Ana içeriğe geç

Bu sayfanın çevirisine yardım edin

🌏

Henüz çevirmediğimiz için bu sayfayı İngilizce olarak görüntülüyorsunuz. Bu içeriği çevirmemize yardım edin.

Sayfayı çevir

Burada hata yok!🐛

Bu sayfa tercüme edilmiyor. Bu sayfayı şimdilik kasıtlı olarak İngilizce bıraktık.

Gönderilere açık

Mutabakat katmanı hata ödülleri 🐛
Mutabakat katmanı protokolünü ve istemci hatalarını bularak 50.000 ABD Dolarına kadar kazanın ve lider tablosunda bir yer edinin.
Hata bildirinKuralları okuyun
Lider tablosunun tamamını görün

Ödüllerde yer alan istemciler

Geçerli hatalar

Bu hata ödül programı, çekirdek mutabakat katmanı İşaret Zinciri şartnamesinde ve Lighthouse, Nimbus, Teku, Prysm ve Lodestar istemci uygulamalarında hataları bulmaya odaklıdır.

📒

İşaret Zinciri şartname hataları

İşaret Zinciri şartnamesi, tasarım mantığını ve İşaret Zinciri yükseltmesi aracılığıyla Ethereum'a uygulanması önerilen değişiklikleri ayrıntılarıyla açıklar.

Şartnamenin tamamını okuyun
Execution Layer Specifications

Aşağıdaki ek açıklamaları kontrol etmek faydalı olabilir:

Hata türleri

  • Güvenlik/kesinlik bozan hatalar
  • Hizmet reddi (DOS) vektörleri
  • Dürüst doğrulayıcıların kesilebileceği durumlar gibi varsayımlardaki tutarsızlıklar
  • Hesaplama veya parametre tutarsızlıkları

Şartname belgeleri

💻

Mutabakat katmanı istemci hataları

Yükseltme uygulandıktan sonra istemciler İşaret Zincirini çalıştıracaktır. İstemcilerin, şartnamede belirtilen mantığı izlemesi ve olası saldırılara karşı güvende olması gerekir. Bulmak istediğimiz hatalar, protokolün uygulanmasıyla ilgilidir.

Şu anda Lighthouse, Nimbus, Teku ve Prysm hataları tam ödüller için uygundur. Lodestar da uygundur, ancak daha sonraki denetimler tamamlanana kadar puanlar ve ödüller %10 ile sınırlıdır (maksimum ödeme 5.000 DAI'dir). Denetimleri tamamlayıp üretime hazır hâle geldikçe daha fazla istemci eklenebilir.

Hata türleri

  • Şartname uyumsuzluk sorunları
  • Beklenmeyen çökmeler veya hizmet reddi (DOS) güvenlik açıkları
  • Ağın geri kalanından onarılamaz mutabakat ayrılıklarına yol açan tüm sorunlar

Faydalı bağlantılar

📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Faydalı bağlantılar

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Dahil değil

Birleştirme ve parça zinciri yükseltmeleri, hâlâ aktif gelişim aşamasındadır ve bu yüzden henüz bu ödül programına eklenmemişlerdir.

Hata bildirin

Bulduğunuz her hata için puan kazanacaksınız. Kazandığınız puanlar, hatanın ciddiyetine bağlıdır. Ek denetimler tamamlanmak üzere olduğundan, Lodestar hataları şu anda aşağıda listelenen puanların %10 kadarını alıyor. Ethereum Foundation (EF), hata ciddiyetini OWASP yöntemini kullanarak belirler. OWASP yöntemini görüntüle

Ethereum Vakfı ayrıca aşağıdakilere dayalı olarak puanlar verecektir:

Açıklama kalitesiAçık, iyi yazılmış gönderimler için daha yüksek ödüller ödenir.

Tekrarlanabilirlik kalitesi: Lütfen test kodunu, komut dosyalarını ve ayrıntılı talimatları ekleyin. Güvenlik açığını yeniden üretmek ve doğrulamak bizim için ne kadar kolay olursa, ödül de o kadar yüksek olur.

Dahilse Çözüm kalitesi: Sorunun nasıl çözüleceğine dair net bir açıklama içeren gönderimler için daha yüksek ödüller ödenir.

2.000 DAI'ye kadar

Düşük

2.000 DAI'ye kadar

1.000 puana kadar

Önem Derecesi

  • Düşük etki, orta olasılık
  • Orta etki, düşük olasılık

Örnek

Saldırgan bazen bir düğümü, doğrulayıcı tarafından yapılan her yüz onaydan birini bırakmasına neden olacak bir duruma getirebilir
Düşük riskli hata bildirin
10.000 DAI'ye kadar

Orta

10.000 DAI'ye kadar

5.000 puana kadar

Önem Derecesi

  • Yüksek etki, düşük olasılık
  • Orta etki, orta olasılık
  • Düşük etki, yüksek olasılık

Örnek

Saldırgan, başında 4 sıfır bayt bulunduran eş kimlikli düğümlere başarılı tutulma saldırıları gerçekleştirebilir
Orta riskli hata bildirin
20.000 DAI'ye kadar

Yüksek

20.000 DAI'ye kadar

10.000 puana kadar

Önem Derecesi

  • Yüksek etki, orta olasılık
  • Orta etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır, ancak saldırganın olayı tetiklemesi zordur veya pratik değildir.
Yüksek riskli hata bildirin
50.000 DAI'ye kadar

Kritik

50.000 DAI'ye kadar

25.000 puana kadar

Önem Derecesi

  • Yüksek etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır ve bir saldırganın olayı tetiklemesi çok kolaydır.
Kritik riskli hata bildirin

Hata avlama kuralları

Hata ödül programı, aktif Ethereum topluluğumuzun platformu iyileştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek için deneysel ve isteğe bağlı olan bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi ve ödüllerin tamamen Ethereum Vakfı hata ödül panelinin takdirine bağlı olduğunu bilmelisiniz. Ayrıca, yaptırım listelerinde bulunan veya yaptırım listelerinde yer alan ülkelerde bulunan kişilere (örneğin Kuzey Kore, İran vb.) ödül veremiyoruz. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli olan yasaya tabidir. Son olarak, yaptığınız testler herhangi bir yasayı ihlal etmemeli veya size ait olmayan hiçbir veriyi tehlikeye atmamalıdır.

  • Hâlihazırda başka bir kullanıcı tarafından gönderilmiş olan veya şartname ve istemci geliştiricileri tarafından zaten bilinen sorunlar, ödül almaya uygun değildir.
  • Bir güvenlik açığının kamuya açıklanması, bulunan hatayı ödül almaya uygunsuz hâle getirir.
  • Ethereum Vakfı araştırmacıları ve mutabakat katmanı istemci ekiplerinin çalışanları ödül almaya uygun değildir.
  • Ethereum ödül programı, ödüllerin belirlenmesinde bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi, Ethereum Vakfı hata ödül panelinin yegâne ve nihai takdirine bağlıdır.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Hata avı lider tablosu

Lider tablosuna eklenmek için mutabakat katmanı hatalarını bulun

Sıkça sorulan sorular

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Sorularınız mı var?

Bize e-posta gönderin: bounty@ethereum.org

✉️

Bu sayfa yararlı oldu mu?