Fogadjuk a beadványokat
Hibavadász program
Keressen akár 250 000 USD-t, és kerüljön fel a ranglistára – találjon olyan hibát a protokollban, a kliensben vagy a nyelvi fordítóban, amely hatással van az Ethereum-hálózatra.
A vadászatban részt vevő kliensek
Hatáskörön belül
A hibavadászprogramunk teljesen felöleli a folyamatot: a protokollok (például a blokklánckonszenzus-modell, az átutalási és p2p-protokollok, proof-of-stake stb.) stabilitásától és a protokoll/megvalósítás megfelelőségétől kezdve a hálózatbiztonságig és a konszenzusintegritásig. A klasszikus kliensbiztonság és a kriptográfiai primitívek (blokktitkosítók) biztonsága egyaránt része a programnak. Kétség esetén kérdéseit a bounty@ethereum.org címre várjuk. Közvetlenül a bounty@ethereum.org címre is küldhet felfedést/sebezhetőséget, ebben az esetben kérjük, hogy az üzenetet a PGP Key használatával titkosítsa.
Specifikációs hibák
Az Ethereum-specifikáció részletesen leírja a végrehajtási és a konszenzusréteg tervezés során figyelembe vett szempontokat.
Végrehajtási réteg – specifikációk
Hasznos lehet megnézni a következő jegyzeteket:
Hibatípusok
- Biztonságot/véglegességet megtörő hibák
- Szolgáltatásmegtagadási (DOS) vektorok
- Inkonzisztencia a feltételezésekben, például olyan szituációk, ahol a becsületesen eljáró validátorok letétjét megvághatja a rendszer
- Számítási vagy paraméter-inkonzisztenciák
Specifikációdokumentumok
Klienshibák
A kliensek futtatják az Ethereum-hálózatot, követniük kell a specifikációban meghatározott logikát, és biztosítaniuk kell a potenciális támadásokkal szemben. Az általunk keresett hibák a protokollimplementációhoz kapcsolódnak.
A hibavadászprogramban jelenleg a végrehajtásiréteg-kliensek (Besu, Erigon, Geth, Nethermind és Reth), valamint a konszenzusréteg-kliensek (Lighthouse, Lodestar, Nimbus, Teku és Prysm) vesznek részt. További kliensek is felvehetők, amint teljesítik az auditokat, és felkészülnek az éles működésre.
Hibatípusok
- Specifikáció – megfelelőségi problémák
- Váratlan összeomlások, távoli kódfuttatással (RCE) vagy szolgáltatásmegtagadási (DOS) szembeni sérülékenységek
- Bármilyen probléma, amely javíthatatlan konszenzustörést okoz a hálózat többi részével szemben
Nyelvátfordító hibák
A Solidity és a Vyper átfordítók a hibavadász program hatálya alá tartoznak. Kérjük, adjon meg minden szükséges adatot a sebezhetőség reprodukálásához, például: A hibát kiváltó bemeneti programot, az érintett fordító verzióját, a cél EVM-verziót, adott esetben a keretrendszert/IDE-t, adott esetben az EVM végrehajtási környezetet/klienst és az operációs rendszert. A lehető legrészletesebben írja le a megtalált hiba reprodukálásához szükséges lépéseket.
A Solidity és a Vyper nem tartalmaz biztonsági garanciákat a nem megbízható bemeneti adatok fordításával kapcsolatban, továbbá nem jár jutalom azért, ha a fordító rossz szándékkal generált adatok miatt leáll.
Letéti szerződés – hibák
A Beacon lánc letéti szerződésének specifikációi és forráskódja része a hibavadász programnak.
Egymásra épülésből eredő hibák
Bizonyos egymásra épülések vagy összefüggések elengedhetetlenek az Ethereum-hálózat működéséhez, és ezek részei lettek a hibavadász programnak. Jelenleg ezek a C-KZG-4844 és a Go-KZG-4844.
Hatókörön kívüli
Csak a hatókörön belüli besorolásban szereplő célok vesznek részt a hibavadászprogramban. Ez azt jelenti, hogy például az infrastruktúra – a weblapok, DNS-címek, e-mailek stb. – nem része a hibavadászatnak. Az ERC20-szerződéshez kapcsolódó hibák általában véve nem vesznek részt a hibavadászatban. Mindazonáltal ilyen esetekben segíthetünk kapcsolatba lépni az érintett felekkel, például a szerzőkkel vagy tőzsdékkel. Az ENS-t az ENS Alapítvány kezeli, és a hibavadászat hatókörén kívül esik. Szintén kívül esnek azok a gyenge pontok, amelyeknél a felhasználónak nyilvánossá kellene tenni egy API-t, mint amilyen a JSON-RPC vagy a Beacon API.
Hiba beküldése
Minden megtalált és érvényes hibáért jutalmat kap. A kapott jutalom összege a hiba súlyosságától függ. A hibák súlyosságát az OWASP kockázatminősítési modellel összhangban, az Ethereum-hálózatra gyakorolt hatás és bekövetkezés valószínűsége alapján számítjuk ki. Az OWASP-módszer megtekintése
Az Ethereum Alapítvány (Ethereum Foundation – EF) a következők alapján is jutalmaz:
A leírás minősége: magasabb jutalom jár az egyértelmű, jól megfogalmazott beadványokért.
Reprodukálhatóság minősége: a jutalomjogosultsághoz az elképzelés működését igazolni is kell (Proof of Concept, POC). Kérjük, adja meg a tesztkódot, szkripteket és részletes instrukciókat is. Minél egyszerűbb reprodukálnunk és ellenőriznünk a sérülékenységet, annál nagyobb a jutalom.
A javítás minősége, ha tartalmazza: magasabb díj jár az olyan beadványokért, amelyek világosan leírják a probléma javításának módját.
Alacsony
legfeljebb 2000 USD
legfeljebb 1000 pont
Súlyosság
- Kicsi hatás, közepes valószínűség
- Közepes hatás, alacsony valószínűség
Példa
Közepes
legfeljebb 10 000 USD
legfeljebb 5000 pont
Súlyosság
- Nagy hatás, alacsony valószínűség
- Közepes hatás, közepes valószínűség
- Kicsi hatás, magas valószínűség
Példa
Magas
legfeljebb 50 000 USD
legfeljebb 10 000 pont
Súlyosság
- Nagy hatás, közepes valószínűség
- Közepes hatás, magas valószínűség
Példa
Kritikus
legfeljebb 250 000 USD
legfeljebb 25 000 pont
Súlyosság
- Nagy hatás, magas valószínűség
Példa
Hibavadászat – szabályok
A hibavadász program egy kísérleti és önkéntes alapú jutalomprogram aktív Ethereum-közösségünk számára, hogy ösztönözze és megjutalmazza azokat, akik segítenek a platform fejlesztésében. Ez nem egy verseny. Tudnia kell, hogy bármikor lemondhatjuk a programot, és a díjazásról az Ethereum Alapítvány hibavadászati testülete dönt. Továbbá nem adhatunk jutalmakat olyan egyéneknek, akik szankciós listákon szerepelnek, vagy szankciós listákon lévő országokban élnek (pl. Észak-Korea, Irán stb.). A helyi jogszabályok megkövetelik, hogy ellenőrizzük az Ön kilétét. Az adózásért teljes mértékben Ön felel. Minden díj a vonatkozó jogszabályok hatálya alá tartozik. Végül a tesztelés nem sérthet semmilyen jogszabályt, nem veszélyeztethet más tulajdonát képező adatokat, és csak helyben működő teszthálózatokon végezhető.
- Nem jogosít vadászjutalomra a POC nélküli probléma, vagy az, amelyet egy másik felhasználó már benyújtott, vagy amelyet a specifikáció- és klienskarbantartók már ismernek.
- Ha valaki az adott sebezhetőséget nyilvánosságra hozza vagy előzetes megállapodás nélkül bejelenti azt más feleknek, akkor nem jogosult jutalomra.
- Az Ethereum Alapítvány munkavállalói és szerződött felei, illetve a hibavadász program hatókörébe tartozó klienscsapatok kizárólag pontokat gyűjthetnek a program keretein belül, de pénzügyi jutalomban nem részesülhetnek.
- Az Ethereum hibavadász program a jutalmak meghatározásánál több tényezőt is figyelembe vesz. A jogosultságról, a pontszámról és a díjjal kapcsolatos feltételekről az Ethereum Alapítvány hibavadászati testülete saját hatáskörben hoz végleges döntést.
Gyakran ismételt kérdések
Kérdése van?
Küldjön e-mailt: bounty@ethereum.org