Mutabakat katmanı hata avı ödül programı

Gönderilere açık

Mutabakat katmanı hata ödülleri

Mutabakat katmanı protokolünü ve istemci hatalarını bularak 50.000 ABD Dolarına kadar kazanın ve lider tablosunda bir yer edinin.

Hata bildirin Kuralları okuyun

Lider tablosunun tamamını görün

Ödüllerde yer alan istemciler

Geçerli hatalar

Bu hata ödül programı, çekirdek mutabakat katmanı İşaret Zinciri şartnamesinde ve Lighthouse, Nimbus, Teku, Prysm ve Lodestar istemci uygulamalarında hataları bulmaya odaklıdır.

İşaret Zinciri şartname hataları

İşaret Zinciri şartnamesi, tasarım mantığını ve İşaret Zinciri yükseltmesi aracılığıyla Ethereum'a uygulanması önerilen değişiklikleri ayrıntılarıyla açıklar.

Şartnamenin tamamını okuyun
Execution Layer Specifications

Aşağıdaki ek açıklamaları kontrol etmek faydalı olabilir:

Hata türleri

Güvenlik/kesinlik bozan hatalar
Hizmet reddi (DOS) vektörleri
Dürüst doğrulayıcıların kesilebileceği durumlar gibi varsayımlardaki tutarsızlıklar
Hesaplama veya parametre tutarsızlıkları

Şartname belgeleri

İşaret Zinciri

Çatal seçimi

Solidity para yatırma sözleşmesi

Eşler arası (P2P) ağ iletişimi

Mutabakat katmanı istemci hataları

Yükseltme uygulandıktan sonra istemciler İşaret Zincirini çalıştıracaktır. İstemcilerin, şartnamede belirtilen mantığı izlemesi ve olası saldırılara karşı güvende olması gerekir. Bulmak istediğimiz hatalar, protokolün uygulanmasıyla ilgilidir.

Şu anda Lighthouse, Nimbus, Teku ve Prysm hataları tam ödüller için uygundur. Lodestar da uygundur, ancak daha sonraki denetimler tamamlanana kadar puanlar ve ödüller %10 ile sınırlıdır (maksimum ödeme 5.000 DAI'dir). Denetimleri tamamlayıp üretime hazır hâle geldikçe daha fazla istemci eklenebilir.

Hata türleri

Şartname uyumsuzluk sorunları
Beklenmeyen çökmeler veya hizmet reddi (DOS) güvenlik açıkları
Ağın geri kalanından onarılamaz mutabakat ayrılıklarına yol açan tüm sorunlar

Faydalı bağlantılar

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Faydalı bağlantılar

SECURITY.md

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Faydalı bağlantılar

Deposit Contract Specifications
Deposit Contract Source Code

Dahil değil

Birleştirme ve parça zinciri yükseltmeleri, hâlâ aktif gelişim aşamasındadır ve bu yüzden henüz bu ödül programına eklenmemişlerdir.

Hata bildirin

Bulduğunuz her hata için puan kazanacaksınız. Kazandığınız puanlar, hatanın ciddiyetine bağlıdır. Ek denetimler tamamlanmak üzere olduğundan, Lodestar hataları şu anda aşağıda listelenen puanların %10 kadarını alıyor. Ethereum Foundation (EF), hata ciddiyetini OWASP yöntemini kullanarak belirler. OWASP yöntemini görüntüle

Ethereum Vakfı ayrıca aşağıdakilere dayalı olarak puanlar verecektir:

Açıklama kalitesiAçık, iyi yazılmış gönderimler için daha yüksek ödüller ödenir.

Tekrarlanabilirlik kalitesi: Lütfen test kodunu, komut dosyalarını ve ayrıntılı talimatları ekleyin. Güvenlik açığını yeniden üretmek ve doğrulamak bizim için ne kadar kolay olursa, ödül de o kadar yüksek olur.

Dahilse Çözüm kalitesi: Sorunun nasıl çözüleceğine dair net bir açıklama içeren gönderimler için daha yüksek ödüller ödenir.

2.000 DAI'ye kadar

Düşük

2.000 DAI'ye kadar

1.000 puana kadar

Önem Derecesi

Düşük etki, orta olasılık
Orta etki, düşük olasılık

Örnek

Saldırgan bazen bir düğümü, doğrulayıcı tarafından yapılan her yüz onaydan birini bırakmasına neden olacak bir duruma getirebilir

Düşük riskli hata bildirin

10.000 DAI'ye kadar

Orta

10.000 DAI'ye kadar

5.000 puana kadar

Önem Derecesi

Yüksek etki, düşük olasılık
Orta etki, orta olasılık
Düşük etki, yüksek olasılık

Örnek

Saldırgan, başında 4 sıfır bayt bulunduran eş kimlikli düğümlere başarılı tutulma saldırıları gerçekleştirebilir

Orta riskli hata bildirin

20.000 DAI'ye kadar

Yüksek

20.000 DAI'ye kadar

10.000 puana kadar

Önem Derecesi

Yüksek etki, orta olasılık
Orta etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır, ancak saldırganın olayı tetiklemesi zordur veya pratik değildir.

Yüksek riskli hata bildirin

50.000 DAI'ye kadar

Kritik

50.000 DAI'ye kadar

25.000 puana kadar

Önem Derecesi

Yüksek etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır ve bir saldırganın olayı tetiklemesi çok kolaydır.

Kritik riskli hata bildirin

Hata avlama kuralları

Hata ödül programı, aktif Ethereum topluluğumuzun platformu iyileştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek için deneysel ve isteğe bağlı olan bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi ve ödüllerin tamamen Ethereum Vakfı hata ödül panelinin takdirine bağlı olduğunu bilmelisiniz. Ayrıca, yaptırım listelerinde bulunan veya yaptırım listelerinde yer alan ülkelerde bulunan kişilere (örneğin Kuzey Kore, İran vb.) ödül veremiyoruz. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli olan yasaya tabidir. Son olarak, yaptığınız testler herhangi bir yasayı ihlal etmemeli veya size ait olmayan hiçbir veriyi tehlikeye atmamalıdır.

Hâlihazırda başka bir kullanıcı tarafından gönderilmiş olan veya şartname ve istemci geliştiricileri tarafından zaten bilinen sorunlar, ödül almaya uygun değildir.
Bir güvenlik açığının kamuya açıklanması, bulunan hatayı ödül almaya uygunsuz hâle getirir.
Ethereum Vakfı araştırmacıları ve mutabakat katmanı istemci ekiplerinin çalışanları ödül almaya uygun değildir.
Ethereum ödül programı, ödüllerin belirlenmesinde bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi, Ethereum Vakfı hata ödül panelinin yegâne ve nihai takdirine bağlıdır.