Ana içeriğe geç

Bu sayfanın çevirisine yardım edin

🌏

Henüz çevirmediğimiz için bu sayfayı İngilizce olarak görüntülüyorsunuz. Bu içeriği çevirmemize yardım edin.

Sayfayı çevir

Burada hata yok!🐛

Bu sayfa tercüme edilmiyor. Bu sayfayı şimdilik kasıtlı olarak İngilizce bıraktık.

Gönderilere açık

Mutabakat katmanı hata ödülleri 🐛
Mutabakat katmanı protokolünü ve istemci hatalarını bularak 50.000 ABD Dolarına kadar kazanın ve lider tablosunda bir yer edinin.
Hata bildirinKuralları okuyun
1
protolambda
42400 puanlar
🏆
2
Guido Vranken
39350 puanlar
🥈
3
Martin Holst Swende
38000 puanlar
🥉
4
Sam Sun
35000 puanlar
5
ChainSecurity
23000 puanlar
Lider tablosunun tamamını görün

Ödüllerde yer alan istemciler

Geçerli hatalar

Bu hata ödül programı, çekirdek mutabakat katmanı İşaret Zinciri şartnamesinde ve Lighthouse, Nimbus, Teku, Prysm ve Lodestar istemci uygulamalarında hataları bulmaya odaklıdır.

📒

İşaret Zinciri şartname hataları

İşaret Zinciri şartnamesi, tasarım mantığını ve İşaret Zinciri yükseltmesi aracılığıyla Ethereum'a uygulanması önerilen değişiklikleri ayrıntılarıyla açıklar.

Şartnamenin tamamını okuyun
Execution Layer Specifications

Aşağıdaki ek açıklamaları kontrol etmek faydalı olabilir:

Hata türleri

  • Güvenlik/kesinlik bozan hatalar
  • Hizmet reddi (DOS) vektörleri
  • Dürüst doğrulayıcıların kesilebileceği durumlar gibi varsayımlardaki tutarsızlıklar
  • Hesaplama veya parametre tutarsızlıkları

Şartname belgeleri

İşaret Zinciri
Çatal seçimi
Solidity para yatırma sözleşmesi
Eşler arası (P2P) ağ iletişimi
💻

Mutabakat katmanı istemci hataları

Yükseltme uygulandıktan sonra istemciler İşaret Zincirini çalıştıracaktır. İstemcilerin, şartnamede belirtilen mantığı izlemesi ve olası saldırılara karşı güvende olması gerekir. Bulmak istediğimiz hatalar, protokolün uygulanmasıyla ilgilidir.

Şu anda Lighthouse, Nimbus, Teku ve Prysm hataları tam ödüller için uygundur. Lodestar da uygundur, ancak daha sonraki denetimler tamamlanana kadar puanlar ve ödüller %10 ile sınırlıdır (maksimum ödeme 5.000 DAI'dir). Denetimleri tamamlayıp üretime hazır hâle geldikçe daha fazla istemci eklenebilir.

Hata türleri

  • Şartname uyumsuzluk sorunları
  • Beklenmeyen çökmeler veya hizmet reddi (DOS) güvenlik açıkları
  • Ağın geri kalanından onarılamaz mutabakat ayrılıklarına yol açan tüm sorunlar

Faydalı bağlantılar

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Faydalı bağlantılar

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Dahil değil

Birleştirme ve parça zinciri yükseltmeleri, hâlâ aktif gelişim aşamasındadır ve bu yüzden henüz bu ödül programına eklenmemişlerdir.

Hata bildirin

Bulduğunuz her hata için puan kazanacaksınız. Kazandığınız puanlar, hatanın ciddiyetine bağlıdır. Ek denetimler tamamlanmak üzere olduğundan, Lodestar hataları şu anda aşağıda listelenen puanların %10 kadarını alıyor. Ethereum Foundation (EF), hata ciddiyetini OWASP yöntemini kullanarak belirler. OWASP yöntemini görüntüle

Ethereum Vakfı ayrıca aşağıdakilere dayalı olarak puanlar verecektir:

Açıklama kalitesiAçık, iyi yazılmış gönderimler için daha yüksek ödüller ödenir.

Tekrarlanabilirlik kalitesi: Lütfen test kodunu, komut dosyalarını ve ayrıntılı talimatları ekleyin. Güvenlik açığını yeniden üretmek ve doğrulamak bizim için ne kadar kolay olursa, ödül de o kadar yüksek olur.

Dahilse Çözüm kalitesi: Sorunun nasıl çözüleceğine dair net bir açıklama içeren gönderimler için daha yüksek ödüller ödenir.

2.000 DAI'ye kadar

Düşük

2.000 DAI'ye kadar

1.000 puana kadar

Önem Derecesi

  • Düşük etki, orta olasılık
  • Orta etki, düşük olasılık

Örnek

Saldırgan bazen bir düğümü, doğrulayıcı tarafından yapılan her yüz onaydan birini bırakmasına neden olacak bir duruma getirebilir
Düşük riskli hata bildirin
10.000 DAI'ye kadar

Orta

10.000 DAI'ye kadar

5.000 puana kadar

Önem Derecesi

  • Yüksek etki, düşük olasılık
  • Orta etki, orta olasılık
  • Düşük etki, yüksek olasılık

Örnek

Saldırgan, başında 4 sıfır bayt bulunduran eş kimlikli düğümlere başarılı tutulma saldırıları gerçekleştirebilir
Orta riskli hata bildirin
20.000 DAI'ye kadar

Yüksek

20.000 DAI'ye kadar

10.000 puana kadar

Önem Derecesi

  • Yüksek etki, orta olasılık
  • Orta etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır, ancak saldırganın olayı tetiklemesi zordur veya pratik değildir.
Yüksek riskli hata bildirin
50.000 DAI'ye kadar

Kritik

50.000 DAI'ye kadar

25.000 puana kadar

Önem Derecesi

  • Yüksek etki, yüksek olasılık

Örnek

İki istemci arasında bir mutabakat hatası vardır ve bir saldırganın olayı tetiklemesi çok kolaydır.
Kritik riskli hata bildirin

Hata avlama kuralları

Hata ödül programı, aktif Ethereum topluluğumuzun platformu iyileştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek için deneysel ve isteğe bağlı olan bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi ve ödüllerin tamamen Ethereum Vakfı hata ödül panelinin takdirine bağlı olduğunu bilmelisiniz. Ayrıca, yaptırım listelerinde bulunan veya yaptırım listelerinde yer alan ülkelerde bulunan kişilere (örneğin Kuzey Kore, İran vb.) ödül veremiyoruz. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli olan yasaya tabidir. Son olarak, yaptığınız testler herhangi bir yasayı ihlal etmemeli veya size ait olmayan hiçbir veriyi tehlikeye atmamalıdır.

  • Hâlihazırda başka bir kullanıcı tarafından gönderilmiş olan veya şartname ve istemci geliştiricileri tarafından zaten bilinen sorunlar, ödül almaya uygun değildir.
  • Bir güvenlik açığının kamuya açıklanması, bulunan hatayı ödül almaya uygunsuz hâle getirir.
  • Ethereum Vakfı araştırmacıları ve mutabakat katmanı istemci ekiplerinin çalışanları ödül almaya uygun değildir.
  • Ethereum ödül programı, ödüllerin belirlenmesinde bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi, Ethereum Vakfı hata ödül panelinin yegâne ve nihai takdirine bağlıdır.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

1
Martin Holst Swende
35500 puanlar
🏆
2
Sam Sun
35000 puanlar
🥈
3
ChainSecurity
23000 puanlar
🥉
4
Guido Vranken
21750 puanlar
5
Juno Im
20500 puanlar
6
Yoonho Kim (team Hithereum)
20000 puanlar
7
John Youngseok Yang (Software Platform Lab)
20000 puanlar
8
PeckShield
17000 puanlar
9
ItsUnixIKnowThis
15000 puanlar
10
Bertrand Masius
15000 puanlar
11
Bob Conan
13000 puanlar
12
Tin
12500 puanlar
13
Ralph Pichler
12500 puanlar
14
Łukasz Matczak
11000 puanlar
15
Heilman/Marcus/Goldberg
10000 puanlar
16
Jonas Nick
10000 puanlar
17
John Toman
10000 puanlar
18
Sebastian Henningsen
8000 puanlar
19
Dominic Brütsch
7500 puanlar
20
Harry Roberts
5000 puanlar
21
Peter Stöckli
5000 puanlar
22
Neville Grech
5000 puanlar
23
EthHead
5000 puanlar
24
Alex Beregszaszi
3500 puanlar
25
Sergio Demian Lerner
2500 puanlar
26
Daniel Perez
2500 puanlar
27
Yaron Velner
2000 puanlar
28
Whit Jackson
2000 puanlar
29
Ming Chuan Lin
2000 puanlar
30
Melonport team
2000 puanlar
31
Maurelian
2000 puanlar
32
Christoph Jentzsch
2000 puanlar
33
Hwanjo Heo
1500 puanlar
34
DVP (dvpnet.io)
1200 puanlar
35
Vasily Vasiliev
1000 puanlar
36
talko
1000 puanlar
37
Steve Waldman
1000 puanlar
38
Panu Kekäläinen
1000 puanlar
39
Josselin Feist
1000 puanlar
40
Henrit
1000 puanlar
41
Marc Bartlett
1000 puanlar
42
Barry Whitehat
1000 puanlar
43
Lucas Ryan
1000 puanlar
44
Alex Groce
1000 puanlar
45
Daniel Briskin
750 puanlar
46
Daenam Kim
750 puanlar
47
Myeongjae Lee
500 puanlar
48
Marcin Noga (Cisco/Talos Security)
500 puanlar
49
jazzybedi
500 puanlar
50
Feeker - 360 ESG Codesafe Team
500 puanlar
51
Jonathan Brown
500 puanlar
52
David Murdoch
500 puanlar
53
Alexander Wade
500 puanlar
54
Luis Schliesske
200 puanlar

Hata avı lider tablosu

Lider tablosuna eklenmek için mutabakat katmanı hatalarını bulun

1
protolambda
42400 puanlar
🏆
2
Quan Thoi Minh Nguyen
19650 puanlar
🥈
3
Jonny Rhea
18700 puanlar
🥉
4
Guido Vranken
17600 puanlar
5
Grandine team
9000 puanlar
6
Onur Kılıç
6000 puanlar
7
Antoine Toulme
5000 puanlar
8
Antonio Sanso
4000 puanlar
9
ItsUnixIKnowThis
2850 puanlar
10
Alexander Sadovskyi
2500 puanlar
11
tintin
2500 puanlar
12
Martin Holst Swende
2500 puanlar
13
Akincibor
1750 puanlar
14
Jim McDonald
200 puanlar

Sıkça sorulan sorular

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Sorularınız mı var?

Bize e-posta gönderin: bounty@ethereum.org

✉️

Bu sayfa yararlı oldu mu?