Ugrás a fő tartalomra

Fogadjuk a beadványokat

Hibavadászprogram

Keressen akár 250 000 USD-t, és kerüljön fel a ranglistára – találjon olyan hibát a protokollban, a kliensben vagy a Solidityben, amely hatással van az Ethereum-hálózatra.

Hiba beküldése(opens in a new tab)Szabályok áttekintése
A teljes ranglista megtekintése

A vadászatban részt vevő kliensek

Hatáskörön belül

A hibavadászprogramunk teljesen felöleli a folyamatot: a protokollok (például a blokklánckonszenzus-modell, az átutalási és p2p-protokollok, proof-of-stake stb.) stabilitásától és a protokoll/megvalósítás megfelelőségétől kezdve a hálózatbiztonságig és a konszenzusintegritásig. A klasszikus kliensbiztonság és a kriptográfiai primitívek (blokktitkosítók) biztonsága egyaránt része a programnak. Kétség esetén kérdéseit a bounty@ethereum.org címre várjuk.

Specifikációs hibák

Az Ethereum-specifikáció részletesen leírja a végrehajtási és a konszenzusréteg tervezése során figyelembe vett szempontokat.

Konszenzusréteg specifikációk(opens in a new tab)
Végrehajtási réteg specifikációk(opens in a new tab)

Hasznos lehet megnézni a következő jegyzeteket:

Hibatípusok

  • Biztonságot/véglegességet megtörő hibák
  • Szolgáltatásmegtagadási (DOS) vektorok
  • Inkonzisztencia a feltételezésekben, például olyan szituációk, ahol a becsületesen eljáró validátorok letétjét megvághatja a rendszer
  • Számítási vagy paraméterinkonzisztenciák

Specifikációdokumentumok

Klienshibák

A kliensek futtatják az Ethereum-hálózatot, követniük kell a specifikációban meghatározott logikát, és biztonságban kell lenniük a potenciális támadásokkal szemben. Az általunk keresett hibák a protokollimplementációhoz kapcsolódnak.

Jelenleg a végrehajtási réteg kliensei (Besu, Erigon, Geth és Nethermind) és a konszenzus réteg kliensei (Lighthouse, Lodestar, Nimbus, Teku és Prysm) szerepelnek a Bug Bounty Programban. További kliensek is bekerülhetnek a programba, amint befejezik az ellenőrzéseket és készen állnak a használatra. Jelenleg a c-kzg-4844(opens in a new tab) és a go-kzg-4844(opens in a new tab) is szerepel a hibavadászprogramban.

Hibatípusok

  • A specifikációnak nem felel meg a működés
  • Váratlan összeomlások, távoli kódfuttatással (RCE) vagy szolgáltatásmegtagadással (DOS) kapcsolatos sérülékenységek
  • Bármilyen probléma, amely javíthatatlan konszenzustörést okoz a hálózat többi részével szemben

Solidity-hibák

A hatókör tartalmával kapcsolatos további részletekért tekintse meg a Solidity SECURITY.MD állományt.

A Solidity nem tartalmaz biztonsági garanciákat a nem megbízható bemeneti adatok fordításával kapcsolatban, továbbá nem jár jutalom azért, ha a solc fordító rossz szándékkal generált adatok miatt leáll.

A letéti szerződés hibái

A Beacon lánc letéti szerződésének specifikációi és forráskódja része a hibavadászprogramnak.

Hatókörön kívüli

Csak a hatókörön belüli besorolásban szereplő célok vesznek részt a hibavadászprogramban. Ez azt jelenti, hogy például az infrastruktúra – a weblapok, DNS-címek, emailek stb. – nem része a hibavadászatnak. Az ERC20-szerződéshez kapcsolódó hibák általában véve nem vesznek részt a hibavadászatban. Mindazonáltal ilyen esetekben segíthetünk kapcsolatba lépni az érintett felekkel, például a szerzőkkel vagy tőzsdékkel. Az ENS-t az ENS Alapítvány kezeli, és a hibavadászat hatókörén kívül esik. Szintén kívül esnek azok a gyenge pontok, amelyeknél a felhasználónak nyilvánossá kellene tenni egy API-t, mint amilyen a JSON-RPC vagy a Beacon API.

Hiba beküldése

Minden megtalált és érvényes hibáért jutalmat kap. A kapott jutalom összege a hiba súlyosságától függ. A hibák súlyosságát az OWASP kockázatminősítési modellel összhangban, az Ethereum-hálózatra gyakorolt hatás és bekövetkezés valószínűsége alapján számítjuk ki. Az OWASP-módszer megtekintése(opens in a new tab)

Az Ethereum Alapítvány (EF) a következők alapján is jutalmaz:

A leírás minősége: magasabb jutalom jár az egyértelmű, jól megfogalmazott beadványokért.

Reprodukálhatóság minősége: a jutalomjogosultsághoz az elképzelés működését igazolni is kell (Proof of Concept, POC). Kérjük, adja meg a tesztkódot, szkripteket és részletes instrukciókat is. Minél egyszerűbb reprodukálnunk és ellenőriznünk a sérülékenységet, annál nagyobb a jutalom.

A javítás minősége, ha tartalmazza: magasabb díj jár az olyan beadványokért, amelyek világosan leírják a probléma javításának módját.

legfeljebb 2000 USD

Alacsony

legfeljebb 2000 USD

legfeljebb 1000 pont


Súlyosság

  • Kicsi hatás, közepes valószínűség
  • Közepes hatás, alacsony valószínűség

Példa

A támadó néha olyan állapotba tud hozni egy csomópontot, amely miatt a csomópont egy validátor által kiadott minden 100 tanúsításból egyet kihagy.
Alacsony kockázatú hiba beadása(opens in a new tab)
legfeljebb 10 000 USD

Közepes

legfeljebb 10 000 USD

legfeljebb 5000 pont


Súlyosság

  • Nagy hatás, alacsony valószínűség
  • Közepes hatás, közepes valószínűség
  • Kicsi hatás, magas valószínűség

Példa

A támadó sikeres „eclipse” vagy elszigetelési támadásokat tud végrehajtani olyan csomópontokon, amelyek peer-azonosítójának elején négy nulla áll
Közepes kockázatú hiba beadása(opens in a new tab)
legfeljebb 50 000 USD

Magas

legfeljebb 50 000 USD

legfeljebb 10 000 pont


Súlyosság

  • Nagy hatás, közepes valószínűség
  • Közepes hatás, magas valószínűség

Példa

A támadó sikeresen particionálni tudja a hálózat nagy részeit, és egy támadó számára triviális dolog kiváltani a sebezhetőséget.
Magas kockázatú hiba beadása(opens in a new tab)
legfeljebb 250 000 USD

Kritikus

legfeljebb 250 000 USD

legfeljebb 25 000 pont


Súlyosság

  • Nagy hatás, magas valószínűség

Példa

A támadó képes sikeres távoli kódvégrehajtást folytatni egy többségi kliensen, és egy támadó számára triviális dolog kiváltani a sebezhetőséget.
Kritikus kockázatú hiba beadása(opens in a new tab)

A hibavadászat szabályai

A hibavadászprogram egy kísérleti és önkéntes alapú jutalomprogram az aktív Ethereum-közösségünk számára, hogy ösztönözze és megjutalmazza azokat, akik segítenek a platform fejlesztésében. Ez nem egy verseny. Tudnia kell, hogy bármikor lemondhatjuk a programot, és a díjazásról az Ethereum Alapítvány hibavadászati testülete dönt. Továbbá nem adhatunk jutalmakat olyan egyéneknek, akik szankciós listákon szerepelnek, vagy szankciós listákon lévő országokban élnek (pl. Észak-Korea, Irán stb.). A helyi jogszabályok megkövetelik, hogy ellenőrizzük az Ön kilétét. Az adózásért teljes mértékben Ön felel. Minden díj a vonatkozó jogszabályok hatálya alá tartozik. Végül a tesztelés nem sérthet semmilyen jogszabályt, nem veszélyeztethet más tulajdonát képező adatokat, és csak helyben működő teszthálózatokon végezhető.

  • Nem jogosít vadászjutalomra a POC nélküli probléma, vagy az, amelyet egy másik felhasználó már benyújtott, vagy amelyet a specifikáció- és klienskarbantartók már ismernek.
  • Egy sebezhetőség után nem jár jutalom, ha azt nyilvánosan közzéteszik.
  • Az Ethereum Alapítvány munkavállalói és szerződött felei, illetve a hibavadász program hatókörébe tartozó klienscsapatok kizárólag pontokat gyűjthetnek a program keretein belül, de pénzügyi jutalomban nem részesülhetnek.
  • Az Ethereum hibavadászprogram a jutalmak meghatározásánál több tényezőt is figyelembe vesz. A jogosultságról, a pontszámról és a díjjal kapcsolatos feltételekről az Ethereum Alapítvány hibavadászati testülete saját hatáskörben hoz végleges döntést.

A végrehajtási réteg hibavadászranglistája

Találjon hibát a végrehajtási rétegben, és kerüljön fel a ranglistára

A konszenzusréteg hibavadászranglistája

Találjon hibát a konszenzusrétegben, és kerüljön fel a ranglistára

Gyakran ismételt kérdések

Kérdése van?

Küldjön e-mailt: bounty@ethereum.org(opens in a new tab)

Hasznosnak találta az oldalt?