Ugrás a fő tartalomra

Fogadjuk a beadványokat

Hibavadász program

Keressen akár 250 000 USD-t, és kerüljön fel a ranglistára – találjon olyan hibát a protokollban, a kliensben vagy a Solidityben, amely hatással van az Ethereum-hálózatra.

Hiba beküldése(opens in a new tab)Szabályok áttekintése
Teljes ranglista megtekintése

A vadászatban részt vevő kliensek

Hatáskörön belül

A hibavadászprogramunk teljesen felöleli a folyamatot: a protokollok (például a blokklánckonszenzus-modell, az átutalási és p2p-protokollok, proof-of-stake stb.) stabilitásától és a protokoll/megvalósítás megfelelőségétől kezdve a hálózatbiztonságig és a konszenzusintegritásig. A klasszikus kliensbiztonság és a kriptográfiai primitívek (blokktitkosítók) biztonsága egyaránt része a programnak. Kétség esetén kérdéseit a bounty@ethereum.org címre várjuk. Közvetlenül a bounty@ethereum.org(opens in a new tab) címre is küldhet felfedést/sebezhetőséget, ebben az esetben kérjük, hogy az üzenetet a PGP Key(opens in a new tab) használatával titkosítsa.

Specifikációs hibák

Az Ethereum-specifikáció részletesen leírja a végrehajtási és a konszenzusréteg tervezés során figyelembe vett szempontokat.

Konszenzusréteg – specifikációk(opens in a new tab)
Végrehajtási réteg – specifikációk(opens in a new tab)

Hasznos lehet megnézni a következő jegyzeteket:

Hibatípusok

  • Biztonságot/véglegességet megtörő hibák
  • Szolgáltatásmegtagadási (DOS) vektorok
  • Inkonzisztencia a feltételezésekben, például olyan szituációk, ahol a becsületesen eljáró validátorok letétjét megvághatja a rendszer
  • Számítási vagy paraméter-inkonzisztenciák

Specifikációdokumentumok

Klienshibák

A kliensek futtatják az Ethereum-hálózatot, követniük kell a specifikációban meghatározott logikát, és biztosítaniuk kell a potenciális támadásokkal szemben. Az általunk keresett hibák a protokollimplementációhoz kapcsolódnak.

Jelenleg a végrehajtási réteg kliensei (Besu, Erigon, Geth és Nethermind) és a konszenzus réteg kliensei (Lighthouse, Lodestar, Nimbus, Teku és Prysm) szerepelnek a Bug Bounty Programban. További kliensek is bekerülhetnek a programba, amint befejezik az ellenőrzéseket és készen állnak a használatra. Jelenleg a c-kzg-4844(opens in a new tab) és a go-kzg-4844(opens in a new tab) is szerepel a hibavadászprogramban.

Hibatípusok

  • Specifikáció – megfelelőségi problémák
  • Váratlan összeomlások, távoli kódfuttatással (RCE) vagy szolgáltatásmegtagadási (DOS) szembeni sérülékenységek
  • Bármilyen probléma, amely javíthatatlan konszenzustörést okoz a hálózat többi részével szemben

Solidity-hibák

A hatókör tartalmával kapcsolatos további részletekért tekintse meg a Solidity SECURITY.MD állományt.

A Solidity nem tartalmaz biztonsági garanciákat a nem megbízható bemeneti adatok fordításával kapcsolatban, továbbá nem jár jutalom azért, ha a solc fordító rossz szándékkal generált adatok miatt leáll.

Hasznos hivatkozások

SECURITY.md(opens in a new tab)

Letéti szerződés – hibák

A Beacon lánc letéti szerződésének specifikációi és forráskódja része a hibavadász programnak.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

Hatókörön kívüli

Csak a hatókörön belüli besorolásban szereplő célok vesznek részt a hibavadászprogramban. Ez azt jelenti, hogy például az infrastruktúra – a weblapok, DNS-címek, e-mailek stb. – nem része a hibavadászatnak. Az ERC20-szerződéshez kapcsolódó hibák általában véve nem vesznek részt a hibavadászatban. Mindazonáltal ilyen esetekben segíthetünk kapcsolatba lépni az érintett felekkel, például a szerzőkkel vagy tőzsdékkel. Az ENS-t az ENS Alapítvány kezeli, és a hibavadászat hatókörén kívül esik. Szintén kívül esnek azok a gyenge pontok, amelyeknél a felhasználónak nyilvánossá kellene tenni egy API-t, mint amilyen a JSON-RPC vagy a Beacon API.

Hiba beküldése

Minden megtalált és érvényes hibáért jutalmat kap. A kapott jutalom összege a hiba súlyosságától függ. A hibák súlyosságát az OWASP kockázatminősítési modellel összhangban, az Ethereum-hálózatra gyakorolt hatás és bekövetkezés valószínűsége alapján számítjuk ki. Az OWASP-módszer megtekintése(opens in a new tab)

Az Ethereum Alapítvány (Ethereum Foundation – EF) a következők alapján is jutalmaz:

A leírás minősége: magasabb jutalom jár az egyértelmű, jól megfogalmazott beadványokért.

Reprodukálhatóság minősége: a jutalomjogosultsághoz az elképzelés működését igazolni is kell (Proof of Concept, POC). Kérjük, adja meg a tesztkódot, szkripteket és részletes instrukciókat is. Minél egyszerűbb reprodukálnunk és ellenőriznünk a sérülékenységet, annál nagyobb a jutalom.

A javítás minősége, ha tartalmazza: magasabb díj jár az olyan beadványokért, amelyek világosan leírják a probléma javításának módját.

legfeljebb 2000 USD

Alacsony

legfeljebb 2000 USD

legfeljebb 1000 pont


Súlyosság

  • Kicsi hatás, közepes valószínűség
  • Közepes hatás, alacsony valószínűség

Példa

A támadó néha olyan állapotba tud hozni egy csomópontot, amely miatt a csomópont egy validátor által kiadott minden száz tanúsításból egyet kihagy
Alacsony kockázatú hiba beadása(opens in a new tab)
legfeljebb 10 000 USD

Közepes

legfeljebb 10 000 USD

legfeljebb 5000 pont


Súlyosság

  • Nagy hatás, alacsony valószínűség
  • Közepes hatás, közepes valószínűség
  • Kicsi hatás, magas valószínűség

Példa

Egy támadó sikeresen végrehajthat „eclipse” támadásokat olyan csomópontokon, amelyek 4 vezető nulla bájtos peer-azonosítóval rendelkeznek
Közepes kockázatú hiba beadása(opens in a new tab)
legfeljebb 50 000 USD

Magas

legfeljebb 50 000 USD

legfeljebb 10 000 pont


Súlyosság

  • Nagy hatás, közepes valószínűség
  • Közepes hatás, magas valószínűség

Példa

A támadó sikeresen particionálni tudja a hálózat nagy részeit, és egy támadó számára triviális dolog kiváltani a sebezhetőséget
Magas kockázatú hiba beadása(opens in a new tab)
legfeljebb 250 000 USD

Kritikus

legfeljebb 250 000 USD

legfeljebb 25 000 pont


Súlyosság

  • Nagy hatás, magas valószínűség

Példa

A támadó képes sikeres távoli kódvégrehajtást folytatni egy többségi kliensen, és egy támadó számára triviális dolog kiváltani a sebezhetőséget
Kritikus kockázatú hiba beadása(opens in a new tab)

Hibavadászat – szabályok

A hibavadász program egy kísérleti és önkéntes alapú jutalomprogram aktív Ethereum-közösségünk számára, hogy ösztönözze és megjutalmazza azokat, akik segítenek a platform fejlesztésében. Ez nem egy verseny. Tudnia kell, hogy bármikor lemondhatjuk a programot, és a díjazásról az Ethereum Alapítvány hibavadászati testülete dönt. Továbbá nem adhatunk jutalmakat olyan egyéneknek, akik szankciós listákon szerepelnek, vagy szankciós listákon lévő országokban élnek (pl. Észak-Korea, Irán stb.). A helyi jogszabályok megkövetelik, hogy ellenőrizzük az Ön kilétét. Az adózásért teljes mértékben Ön felel. Minden díj a vonatkozó jogszabályok hatálya alá tartozik. Végül a tesztelés nem sérthet semmilyen jogszabályt, nem veszélyeztethet más tulajdonát képező adatokat, és csak helyben működő teszthálózatokon végezhető.

  • Nem jogosít vadászjutalomra a POC nélküli probléma, vagy az, amelyet egy másik felhasználó már benyújtott, vagy amelyet a specifikáció- és klienskarbantartók már ismernek.
  • Ha valaki az adott sebezhetőséget nyilvánosságra hozza vagy előzetes megállapodás nélkül bejelenti azt más feleknek, akkor nem jogosult jutalomra.
  • Az Ethereum Alapítvány munkavállalói és szerződött felei, illetve a hibavadász program hatókörébe tartozó klienscsapatok kizárólag pontokat gyűjthetnek a program keretein belül, de pénzügyi jutalomban nem részesülhetnek.
  • Az Ethereum hibavadász program a jutalmak meghatározásánál több tényezőt is figyelembe vesz. A jogosultságról, a pontszámról és a díjjal kapcsolatos feltételekről az Ethereum Alapítvány hibavadászati testülete saját hatáskörben hoz végleges döntést.

Végrehajtási réteg – hibavadász-ranglista

Találjon hibát a végrehajtási rétegben, és kerüljön fel a ranglistára

Konszenzusréteg – hibavadász-ranglista

Találjon hibát a konszenzusrétegben, és kerüljön fel a ranglistára

Gyakran ismételt kérdések

Kérdése van?

Küldjön e-mailt: bounty@ethereum.org(opens in a new tab)

Hasznosnak találta az oldalt?

Weboldal utoljára frissítve: 2024. július 10.

Ismerje meg

  • Tanulási központ
  • Mi az Ethereum?
  • Mi az ether (ETH)?
  • Ethereum tárcák
  • Mi az a Web3?
  • Okosszerződések
  • Gas fees
  • Csomópont futtatása
  • Ethereum-biztonság és átverés elleni védelem
  • Kvízközpont
  • Ethereum szógyűjtemény

Részvétel

(opens in a new tab)(opens in a new tab)(opens in a new tab)
  • Rólunk
  • Ethereum márkanév
  • Magatartási szabályok
  • Állások
  • Adatvédelmi szabályzat
  • Felhasználási feltételek
  • Süti (Cookie) szabályzat
  • Sajtókapcsolat(opens in a new tab)