Oddajanje vlog je odprto
Program z nagradami za odpravljanje napak
Z iskanjem napak v protokolu, odjemalcih in jeziku Solidity, ki vplivajo na Ethereumovo omrežje, si lahko prislužite do 250.000 USD in se uvrstite na lestvico vodilnih.
Odjemalci, vključeni v programe z nagradami
V obsegu
Naš program z nagradami za odpravljanje napak je celovit: obsega vse od ustreznosti protokolov (med drugim modela za doseganje soglasja na verigi blokov, protokolov za povezovanje enakovrednih odjemalcev, mehanizmu dokaza o deležu) in skladnosti protokolov/implementacije do varnosti omrežja in celovitosti mehanizma za doseganje soglasja. Del programa sta tudi klasična varnost odjemalcev in varnost kriptografskih prvin. Če ste glede česarkoli v dvomih, pošljite e-poštno sporočilo na bounty@ethereum.org in nas vprašajte.
Napake v specifikacijah
V specifikacijah Ethereuma so podrobno razloženi razlogi za zasnovo izvajalne plasti in plasti za soglasje.
Specifikacije izvajalne plasti
Morda vam bo v pomoč, če si ogledate naslednje opombe:
Vrste napak
- Napake, ki razveljavljajo varnost/dokončnost
- Vektorji zavrnitve storitve (DOS)
- Neskladnosti pri domnevah, kot so okoliščine, kjer se lahko zmanjšajo nagrade poštenih validatorjev
- Neskladnosti pri izračunih ali parametrih
Napake odjemalcev
Odjemalci poganjajo Ethereumovo omrežje, pri tem pa morajo slediti logiki, določeni v specifikaciji, in zagotoviti zaščito pred morebitnimi napadi. Napake, ki jih iščemo, so povezane z izvedbo protokola.
Trenutno so v programu z nagradami za iskanje napak vključeni odjemalci na izvajalni plasti (Besu, Erigon, Geth in Nethermind) ter odjemalci na plasti za soglasje (Lighthouse, Lodestar, Nimbus, Teku in Prysm). Morda bomo dodali tudi druge odjemalce, ko bo zaključena njihova revizija in bodo pripravljeni za uvedbo.
Vrste napak
- Težave z neskladnostjo specifikacije
- Nepričakovane zrušitve in ranljivosti za oddaljeno izvajanje kode ali zavrnitev storitve (DOS)
- Vse težave, ki povzročijo nepopravljiva razhajanja glede soglasja od preostalega omrežja
Napake v jeziku Solidity
Za več podrobnosti o tem, kaj je vključeno v ta obseg, si oglejte datoteko SECURITY.MD jezika Solidity.
Solidity ne jamči za varno prevarjanje vhodnih podatkov, ki niso zaupanja vredni. Prav tako ne podeljujemo nagrad za odkrite zrušitve prevajalnika solc pri ustvarjenih zlonamernih podatkih.
Napake v pogodbah za polog
Specifikacije in izvorna koda pogodb za polog oddajniške verige so del programa z nagradami za iskanje napak.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Izven obsega
Samo cilji, navedeni v obsegu, so del programa z nagradami za odpravljanje napak. To pomeni, da na primer naša infrastruktura, kot so spletne strani, strežniki DNS, e-pošta itd., niso del obsega programa. Napake v pogodbah ERC20 običajno niso vključene v obseg programa. Vseeno vam lahko v takih primerih pomagamo, da se obrnete na zadevne stranke, na primer avtorje ali menjalnice. Storitev ENS vzdržuje fundacija ENS in ni del obsega programa.
Pošlji napako
Z vsako najdeno veljavno napako si boste prislužili nagrado. Vsota nagrade je odvisna od resnosti. Resnost se izračuna po modelu za oceno tveganja OWASP glede na vpliv na Ethereumovo omrežje in verjetnost pojavitve. Ogled metode OWASP
Fundacija EF bo nagrade dodeljevala tudi glede na:
Kakovost opisa: višje nagrade so izplačane za jasne in kakovostno napisane predložitve.
Kakovost možnosti poustvarjanja: Če želite biti upravičeni do nagrad, morate vključiti dokaz koncepta. Priložite testno kodo, skripte in podrobna navodila. Lažje kot bomo reproducirali in preverili ranljivost, višja bo nagrada.
Kakovost popravka, če je vključena: Višje nagrade so izplačane za vloge z jasnim opisom odpravljanja težave.
Nizko
Do 2.000 USD
Do 1.000 točk
Resnost
- Nizek vpliv, srednja verjetnost
- Srednji vpliv, nizka verjetnost
Primer
Srednje
Do 10.000 USD
Do 5.000 točk
Resnost
- Visok vpliv, nizka verjetnost
- Srednji vpliv, srednja verjetnost
- Nizek vpliv, visoka verjetnost
Primer
Visoko
Do 50.000 USD
Do 10.000 točk
Resnost
- Visok vpliv, srednja verjetnost
- Srednji vpliv, visoka verjetnost
Primer
Kritično
Do 250.000 USD
Do 25.000 točk
Resnost
- Visok vpliv, visoka verjetnost
Primer
Pravila za iskanje napak
Program z nagradami za iskanje napak je eksperimentalen in diskrecijski program nagrad za aktivno Ethereumovo skupnost, s katerim spodbujamo in nagrajujemo vse, ki pomagajo izboljšati platformo. To ni tekmovanje. Zavedati se morate, da lahko program kadarkoli prekličemo, nagrade pa se dodeljujejo po izključni presoji odbora za program z nagradami za odkrivanje napak fundacije Ethereum Foundation. Poleg tega ne moremo dodeljevati nagrad posameznikom, ki so na seznamih sankcij ali so v državah, ki so na seznamih sankcij (npr. Severna Koreja, Iran itd.). Lokalna zakonodaja od nas zahteva, da vas prosimo za dokaz o vaši identiteti. Sami ste odgovorni za davke. Za vse nagrade velja upoštevna zakonodaja. Vaše preskušanje ne sme kršiti nobenega zakona ali ogrožati morebitnih podatkov, ki niso vaši, izvajati pa ga morate v testnih omrežjih, ki se izvajajo lokalno.
- Težave brez dokaza o konceptu ali težave, ki so jih že predložili drugi uporabniki ali jih vzdrževalci specifikacij in odjemalcev že poznajo, niso upravičene do nagrad za odkrivanje napak.
- V primeru javnega razkritja ranljivost ni upravičena do nagrade.
- Zaposleni in pogodbeniki fundacije Ethereum Foundation ali ekipa za odjemalce, vključene v program z nagradami, lahko v programu samo zbira točke in ne bo prejemala denarnih nagrad.
- Ethereumov program za odkrivanje napak pri določanju nagrad upošteva številne spremenljivke. Odločitve glede upravičenosti, rezultata in vseh pogojev, povezanih z nagrado, se sprejemajo po izključni in končni presoji odbora za program nagrad za odkrivanje napak fundacije Ethereum Foundation.
Pogosta vprašanja
Imate vprašanja?
Pošljite nam e-pošto: bounty@ethereum.org