokban élnek (pl. Észak-Korea, Irán stb.). A helyi jogszabályok megkövetelik, hogy ellenőrizzük az Ön kilétét. Az adózásért teljes mértékben Ön felel. Minden díj a vonatkozó jogszabályok hatálya alá tartozik. Végül a tesztelés nem sérthet semmilyen jogszabályt, nem veszélyeztethet más tulajdonát képező adatokat, és csak helyben működő teszthálózatokon végezhető.
- Nem jogosít vadászjutalomra a POC nélküli probléma, vagy az, amelyet egy másik felhasználó már benyújtott, vagy amelyet a specifikáció- és klienskarbantartók már ismernek.
- Ha valaki az adott sebezhetőséget nyilvánosságra hozza vagy előzetes megállapodás nélkül bejelenti azt más feleknek, akkor nem jogosult jutalomra.
- Az Ethereum Alapítvány munkavállalói és szerződött felei, illetve a hibavadász program hatókörébe tartozó klienscsapatok kizárólag pontokat gyűjthetnek a program keretein belül, de pénzügyi jutalomban nem részesülhetnek.
- Az Ethereum hibavadász program a jutalmak meghatározásánál több tényezőt is figyelembe vesz. A jogosultságról, a pontszámról és a díjjal kapcsolatos feltételekről az Ethereum Alapítvány hibavadászati testülete saját hatáskörben hoz végleges döntést.
Végrehajtási réteg – hibavadász-ranglista
Találjon hibát a végrehajtási rétegben, és kerüljön fel a ranglistára
- 4In place number 4 with 31000 pointsnrv (@nervoir)31000 pontszám
- 12In place number 12 with 13000 pointsBob Conan13000 pontszám
- 14In place number 14 with 12500 pointsRalph Pichler12500 pontszám
- 16In place number 16 with 10000 pointsHeilman/Marcus/Goldberg10000 pontszám
- 19In place number 19 with 8000 pointsSebastian Henningsen8000 pontszám
- 20In place number 20 with 7500 pointsDominic Brütsch7500 pontszám
- 33In place number 33 with 2000 pointsMing Chuan Lin2000 pontszám
- 40In place number 40 with 1000 pointsVasily Vasiliev1000 pontszám
- 47In place number 47 with 1000 pointsBarry Whitehat1000 pontszám
- 52In place number 52 with 500 pointsMyeongjae Lee500 pontszám
- 54In place number 54 with 500 pointsjazzybedi500 pontszám
Konszenzusréteg – hibavadász-ranglista
Találjon hibát a konszenzusrétegben, és kerüljön fel a ranglistára
- 5In place number 5 with 10000 pointsscio10000 pontszám
- 15In place number 15 with 1750 pointsAkincibor1750 pontszám
Gyakran ismételt kérdések
Kérdése van?
Küldjön e-mailt: bounty@ethereum.org(opens in a new tab)