Fogadjuk a beadványokat
Hibavadász program
Keressen akár 250 000 USD-t, és kerüljön fel a ranglistára – találjon olyan hibát a protokollban, a kliensben vagy a Solidityben, amely hatással van az Ethereum-hálózatra.
A vadászatban részt vevő kliensek
Hatáskörön belül
A hibavadász programunk teljesen felöleli a folyamatot: a protokollok (például a blokklánckonszenzus-modell, az átutalási és p2p-protokollok, proof-of-stake stb.) stabilitásától és a protokoll/megvalósítás megfelelőségétől kezdve a hálózatbiztonságig és a konszenzusintegritásig. A klasszikus kliensbiztonság és a kriptográfiai primitívek (blokktitkosítók) biztonsága egyaránt része a programnak. Kétség esetén kérdéseit a bounty@ethereum.org címre várjuk.
Specifikációs hibák
Az Ethereum-specifikáció részletesen leírja a végrehajtási és a konszenzusréteg tervezés során figyelembe vett szempontokat.
Végrehajtási réteg – specifikációk(opens in a new tab)
Hasznos lehet megnézni a következő jegyzeteket:
Hibatípusok
- Biztonságot/véglegességet megtörő hibák
- Szolgáltatásmegtagadási (DOS) vektorok
- Inkonzisztencia a feltételezésekben, például olyan szituációk, ahol a becsületesen eljáró validátorok letétjét megvághatja a rendszer
- Számítási vagy paraméter-inkonzisztenciák
Klienshibák
A kliensek futtatják az Ethereum-hálózatot, követniük kell a specifikációban meghatározott logikát, és biztosítaniuk kell a potenciális támadásokkal szemben. Az általunk keresett hibák a protokollimplementációhoz kapcsolódnak.
Jelenleg a végrehajtási réteg kliensei (Besu, Erigon, Geth és Nethermind) és a konszenzus réteg kliensei (Lighthouse, Lodestar, Nimbus, Teku és Prysm) szerepelnek a Bug Bounty Programban. További kliensek is bekerülhetnek a programba, amint befejezik az ellenőrzéseket és készen állnak a használatra. Jelenleg a c-kzg-4844(opens in a new tab) és a go-kzg-4844(opens in a new tab) is szerepel a hibavadászprogramban.
Hibatípusok
- Specifikáció – megfelelőségi problémák
- Váratlan összeomlások, távoli kódfuttatással (RCE) vagy szolgáltatásmegtagadási (DOS) szembeni sérülékenységek
- Bármilyen probléma, amely javíthatatlan konszenzustörést okoz a hálózat többi részével szemben
Solidity-hibák
A hatókör tartalmával kapcsolatos további részletekért tekintse meg a Solidity SECURITY.MD állományt.
A Solidity nem tartalmaz biztonsági garanciákat a nem megbízható bemeneti adatok fordításával kapcsolatban, továbbá nem jár jutalom azért, ha a solc fordító rossz szándékkal generált adatok miatt leáll.
Hasznos hivatkozások
SECURITY.md(opens in a new tab)Letéti szerződés – hibák
A Beacon lánc letéti szerződésének specifikációi és forráskódja része a hibavadász programnak.
Hatókörön kívüli
Csak a hatókörön belüli besorolásban szereplő célok vesznek részt a hibavadászprogramban. Ez azt jelenti, hogy például az infrastruktúra – a weblapok, DNS-címek, e-mailek stb. – nem része a hibavadászatnak. Az ERC20-szerződéshez kapcsolódó hibák általában véve nem vesznek részt a hibavadászatban. Mindazonáltal ilyen esetekben segíthetünk kapcsolatba lépni az érintett felekkel, például a szerzőkkel vagy tőzsdékkel. Az ENS-t az ENS Alapítvány kezeli, és a hibavadászat hatókörén kívül esik. Szintén kívül esnek azok a gyenge pontok, amelyeknél a felhasználónak nyilvánossá kellene tenni egy API-t, mint amilyen a JSON-RPC vagy a Beacon API.
Hiba beküldése
Minden megtalált és érvényes hibáért jutalmat kap. A kapott jutalom összege a hiba súlyosságától függ. A hibák súlyosságát az OWASP kockázatminősítési modellel összhangban, az Ethereum-hálózatra gyakorolt hatás és bekövetkezés valószínűsége alapján számítjuk ki. Az OWASP-módszer megtekintése(opens in a new tab)
Az Ethereum Alapítvány (Ethereum Foundation – EF) a következők alapján is jutalmaz:
A leírás minősége: magasabb jutalom jár az egyértelmű, jól megfogalmazott beadványokért.
Reprodukálhatóság minősége: a jutalomjogosultsághoz az elképzelés működését igazolni is kell (Proof of Concept, POC). Kérjük, adja meg a tesztkódot, szkripteket és részletes instrukciókat is. Minél egyszerűbb reprodukálnunk és ellenőriznünk a sérülékenységet, annál nagyobb a jutalom.
A javítás minősége, ha tartalmazza: magasabb díj jár az olyan beadványokért, amelyek világosan leírják a probléma javításának módját.
Alacsony
legfeljebb 2000 USD
legfeljebb 1000 pont
Súlyosság
- Kicsi hatás, közepes valószínűség
- Közepes hatás, alacsony valószínűség
Példa
Közepes
legfeljebb 10 000 USD
legfeljebb 5000 pont
Súlyosság
- Nagy hatás, alacsony valószínűség
- Közepes hatás, közepes valószínűség
- Kicsi hatás, magas valószínűség
Példa
Magas
legfeljebb 50 000 USD
legfeljebb 10 000 pont
Súlyosság
- Nagy hatás, közepes valószínűség
- Közepes hatás, magas valószínűség
Példa
Kritikus
legfeljebb 250 000 USD
legfeljebb 25 000 pont
Súlyosság
- Nagy hatás, magas valószínűség
Példa
Hibavadászat – szabályok
A hibavadász program egy kísérleti és önkéntes alapú jutalomprogram aktív Ethereum-közösségünk számára, hogy ösztönözze és megjutalmazza azokat, akik segítenek a platform fejlesztésében. Ez nem egy verseny. Tudnia kell, hogy bármikor lemondhatjuk a programot, és a díjazásról az Ethereum Alapítvány hibavadászati testülete dönt. Továbbá nem adhatunk jutalmakat olyan egyéneknek, akik szankciós listákon szerepelnek, vagy szankciós listákon lévő országokban élnek (pl. Észak-Korea, Irán stb.). A helyi jogszabályok megkövetelik, hogy ellenőrizzük az Ön kilétét. Az adózásért teljes mértékben Ön felel. Minden díj a vonatkozó jogszabályok hatálya alá tartozik. Végül a tesztelés nem sérthet semmilyen jogszabályt, nem veszélyeztethet más tulajdonát képező adatokat, és csak helyben működő teszthálózatokon végezhető.
- Nem jogosít vadászjutalomra a POC nélküli probléma, vagy az, amelyet egy másik felhasználó már benyújtott, vagy amelyet a specifikáció- és klienskarbantartók már ismernek.
- Ha valaki az adott sebezhetőséget nyilvánosságra hozza vagy előzetes megállapodás nélkül bejelenti azt más feleknek, akkor nem jogosult jutalomra.
- Az Ethereum Alapítvány munkavállalói és szerződött felei, illetve a hibavadász program hatókörébe tartozó klienscsapatok kizárólag pontokat gyűjthetnek a program keretein belül, de pénzügyi jutalomban nem részesülhetnek.
- Az Ethereum hibavadász program a jutalmak meghatározásánál több tényezőt is figyelembe vesz. A jogosultságról, a pontszámról és a díjjal kapcsolatos feltételekről az Ethereum Alapítvány hibavadászati testülete saját hatáskörben hoz végleges döntést.
Végrehajtási réteg – hibavadász-ranglista
Találjon hibát a végrehajtási rétegben, és kerüljön fel a ranglistára
- 3In place number 3 with 31000 pointsnrv (@nervoir)31000 pontszám
- 12In place number 12 with 13000 pointsBob Conan13000 pontszám
- 14In place number 14 with 12500 pointsRalph Pichler12500 pontszám
- 16In place number 16 with 10000 pointsHeilman/Marcus/Goldberg10000 pontszám
- 19In place number 19 with 8000 pointsSebastian Henningsen8000 pontszám
- 20In place number 20 with 7500 pointsDominic Brütsch7500 pontszám
- 31In place number 31 with 2000 pointsMing Chuan Lin2000 pontszám
- 38In place number 38 with 1000 pointsVasily Vasiliev1000 pontszám
- 45In place number 45 with 1000 pointsBarry Whitehat1000 pontszám
- 50In place number 50 with 500 pointsMyeongjae Lee500 pontszám
- 52In place number 52 with 500 pointsjazzybedi500 pontszám
Konszenzusréteg – hibavadász-ranglista
Találjon hibát a konszenzusrétegben, és kerüljön fel a ranglistára
- 5In place number 5 with 10000 pointsscio10000 pontszám
- 15In place number 15 with 1750 pointsAkincibor1750 pontszám
Gyakran ismételt kérdések
Kérdése van?
Küldjön e-mailt: bounty@ethereum.org(opens in a new tab)