Ana içeriğe geç

Başvurulara açık

Hata Ödülü Programı

Ethereum ağını etkileyen protokol, istemci ve Solidity hatalarını bularak 250.000 ABD Dolarına kadar ödül kazanın ve lider panosunda yer alın.

Hata bildirin(opens in a new tab)Kuralları okuyun
Lider tablolarının tamamını görün

Ödüllerde yer alan istemciler

Kapsam dahilinde

Hata ödül programımız uçtan uca kapsama sahiptir. Protokollerin sağlamlığından (blokzincir mutabakat modeli, kablo ve p2p protokolleri, hisse ispatı, vb.) ve protokol/uygulama uyumluluğundan ağ güvenliği ve mutabakat bütünlüğüne kadar her şeyi içerir. Klasik istemci güvenliği ve kriptografik ilkelere yönelik güvenlik de programın bir parçasıdır. Şüpheniz olduğunda bounty@ethereum.org adresine bir e-posta gönderin ve bize danışın. Ayrıca bir açıklamayı/güvenlik açığını doğrudan bounty@ethereum.org (opens in a new tab) adresine de gönderebilirsiniz; bu durumda mesajı PSG Anahtarımız(opens in a new tab) ile şifrelemenizi rica ederiz

Spesifikasyon hataları

Ethereum Spesifikasyonları, Yürütüm Katmanı ve Fikir Birliği Katmanı için tasarım mantığını detaylandırır.

Fikir Birliği Katmanı Spesifikasyonları(opens in a new tab)
Yürütüm Katmanı Spesifikasyonları(opens in a new tab)

Hata türleri

  • Güvenlik/kesinlik bozan hatalar
  • Hizmet reddi (DOS) vektörleri
  • Dürüst doğrulayıcıların kesilebileceği durumlar gibi varsayım tutarsızlıkları
  • Hesaplama veya parametre tutarsızlıkları

İstemci hataları

İstemciler Ethereum Ağı'nı çalıştırır ve spesifikasyonda belirtilen mantığı takip etmeleri ve olası saldırılara karşı güvende olmaları gerekir. Bulmak istediğimiz hatalar, protokolün uygulanmasıyla ilgilidir.

Şu anda yürütüm katmanı istemcileri (Besu, Erigon, Geth, Nethermind ve Reth) ve fikir birliği katmanı istemcileri (Lighthouse, Lodestar, Nimbus, Teku ve Prysm), Hata Ödülü Programına dahil edilmiştir. Denetimleri tamamlayıp üretime hazır hale geldikçe daha fazla istemci eklenebilir.

Hata türleri

  • Spesifikasyon uyumsuzluk sorunları
  • Beklenmeyen çökmeler, RCE veya hizmet reddi (DOS) güvenlik açıkları
  • Ağın geri kalanından onarılamaz mutabakat ayrılıklarına yol açan tüm sorunlar

Solidity hataları

Bu kapsama nelerin dahil olduğu hakkında daha fazla ayrıntı için Solidity SECURITY.MD'ye bakın.

Solidity, güvenilmeyen girdilerin derlenmesiyle ilgili güvenlik garantilerine sahip değildir; biz de, solc derleyicisinin kötü amaçla oluşturulmuş veriler üzerindeki çökmeleri için ödül vermiyoruz.

Mevduat Sözleşmesi hataları

İşaret Zinciri Mevduat Sözleşmesinin spesifikasyonu ve kaynak kodu, hata ödülü programının bir parçasıdır.

Bağımlılık hataları

Bazı bağımlılıklar, Ethereum Ağı'nın çalışması açısından kritik öneme sahiptir ve bunlardan bazıları hata ödül programına eklenmiştir. Şu anda, hata ödül programına dahil olan bağımlılıklar C-KZG-4844 ve Go-KZG-4844'tür.

Kapsam dışı

Yalnızca kapsam dahilinde listelenen hedefler Hata Ödülü Programının bir parçasıdır. Bu, örneğin web sayfaları, dns, e-posta gibi altyapı unsurlarımızın ödül kapsamının bir parçası olmadığı anlamına gelir. ERC20 sözleşme hataları genellikle ödül kapsamına dahil edilmez. Ancak, bu gibi durumlarda yazarlar veya borsalar gibi etkilenen taraflara ulaşılmasına yardımcı oluruz. ENS, ENS vakfı tarafından sürdürülür ve ödül kapsamının bir parçası değildir. Kullanıcının JSON-RPC veya Beacon API gibi halka açık bir API'ye sahip olmasını gerektiren açıklıklar hata ödülü programının kapsamı dışındadır.

Hata bildirin

Bulduğunuz her geçerli hata için ödül kazanacaksınız. Verilen ödüllerin miktarı, Önem Derecesine bağlı olarak değişecektir. Önem derecesi, Ethereum Ağı Üzerindeki Etki ve Olabilirlik temelinde OWASP risk derecelendirme modeline göre hesaplanır. OWASP yöntemini görüntüle(opens in a new tab)

EF, ayrıca aşağıdakilere dayalı olarak da ödüller verecektir:

Açıklamanın kalitesi: Açık, iyi yazılmış başvurular için daha yüksek ödüller ödenir.

Tekrarlanabilirlik kalitesi: Ödüllere, uygun kabul edilebilmeleri için bir Kavram Kanıtı (POC) eklenmelidir. Lütfen test kodunu, komut dosyalarını ve ayrıntılı talimatları ekleyin. Güvenlik açığını yeniden oluşturmak ve doğrulamak bizim için ne kadar kolay olursa, ödül de o kadar yüksek olur.

Dahilse çözüm kalitesi: Sorunun nasıl çözüleceğine dair net bir açıklama içeren başvurular için daha yüksek ödüller ödenir.

2.000 ABD Dolarına kadar

Düşük

2.000 ABD Dolarına kadar

1.000 puana kadar

Önem Derecesi

  • Düşük etki, orta olasılık
  • Orta etki, düşük olasılık

Örnek

Saldırgan bazen bir düğümü, doğrulayıcı tarafından yapılan her yüz onaydan birini bırakmasına neden olacak bir duruma getirebilir
Düşük riskli hata bildirin(opens in a new tab)
10.000 ABD Dolarına kadar

Medium

10.000 ABD Dolarına kadar

5.000 puana kadar

Önem Derecesi

  • Yüksek etki, düşük olasılık
  • Orta etki, orta olasılık
  • Düşük etki, yüksek olasılık

Örnek

Saldırgan, başında 4 sıfırlı bayt bulunduran eş kimlikli düğümlere başarılı tutulma saldırıları gerçekleştirebilir
Orta riskli hata bildirin(opens in a new tab)
50.000 ABD Dolarına kadar

Yüksek

50.000 ABD Dolarına kadar

10.000 puana kadar

Önem Derecesi

  • Yüksek etki, orta olasılık
  • Orta etki, yüksek olasılık

Örnek

Saldırgan, ağın büyük parçalarını başarıyla ayırabilir ve bir saldırgan için kırılganlığı tetiklemek sıradan bir iştir
Yüksek riskli hata bildirin(opens in a new tab)
250.000 ABD Dolarına kadar

Kritik

250.000 ABD Dolarına kadar

25.000 puana kadar

Önem Derecesi

  • Yüksek etki, yüksek olasılık

Örnek

Saldırgan, çoğunluk istemcisindeki kod yürütmesini uzaktan başarıyla yönetebilir ve bir saldırgan için güvenlik açığını bulup tetiklemek sıradan bir iştir
Kritik riskli hata bildirin(opens in a new tab)

Hata yakalama kuralları

Hata ödülü programı, platformu geliştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek amacı taşıyan, aktif Ethereum topluluğumuz için deneysel ve isteğe bağlı bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi bilmelisiniz ve ödüller tamamen Ethereum Foundation hata ödülü panelinin takdirindedir. Ayrıca, yaptırım listelerinde bulunan veya yaptırım listesindeki ülkelerde ikamet eden (ör. Kuzey Kore, İran vb.) kişilere ödül veremiyoruz. Yerel yasalar, kimliğinizi kanıtlamamızı gerektirebilir. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli yasalara tabidir. Son olarak, testiniz herhangi bir yasayı ihlal etmemeli veya size ait olmayan ve yerel çalışan test ağlarında gerçekleştirilmesi gereken hiçbir veriyi tehlikeye atmamalıdır.

  • POC'si olmayan veya başka bir kullanıcı tarafından gönderilmiş veya spesifikasyonlar ve istemci bakımcıları tarafından zaten bilinen sorunlar ödüller için uygun değildir.
  • Bir güvenlik açığının kamuya açıklanması veya önceden anlaşmadan diğer taraflara bildirilmesi, ödül için uygunluğunu yitirmesine neden olur.
  • Ödül programı kapsamında, Ethereum Foundation çalışanları ve yüklenicileri veya müşteri ekipleri programa yalnızca puan toplama açısından katılabilir ve parasal ödül alamazlar.
  • Ethereum ödül programı, ödüllerin belirlenmesinde bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi, Ethereum Foundation hata ödül panelinin yegâne ve nihai takdirine bağlıdır.

Yürütüm Katmanı Hata Ödülü liderlik tablosu

Bu lider tablosunda yer almak için yürütüm katmanındaki hataları bulun

Fikir Birliği Katmanı Hata Ödülü liderlik tablosu

Bu lider tablosunda yer almak için fikir birliği katmanındaki hataları bulun

Sıkça sorulan sorular

Sorunuz var mı?

Bize e-posta gönderin: bounty@ethereum.org(opens in a new tab)

Bu sayfa yararlı oldu mu?