Ugrás a fő tartalomra

Segíts lefordítani ezt az oldalt

🌏

Ezt az oldalt angol nyelven látod, mert még nem fordítottuk le. Segíts lefordítani ezt a tartalmat.

Oldal fordítása

Itt nincsenek bugok!🐛

Ez az oldal nincs lefordítva. Egyelőre szándékosan hagytuk meg angol nyelven ezt az oldalt.

Nyitott a beadványokra

Eth2 bug vadászatok 🐛
Nyerj akár 50 000 USD-t és egy helyet a ranglétrán Eth2 protokoll és kliens bugok megtalálásával.
Bug beküldéseSzabályok elolvasása
Teljes ranglista megtekintése

A vadászatban szereplő kliensek

Érvényes bugok

Ez a bug vadászati program az Eth2 Beacon Chain core specifikációban és a Prysm, Lighthouse, valamint Teku kliens implementációkban található bugokra fókuszál.

📒

A Beacon Chain specifikáció bugjai

A Beacon Chain specifikáció részletezi a design indoklását és az Ethereum javasolt változásait a Beacon Chain fejlesztésen keresztül.

Teljes specifikáció elolvasása
Execution Layer Specifications

Bug típusok

  • biztonságot/véglegesítést megtörő bugok.
  • szolgáltatásmegtagadás (DOS) vektorok
  • inkonzisztencia a feltételezésekben, például olyan szituációk, ahol helyesen cselekvő validátorok kerülnek megvágásra.
  • számítási vagy paraméter inkonzisztenciák.

Specifikáció dokumentumok

💻

Eth2 kliens bugok

A kliensek fogják futtatni a Beacon Chaint, amint a fejlesztés megtörténik. A klienseknek egy specifikációban meghatározott logikai halmazt kell követniük és biztonságosnak kell lenniük potenciális támadásokkal szemben. A bugokat, amiket szeretnénk megtalálni a protokoll implementációhoz kapcsolódnak.

Kizárólag a Lighthouse, Nimbus, Teku és a Prysm bugjai vannak figyelembe véve ennél a vadászatnál. Több klienst is hozzá fogunk adni, amint teljesítik az auditokat és gyártásra készen állnak.

Bug típusok

  • specifikáció nem-megfelelési problémák.
  • váratlan összeomlások vagy szolgáltatásmegtagadási (DOS) sérülékenységek.
  • bármilyen probléma, ami javíthatatlan konszenzus törést okoz a hálózat többi része számára.

Hasznos linkek

📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Hasznos linkek

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Nem tartalmazza

A shard láncok és a dokkolási fejlesztések még aktív fejlesztés alatt állnak és emiatt nem tartalmazza őket ez a vadászati program.

Bug beküldése

Minden egyes megtalált bugért pontokat kapsz. A pontok mennyisége függ a bug súlyosságától. Az Ethereum Alapítvány (EF) meghatározza a súlyosságot az OWASP módszer alkalmazásával. OWASP módszer megtekintése

Továbbá az EF pontokat ad a következők alapján:

A leírás minősége: Magasabb jutalom jár a tiszta, jól megfogalmazott beadványokért.

Reprodukálhatóság minősége: Kérjük adj meg teszt kódot, scripteket és részletes instrukciókat. Minél egyszerűbb előteremtenünk és hitelesítenünk a sérülékenységet, annál nagyobb a díj.

A javítás minősége, ha tartalmazza: Magasabb díj jár az olyan beadványokért, melyek világosan leírják a probléma javítását.

2000 DAI-ig

Alacsony

2000 DAI-ig

1000 pontig

Súlyosság

  • Kisebb hatás, közepes valószínűség
  • Közepes behatás, alacsony valószínűség

Példa

Egy támadó néha egy csomópontot olyan állapotba hozhat, ami miatt a validátor által elvégzett minden száz igazolásból egy kiesik
Alacsony kockázatú bug beadása
10 000 DAI-ig

Közepes

10 000 DAI-ig

5000 pontig

Súlyosság

  • Magas hatás, alacsony valószínűség
  • Közepes hatás, közepes valószínűség
  • Alacsony hatás, magas valószínűség

Példa

Egy támadó sikeresen végrehajthat "eclipse" támadásokat olyan csomópontokon, melyek 4 vezető nulla bájtos peer-idvel rendelkeznek
Közepes kockázatú bug beadása
20 000 DAI-ig

Magas

20 000 DAI-ig

10 000 pontig

Súlyosság

  • Magas hatás, közepes valószínűség
  • Közepes hatás, magas valószínűség

Példa

Van egy konszenzus bug két kliens között, de nehéz vagy nem praktikus a támadó számára beindítani a támadást.
Magas kockázatú bug beadása
50 000 DAI-ig

Kritikus

50 000 DAI-ig

25 000 pontig

Súlyosság

  • Magas hatás, magas valószínűség

Példa

Van egy konszenzus bug két kliens között és a támadó számára triviális beindítani a támadást.
Kritikus kockázatú bug beadása

Bug vadászat szabályok

A bug vadászat program egy kísérleti és diszkrecionális jutalomprogram aktív Ethereum közösségünk számára, hogy ösztönözze és megjutalmazza azokat, akik segítenek a platform fejlesztésében. Nem egy verseny. Tudnod kell, hogy bármikor lemondhatjuk a programot, és a díjazást az Ethereum Alapítvány bug vadászati panele határozza meg. Továbbá nem adhatunk jutalmakat olyan egyéneknek, akik szankciós listákon szerepelnek, vagy szankciós listákon lévő országokban élnek (pl. Észak-Korea, Irán stb.). Az adózásért teljes mértékben te vagy felelős. Minden díjra a vonatkozó törvények vonatkoznak. Végül a tesztelés nem sérthet semmilyen törvényt, és nem sérthet olyan adatokat, amelyek nincsenek a birtokodban.

  • Azok a problémák, amelyeket már más felhasználó beküldött vagy ismertek a specifikáció és kliens karbantartóknak, nem számítanak be a vadászat díjazásába.
  • Sérülékenységek nyilvános közzététele alkalmatlanná teszi azt a vadászatban.
  • Az Ethereum Alapítvány kutatói és az Eth2 kliens csapatok alkalmazottai nem vehetnek részt a díjazásban.
  • Az Ethereum vadászati program a díjak meghatározásánál több változót is figyelembe vesz. A jogosultság, a pontszám és a díjjal kapcsolatos feltételek meghatározása az Ethereum Alapítvány bug vadászati testületének kizárólagos és végső döntése.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Bug vadászat ranglista

Találj Eth2 bugokat és kerülj fel ranglétrára

Gyakran ismételt kérdések

Kérdések?

Küldj e-mailt nekünk: bounty@ethereum.org

✉️

Hasznosnak találtad az oldalt?