Przejdź do głównej zawartości

Pomóż w przetłumaczeniu tej strony

🌏

Widzisz tę stronę w języku angielskim, ponieważ jeszcze nie została przetłumaczona. Pomóż nam ją przetłumaczyć.

Przetłumacz stronę

Brak błędów!🐛

Ta strona nie jest tłumaczona. Na razie celowo zostawiliśmy tę stronę w języku angielskim.

Otwarte na zgłoszenia

Nagrody za błędy Eth2 🐛
Zarabiaj do 50 000 USD i miejsca na tablicy wyników, wykrywając błędy klienta i protokołu Eth2.
Prześlij błądPrzeczytaj zasady
Zobacz pełną tablicę wyników

Klienty uwzględnione w nagrodach

Ważne błędy

Ten program nagród za błędy koncentruje się na znajdowaniu błędów w podstawowej specyfikacji łańcucha śledzącego Eth2 oraz implementacji klientów Prysm, Lighthouse i Teku.

📒

Błędy specyfikacji łańcucha śledzącego

Specyfikacja łańcucha śledzącego szczegółowo opisuje uzasadnienie projektu i proponowane zmiany w Ethereum poprzez aktualizację łańcucha śledzącego.

Przeczytaj pełną specyfikację
Execution Layer Specifications

Typy błędów

  • błędy naruszające bezpieczeństwo/nieodwołalność.
  • wektory ataków odmowy usługi (DOS)
  • niespójności w założeniach, takie jak sytuacje, w których można odciąć uczciwych walidatorów.
  • obliczenia lub niezgodności parametrów.

Dokumentacja specyfikacji

💻

Błędy klienta Eth2

Klienty będą uruchamiać łańcuch śledzący po wdrożeniu uaktualnienia. Będą musiały działać zgodnie z logiką przedstawioną w specyfikacji i muszą być zabezpieczone przed potencjalnymi atakami. Błędy, które chcemy znaleźć, są związane z implementacją protokołu.

Obecnie błędy Lighthouse, Nimbus, Teku i Prysm kwalifikują się do tej nagrody. Więcej klientów może zostać dodanych po zakończeniu audytów i osiągnięciu gotowości produkcyjnej.

Typy błędów

  • problemy z niezgodnością specyfikacji.
  • nieoczekiwane awarie lub odmowa usługi (DOS).
  • wszelkie problemy powodujące nieodwracalne oddzielenie konsensusu od reszty sieci.

Przydatne linki

📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Przydatne linki

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Nieuwzględniona

Łańcuch odłamkowy i ulepszenia dokowania są nadal aktywnie rozwijane i dlatego nie są jeszcze uwzględnione jako część tego programu nagród.

Prześlij błąd

Za każdy znaleziony błąd otrzymasz punkty. Zdobyte punkty zależą od powagi błędu. Fundacja Ethereum Foundation (EF) określa powagę metodą OWASP. Wyświetl metodę OWASP

EF przyzna również punkty na podstawie:

Jakość opisu: Wyższe nagrody są wypłacane za jasne, dobrze napisane zgłoszenia.

Jakość odtwarzalności: Podaj kod testowy, skrypty i szczegółowe instrukcje. Im łatwiej nam odtworzyć i zweryfikować podatność na zagrożenia, tym wyższa nagroda.

Jakość naprawy jeśli są uwzględnione: wyższe nagrody są wypłacane za zgłoszenia z jasnym opisem sposobu rozwiązania problemu.

Do 2000 DAI

Niskie

Do 2000 DAI

Do 1000 punktów

Powaga zgłoszenia

  • Niski wpływ, średnie prawdopodobieństwo
  • Średni wpływ, niskie prawdopodobieństwo

Przykład

Atakujący może czasami wprowadzić węzeł w stan, który powoduje odrzucenie jednego na sto potwierdzeń dokonanych przez walidatora
Prześlij błąd niskiego ryzyka
Do 10 000 DAI

Średni

Do 10 000 DAI

Do 5000 punktów

Powaga zgłoszenia

  • Wysoki wpływ, niskie prawdopodobieństwo
  • Średni wpływ, średnie prawdopodobieństwo
  • Niski wpływ, wysokie prawdopodobieństwo

Przykład

Atakujący może z powodzeniem przeprowadzać ataki typu eclipse (zaćmienia informacji) na węzły z identyfikatorami równorzędnymi z 4 wiodącymi bajtami zerowymi
Prześlij błąd średniego ryzyka
Do 20 000 DAI

Wysoki

Do 20 000 DAI

Do 10 000 punktów

Powaga zgłoszenia

  • Wysoki wpływ, średnie prawdopodobieństwo
  • Średni wpływ, wysokie prawdopodobieństwo

Przykład

Istnieje błąd konsensusu między dwoma klientami, ale wywołanie zdarzenia przez atakującego jest trudne lub niewykonalne.
Prześlij błąd krytycznego ryzyka
Do 50 000 DAI

Krytyczny

Do 50 000 DAI

Do 25 000 punktów

Powaga zgłoszenia

  • High impact, high likelihood

Przykład

Istnieje błąd konsensusu między dwoma klientami, ale wywołanie zdarzenia przez atakującego jest trudne lub niewykonalne.
Prześlij błąd krytycznego ryzyka

Reguły polowań na błędy

Program bug bounty to eksperymentalny i uznaniowy program nagród dla naszej aktywnej społeczności Ethereum, który ma zachęcać i nagradzać tych, którzy pomagają ulepszać platformę. To nie zawody. Trzeba wiedzieć, że możemy anulować program w dowolnym momencie, a nagrody są w wyłącznej gestii panelu nagród za błędy Fundacji Ethereum. Ponadto nie jesteśmy w stanie przyznawać nagród osobom, które znajdują się na listach objętych sankcjami lub znajdują się w krajach objętych listami sankcyjnymi (np. Korea Północna, Iran itp.). Jesteś odpowiedzialny za wszystkie podatki. Wszystkie nagrody podlegają obowiązującym przepisom prawa. Wreszcie, Twoje testy nie mogą naruszać żadnego prawa ani narażać żadnych nienależących do Ciebie danych.

  • Błędy, które zostały już zgłoszone przez innego użytkownika lub są już znane specjalistom i administratorom klienta, nie kwalifikują się do nagród.
  • Publiczne ujawnienie luki powoduje, że nie może ona zostać uznana za kwalifikację do nagrody.
  • Naukowcy Fundacji Ethereum i pracownicy zespołów klientów Eth2 nie kwalifikują się do otrzymania nagród.
  • Program nagród Ethereum bierze pod uwagę liczbę zmiennych przy określaniu nagród. Ustalenia kwalifikowalności, wyniku i wszystkich warunków związanych z nagrodą zależą od wyłącznej i ostatecznej decyzji panelu nagród za błędy Fundacji Ethereum.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Tablica wyników polowań na błędy

Znajdź błędy Eth2, aby zostać dodanym do tej tablicy wyników

Najczęściej zadawane pytania (FAQ)

Pytania?

Napisz do nas: bounty@ethereum.org

✉️

Czy ta strona była pomocna?