इथेरियम बग बाउन्टी प्रोग्राम

बाउन्टीजमध्ये वैशिष्ट्यीकृत क्लायंट्स

कक्षेमध्ये

आमचा बग बाउन्टी प्रोग्राम एंड-टू-एंड पसरलेला आहे: प्रोटोकॉल्सच्या सुदृढतेपासून (जसे की ब्लॉकचेन एकमत मॉडेल, वायर आणि p2p प्रोटोकॉल्स, प्रूफ-ऑफ-स्टेक (PoS), इ.) आणि प्रोटोकॉल/अंमलबजावणी अनुपालनापासून ते नेटवर्क सुरक्षा आणि एकमत अखंडतेपर्यंत. क्लासिकल क्लायंट सुरक्षा तसेच क्रिप्टोग्राफिक प्रिमिटिव्ह्जची सुरक्षा देखील या प्रोग्रामचा भाग आहेत. सर्व बग प्रकटीकरण आणि असुरक्षा सबमिशन आमच्या बग सबमिशन फॉर्म (opens in a new tab) द्वारे केले जाणे आवश्यक आहे.

तपशील बग्स

इथेरियम तपशील अंमलबजावणी स्तर आणि सहमती स्तरासाठी डिझाइनचे तर्क स्पष्ट करतात.

सहमती स्तर तपशील
अंमलबजावणी स्तर तपशील

खालील टिप्पण्या तपासणे उपयुक्त ठरू शकते:

बग्सचे प्रकार

सुरक्षा/अंतिमत्व-भंग करणारे बग्स
डिनायल ऑफ सर्व्हिस (DOS) वेक्टर्स
गृहीतकांमधील विसंगती, जसे की अशा परिस्थिती जिथे प्रामाणिक व्हॅलिडेटर्सचे स्लॅशिंग केले जाऊ शकते
गणना किंवा पॅरामीटर विसंगती

तपशील दस्तऐवज

बीकन साखळी

फोर्क निवड

Solidity ठेव करार

पीअर-टू-पीअर नेटवर्किंग

क्लायंट बग्स

क्लायंट्स इथेरियम नेटवर्क चालवतात, आणि त्यांनी तपशीलामध्ये नमूद केलेल्या लॉजिकचे पालन करणे आवश्यक आहे आणि संभाव्य हल्ल्यांपासून सुरक्षित असणे आवश्यक आहे. आम्हाला जे बग्स शोधायचे आहेत ते प्रोटोकॉलच्या अंमलबजावणीशी संबंधित आहेत.

सध्या अंमलबजावणी स्तर क्लायंट्स (बेसू, एरिगॉन, गेथ, नेदरमाइंड आणि रेथ) आणि सहमती स्तर क्लायंट्स (लाइटहाऊस, लोडस्टार, निंबस, टेकू आणि प्रिझम) बग बाउन्टी प्रोग्राममध्ये समाविष्ट आहेत.

बग्सचे प्रकार

तपशीलाचे पालन न करण्याच्या समस्या
अनपेक्षित क्रॅश, RCE किंवा डिनायल ऑफ सर्व्हिस (DOS) असुरक्षा
उर्वरित नेटवर्कपासून न भरून येणारे एकमत विभाजन (consensus splits) निर्माण करणाऱ्या कोणत्याही समस्या

उपयुक्त लिंक्स

लँग्वेज कंपायलर बग्स

Solidity आणि Vyper कंपायलर्स बग बाउन्टी प्रोग्रामच्या कक्षेत आहेत. कृपया असुरक्षा पुन्हा निर्माण करण्यासाठी आवश्यक असलेले सर्व तपशील समाविष्ट करा जसे की: बग ट्रिगर करणारा इनपुट प्रोग्राम, प्रभावित कंपायलर आवृत्ती, लक्ष्यित EVM आवृत्ती, लागू असल्यास फ्रेमवर्क/IDE, लागू असल्यास EVM अंमलबजावणी वातावरण/क्लायंट आणि ऑपरेटिंग सिस्टम. कृपया तुम्हाला सापडलेला बग पुन्हा निर्माण करण्यासाठीच्या पायऱ्या शक्य तितक्या तपशीलवार समाविष्ट करा.

Solidity आणि Vyper अविश्वासू इनपुटच्या संकलनाबाबत सुरक्षिततेची हमी देत नाहीत – आणि आम्ही दुर्भावनापूर्णपणे व्युत्पन्न केलेल्या डेटावरील कंपायलरच्या क्रॅशसाठी बक्षिसे देत नाही.

उपयुक्त लिंक्स

Solidity

Vyper

ठेव करार बग्स

बीकन साखळी ठेव कराराचे तपशील आणि सोर्स कोड बग बाउन्टी प्रोग्रामचा भाग आहेत.

उपयुक्त लिंक्स

ठेव करार तपशील
ठेव करार सोर्स कोड

डिपेंडन्सी बग्स

इथेरियम नेटवर्क कार्य करण्यासाठी काही डिपेंडन्सीज महत्त्वपूर्ण आहेत, आणि यापैकी काही बग बाउन्टी प्रोग्राममध्ये जोडल्या गेल्या आहेत. सध्या, बग बाउन्टी प्रोग्राममध्ये समाविष्ट असलेल्या डिपेंडन्सीजची यादी C-KZG-4844 आणि Go-KZG-4844 आहे.

उपयुक्त लिंक्स

C-KZG-4844
Go-ETH-KZG

कक्षेबाहेर

केवळ इन-स्कोप अंतर्गत सूचीबद्ध केलेली उद्दिष्टे बग बाउन्टी प्रोग्रामचा भाग आहेत. या प्रोग्राम अंतर्गत पात्र नसलेल्या असुरक्षांमध्ये खालील गोष्टींचा समावेश आहे:

✕पायाभूत सुविधांचे बग्स—जसे की वेबपेजेस, dns, ईमेल, इ.^*
✕ERC-20 कॉन्ट्रॅक्ट बग्स^*
✕इथेरियम नेमिंग सर्व्हिस (ENS) बग्स (ENS फाउंडेशनद्वारे व्यवस्थापित)
✕अशा असुरक्षा ज्यासाठी वापरकर्त्याने जेसॉन-आरपीसी किंवा बीकन API सारखे API सार्वजनिकरित्या उघड करणे आवश्यक आहे
✕EngineAPI विश्वसनीय मानले जाते आणि ते सार्वजनिकरित्या उघड करण्यासाठी नाही
✕टायपोग्राफिकल चुका
✕चाचण्या
✕उच्च-प्रयत्न (सतत, CPU किंवा बँडविड्थ सधन, आणि/किंवा 1 पेक्षा जास्त पॅकेट किंवा ऑनचेन व्यवहाराची आवश्यकता असलेले) सिंगल-पीअर DoS हल्ले
✕कोणत्याही सार्वजनिकरित्या ज्ञात समस्या (यामध्ये फोरम पोस्ट्स, PRs, GitHub समस्या, कमिट्स, ब्लॉग पोस्ट्स, सार्वजनिक डिस्कॉर्ड् संदेश, इ. समाविष्ट आहेत)
✕असे काहीही ज्याचा सध्या इथरियम मेननेटवर थेट परिणाम होत नाही.

^*यांचा समावेश नाही, तथापि, आम्ही कधीकधी प्रभावित पक्षांशी संपर्क साधण्यास मदत करू शकतो

बग हंटिंगचे नियम

बग बाउन्टी प्रोग्राम हा आमच्या सक्रिय इथेरियम समुदायासाठी एक प्रायोगिक आणि स्वेच्छाधीन बक्षीस प्रोग्राम आहे, जो प्लॅटफॉर्म सुधारण्यास मदत करणाऱ्यांना प्रोत्साहित करण्यासाठी आणि बक्षीस देण्यासाठी आहे. ही स्पर्धा नाही. तुम्हाला हे माहित असले पाहिजे की आम्ही हा प्रोग्राम कधीही रद्द करू शकतो, आणि बक्षिसे पूर्णपणे इथेरियम फाउंडेशन बग बाउन्टी पॅनेलच्या विवेकबुद्धीवर अवलंबून आहेत. याव्यतिरिक्त, जे व्यक्ती निर्बंधांच्या यादीत आहेत किंवा जे देश निर्बंधांच्या यादीत आहेत (उदा. उत्तर कोरिया, इराण इ.) त्यांना आम्ही बक्षिसे देऊ शकत नाही. स्थानिक कायद्यांनुसार आम्हाला तुमच्या ओळखीचा पुरावा मागणे आवश्यक आहे. सर्व करांसाठी तुम्ही जबाबदार आहात. सर्व बक्षिसे लागू कायद्याच्या अधीन आहेत. शेवटी, तुमच्या चाचणीने कोणत्याही कायद्याचे उल्लंघन करू नये किंवा तुमचा नसलेला कोणताही डेटा धोक्यात आणू नये आणि ती स्थानिक पातळीवर चालणाऱ्या टेस्टनेट्सवरच झाली पाहिजे.

1POC नसलेल्या किंवा दुसऱ्या वापरकर्त्याने आधीच सबमिट केलेल्या किंवा स्पेक आणि क्लायंट मेंटेनर्सना आधीच माहित असलेल्या समस्या बाउन्टी बक्षिसांसाठी पात्र नाहीत.
2असुरक्षिततेचे सार्वजनिक प्रकटीकरण किंवा पूर्व कराराशिवाय इतर पक्षांना त्याची तक्रार केल्यास ते बाउन्टीसाठी अपात्र ठरते.
3इथेरियम फाउंडेशनचे कर्मचारी आणि कंत्राटदार, इथेरियम फाउंडेशनचे अनुदान प्राप्तकर्ते, किंवा बाउन्टी प्रोग्रामच्या कक्षेतील क्लायंट टीम्स या प्रोग्राममध्ये केवळ पॉइंट्स मिळवण्यासाठी सहभागी होऊ शकतात आणि त्यांना आर्थिक बक्षिसे मिळणार नाहीत.
4इथेरियम बाउन्टी प्रोग्राम बक्षिसे ठरवताना अनेक चलांचा विचार करतो. पात्रता, स्कोअर आणि बक्षिसाशी संबंधित सर्व अटींचे निर्धारण पूर्णपणे आणि अंतिमरित्या इथेरियम फाउंडेशन बग बाउन्टी पॅनेलच्या विवेकबुद्धीवर अवलंबून असते.

असुरक्षा तीव्रतेची पात्रता

प्रत्येक शोधलेल्या असुरक्षिततेच्या खालील गोष्टी करण्याच्या अद्वितीय क्षमतेवर आधारित तीव्रतेचे मूल्यांकन केले जाते:

कमी तीव्रता

>0.01% व्हॅलिडेटर्सचे स्लॅशिंग करणे
सहजपणे नेटवर्क स्प्लिट्स घडवून आणणे ज्यामुळे नेटवर्कच्या >0.01% भागावर परिणाम होतो
एकच नेटवर्क पॅकेट किंवा ऑनचेन व्यवहार पाठवून नेटवर्कचा >0.01% भाग खाली आणण्यास सक्षम असणे

मध्यम तीव्रता

>1% व्हॅलिडेटर्सचे स्लॅशिंग करणे
सहजपणे नेटवर्क स्प्लिट्स घडवून आणणे ज्यामुळे नेटवर्कच्या >5% भागावर परिणाम होतो
एकच नेटवर्क पॅकेट किंवा ऑनचेन व्यवहार पाठवून नेटवर्कचा >5% भाग खाली आणण्यास सक्षम असणे

उच्च तीव्रता

>33% व्हॅलिडेटर्सचे स्लॅशिंग करणे
सहजपणे नेटवर्क स्प्लिट्स घडवून आणणे ज्यामुळे नेटवर्कच्या >33% भागावर परिणाम होतो
एकच ऑनचेन व्यवहार पाठवून नेटवर्कचा >33% भाग खाली आणण्यास सक्षम असणे

गंभीर तीव्रता

>50% व्हॅलिडेटर्सचे स्लॅशिंग करणे
EIP/स्पेसिफिकेशन किंवा क्लायंट बगचा गैरवापर करून सहजपणे अमर्याद प्रमाणात ETH तयार करणे जे नेटवर्कद्वारे अंतिम झालेले असते
सर्व EOAs मधून ETH चोरणे
सर्व EOAs मधून ETH जाळणे
एकच दुर्भावनापूर्ण ऑनचेन व्यवहार पाठवून संपूर्ण नेटवर्क खाली आणणे ज्यामुळे सर्व क्लायंट्स क्रॅश होतात

बग सबमिट करा

2,000 USD पर्यंत

कमी

2,000 USD पर्यंत

1,000 पॉइंट्सपर्यंत

कमी जोखीम बग सबमिट करा

10,000 USD पर्यंत

मध्यम

10,000 USD पर्यंत

5,000 पॉइंट्सपर्यंत

मध्यम जोखीम बग सबमिट करा

50,000 USD पर्यंत

उच्च

50,000 USD पर्यंत

10,000 पॉइंट्सपर्यंत

उच्च जोखीम बग सबमिट करा

1,000,000 USD पर्यंत

गंभीर

1,000,000 USD पर्यंत

25,000 पॉइंट्सपर्यंत

गंभीर जोखीम बग सबमिट करा

वारंवार विचारले जाणारे प्रश्न

सध्या कोणतीही अंतिम तारीख निश्चित केलेली नाही. ताज्या बातम्यांसाठी इथेरियम फाउंडेशन ब्लॉग पहा.

सबमिशन प्रमाणित झाल्यानंतर, सहसा काही दिवसांनी बक्षिसे ETH किंवा DAI मध्ये दिली जातात. स्थानिक कायद्यांनुसार आम्हाला तुमच्या ओळखीचा पुरावा मागणे आवश्यक आहे. याव्यतिरिक्त, आम्हाला तुमचा ETH पत्ता आवश्यक असेल.

आम्ही तुमचे बक्षीस तुमच्या पसंतीच्या प्रस्थापित धर्मादाय संस्थेला दान करू शकतो.

आम्ही सबमिशनला शक्य तितक्या लवकर प्रतिसाद देण्याचे ध्येय ठेवतो. AI सबमिशनमध्ये वाढ झाल्यामुळे, कृपया आम्हाला तुमच्या सबमिशनला प्रतिसाद देण्यासाठी एका आठवड्यापर्यंतचा वेळ द्या.

निनावीपणे किंवा टोपणनावाने सबमिट करणे ठीक आहे, परंतु यामुळे तुम्ही ETH/DAI बक्षिसांसाठी अपात्र ठराल. ETH/DAI बक्षिसांसाठी पात्र होण्यासाठी, आम्हाला तुमचे खरे नाव आणि तुमच्या ओळखीचा पुरावा आवश्यक आहे, जो आमच्या सुरक्षित ड्रॉप वेबसाइटवर PGP वापरून एन्क्रिप्ट केलेला असावा आणि इथेरियम फाउंडेशनमधील आमच्या कायदेशीर टीमला पाठवला जावा, जे या दस्तऐवजाचे एकमेव पुनरावलोकनकर्ते आहेत. तुमची बाउन्टी धर्मादाय संस्थेला दान करण्यासाठी तुमच्या ओळखीची आवश्यकता नाही.

जर तुम्हाला तुमचे नाव/टोपणनाव लीडरबोर्डवर प्रदर्शित करायचे नसेल तर कृपया आम्हाला कळवा.

प्रत्येक सापडलेल्या असुरक्षिततेला / समस्येला एक स्कोअर दिला जातो. बाउन्टी हंटर्सना त्यांच्या एकूण पॉइंट्सनुसार आमच्या लीडरबोर्डवर रँक केले जाते.

बग बाउन्टी प्रोग्राम