Ana içeriğe geç

Gönderilere açık

Mutabakat katmanı hata ödülleri 🐛

Mutabakat katmanı protokolünü ve istemci hatalarını bularak 50.000 ABD Dolarına kadar kazanın ve lider tablosunda bir yer edinin.

Hata bildirin(opens in a new tab)Kuralları okuyun
Lider tablosunun tamamını görün

Ödüllerde yer alan istemciler

Geçerli hatalar

Bu hata ödül programı, çekirdek mutabakat katmanı İşaret Zinciri şartnamesinde ve Lighthouse, Nimbus, Teku, Prysm ve Lodestar istemci uygulamalarında hataları bulmaya odaklıdır.

📒

İşaret Zinciri şartname hataları

İşaret Zinciri şartnamesi, tasarım mantığını ve İşaret Zinciri yükseltmesi aracılığıyla Ethereum'a uygulanması önerilen değişiklikleri ayrıntılarıyla açıklar.

Şartnamenin tamamını okuyun(opens in a new tab)
Execution Layer Specifications(opens in a new tab)

Aşağıdaki ek açıklamaları kontrol etmek faydalı olabilir:

Hata türleri

  • Güvenlik/kesinlik bozan hatalar
  • Hizmet reddi (DOS) vektörleri
  • Dürüst doğrulayıcıların kesilebileceği durumlar gibi varsayımlardaki tutarsızlıklar
  • Hesaplama veya parametre tutarsızlıkları

Şartname belgeleri

💻

Mutabakat katmanı istemci hataları

Yükseltme uygulandıktan sonra istemciler İşaret Zincirini çalıştıracaktır. İstemcilerin, şartnamede belirtilen mantığı izlemesi ve olası saldırılara karşı güvende olması gerekir. Bulmak istediğimiz hatalar, protokolün uygulanmasıyla ilgilidir.

Şu anda Lighthouse, Nimbus, Teku ve Prysm hataları tam ödüller için uygundur. Lodestar da uygundur, ancak daha sonraki denetimler tamamlanana kadar puanlar ve ödüller %10 ile sınırlıdır (maksimum ödeme 5.000 DAI'dir). Denetimleri tamamlayıp üretime hazır hâle geldikçe daha fazla istemci eklenebilir.

Hata türleri

  • Şartname uyumsuzluk sorunları
  • Beklenmeyen çökmeler veya hizmet reddi (DOS) güvenlik açıkları
  • Ağın geri kalanından onarılamaz mutabakat ayrılıklarına yol açan tüm sorunlar

Faydalı bağlantılar

📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Faydalı bağlantılar

SECURITY.md(opens in a new tab)
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Dahil değil

Birleştirme ve parça zinciri yükseltmeleri, hâlâ aktif gelişim aşamasındadır ve bu yüzden henüz bu ödül programına eklenmemişlerdir.

Hata bildirin

Bulduğunuz her hata için puan kazanacaksınız. Kazandığınız puanlar, hatanın ciddiyetine bağlıdır. Ek denetimler tamamlanmak üzere olduğundan, Lodestar hataları şu anda aşağıda listelenen puanların %10 kadarını alıyor. Ethereum Foundation (EF), hata ciddiyetini OWASP yöntemini kullanarak belirler. OWASP yöntemini görüntüle(opens in a new tab)

Ethereum Vakfı ayrıca aşağıdakilere dayalı olarak puanlar verecektir:

Açıklama kalitesiAçık, iyi yazılmış gönderimler için daha yüksek ödüller ödenir.

Tekrarlanabilirlik kalitesi: Lütfen test kodunu, komut dosyalarını ve ayrıntılı talimatları ekleyin. Güvenlik açığını yeniden üretmek ve doğrulamak bizim için ne kadar kolay olursa, ödül de o kadar yüksek olur.

Dahilse Çözüm kalitesi: Sorunun nasıl çözüleceğine dair net bir açıklama içeren gönderimler için daha yüksek ödüller ödenir.

2.000 DAI'ye kadar

Düşük

2.000 DAI'ye kadar

1.000 puana kadar


Önem Derecesi

  • Düşük etki, orta olasılık
  • Orta etki, düşük olasılık

Örnek

Saldırgan bazen bir düğümü, doğrulayıcı tarafından yapılan her yüz onaydan birini bırakmasına neden olacak bir duruma getirebilir
Düşük riskli hata bildirin(opens in a new tab)
10.000 DAI'ye kadar

Orta

10.000 DAI'ye kadar

5.000 puana kadar


Önem Derecesi

  • Yüksek etki, düşük olasılık
  • Orta etki, orta olasılık
  • Düşük etki, yüksek olasılık

Örnek

Saldırgan, başında 4 sıfır bayt bulunduran eş kimlikli düğümlere başarılı tutulma saldırıları gerçekleştirebilir
Orta riskli hata bildirin(opens in a new tab)
20.000 DAI'ye kadar

Yüksek

20.000 DAI'ye kadar

10.000 puana kadar


Önem Derecesi

  • Yüksek etki, orta olasılık
  • Orta etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır, ancak saldırganın olayı tetiklemesi zordur veya pratik değildir.
Yüksek riskli hata bildirin(opens in a new tab)
50.000 DAI'ye kadar

Kritik

50.000 DAI'ye kadar

25.000 puana kadar


Önem Derecesi

  • Yüksek etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır ve bir saldırganın olayı tetiklemesi çok kolaydır.
Kritik riskli hata bildirin(opens in a new tab)

Hata avlama kuralları

Hata ödül programı, aktif Ethereum topluluğumuzun platformu iyileştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek için deneysel ve isteğe bağlı olan bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi ve ödüllerin tamamen Ethereum Vakfı hata ödül panelinin takdirine bağlı olduğunu bilmelisiniz. Ayrıca, yaptırım listelerinde bulunan veya yaptırım listelerinde yer alan ülkelerde bulunan kişilere (örneğin Kuzey Kore, İran vb.) ödül veremiyoruz. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli olan yasaya tabidir. Son olarak, yaptığınız testler herhangi bir yasayı ihlal etmemeli veya size ait olmayan hiçbir veriyi tehlikeye atmamalıdır.

  • Hâlihazırda başka bir kullanıcı tarafından gönderilmiş olan veya şartname ve istemci geliştiricileri tarafından zaten bilinen sorunlar, ödül almaya uygun değildir.
  • Bir güvenlik açığının kamuya açıklanması, bulunan hatayı ödül almaya uygunsuz hâle getirir.
  • Ethereum Vakfı araştırmacıları ve mutabakat katmanı istemci ekiplerinin çalışanları ödül almaya uygun değildir.
  • Ethereum ödül programı, ödüllerin belirlenmesinde bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi, Ethereum Vakfı hata ödül panelinin yegâne ve nihai takdirine bağlıdır.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Hata avı lider tablosu

Lider tablosuna eklenmek için mutabakat katmanı hatalarını bulun

Sıkça sorulan sorular

Sorularınız mı var?

Bize e-posta gönderin: bounty@ethereum.org(opens in a new tab)

✉️

Bu sayfa yararlı oldu mu?