Ana içeriğe atla

Gönderimlere açık

Hata Ödül Programı 

Ethereum ağını etkileyen Protokol, istemci ve dil derleyici hatalarını bularak 1.000.000 USD'ye kadar ödül ve liderlik tablosunda bir yer kazanın.

Bir hata gönder (opens in a new tab)Kuralları oku
Tüm liderlik tablolarını gör

Ödüllerde yer alan istemciler

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Kapsam Dâhilinde

Hata ödül programımız uçtan uca uzanır: Protokollerin sağlamlığından (Blokzincir mutabakat modeli, kablo ve eşler arası (p2p) Protokolleri, Hisse Kanıtı (PoS) vb.) ve Protokol/uygulama uyumluluğundan ağ güvenliği ve mutabakat bütünlüğüne kadar. Klasik istemci güvenliğinin yanı sıra kriptografik ilkellerin güvenliği de programın bir parçasıdır. Tüm hata ifşaları ve güvenlik açığı bildirimleri hata gönderim formumuz (opens in a new tab) aracılığıyla yapılmalıdır.

Spesifikasyon hataları

Ethereum Spesifikasyonları, yürütme katmanı ve mutabakat katmanı için tasarım mantığını ayrıntılandırır.

Aşağıdaki açıklamalara göz atmak faydalı olabilir:

Hata türleri

  • Güvenliği/kesinliği bozan hatalar
  • Hizmet reddi (DOS) vektörleri
  • Dürüst doğrulayıcıların kesintiye uğratılabileceği durumlar gibi varsayımlardaki tutarsızlıklar
  • Hesaplama veya parametre tutarsızlıkları

Spesifikasyon belgeleri

İşaret zinciri (opens in a new tab)
Çatallanma seçimi (opens in a new tab)
Solidity yatırma Sözleşmesi (opens in a new tab)
Eşler arası ağ iletişimi (opens in a new tab)

İstemci hataları

İstemciler Ethereum ağını çalıştırır ve spesifikasyonda belirtilen mantığı izlemeleri ve olası saldırılara karşı güvenli olmaları gerekir. Bulmak istediğimiz hatalar Protokolün uygulanmasıyla ilgilidir.

Şu anda yürütme katmanı istemcileri (Besu, Erigon, Geth, Nethermind ve Reth) ve mutabakat katmanı istemcileri (Lighthouse, Lodestar, Nimbus, Teku ve Prysm) Hata Ödül Programına dâhildir.

Hata türleri

  • Spesifikasyona uyumsuzluk sorunları
  • Beklenmeyen çökmeler, RCE veya hizmet reddi (DOS) güvenlik açıkları
  • Ağın geri kalanından onarılamaz mutabakat ayrılıklarına neden olan herhangi bir sorun

Faydalı bağlantılar

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Dil derleyici hataları

Solidity ve Vyper derleyicileri hata ödül programı kapsamındadır. Lütfen güvenlik açığını yeniden oluşturmak için gerekli tüm ayrıntıları ekleyin: Hatayı tetikleyen girdi programı, Etkilenen derleyici sürümü, Hedef EVM sürümü, Varsa Framework/IDE, Varsa EVM yürütme ortamı/istemcisi ve İşletim sistemi. Lütfen bulduğunuz hatayı yeniden oluşturma adımlarını olabildiğince ayrıntılı bir şekilde ekleyin.

Solidity ve Vyper, güvenilmeyen girdilerin derlenmesiyle ilgili güvenlik garantileri sunmaz ve kötü amaçlı olarak oluşturulmuş verilerde derleyicinin çökmesi durumunda ödül vermeyiz.

Faydalı bağlantılar

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Yatırma Sözleşmesi hataları

İşaret zinciri Yatırma Sözleşmesinin spesifikasyonları ve kaynak kodu hata ödül programının bir parçasıdır.

Faydalı bağlantılar

Bağımlılık hataları

Ethereum ağının çalışması için belirli bağımlılıklar çok önemlidir ve bunlardan bazıları hata ödül programına eklenmiştir. Şu anda hata ödül programına dâhil edilen bağımlılıkların listesi C-KZG-4844 ve Go-KZG-4844'tür.

Faydalı bağlantılar

Kapsam dışı

Yalnızca kapsam dâhilinde listelenen hedefler Hata Ödül Programının bir parçasıdır. Program kapsamında uygun OLMAYAN güvenlik açıkları şunları içerir:

  • Altyapı hataları—web sayfaları, dns, e-posta vb.*
  • ERC-20 sözleşme hataları*
  • Ethereum İsim Hizmeti (ENS) hataları (ENS vakfı tarafından sürdürülmektedir)
  • Kullanıcının JSON-RPC veya Beacon API gibi bir API'yi herkese açık hale getirmesini gerektiren güvenlik açıkları
  • EngineAPI güvenilir kabul edilir ve herkese açık olması amaçlanmamıştır
  • Yazım hataları
  • Testler
  • Yüksek çaba gerektiren (sürekli, CPU veya bant genişliği yoğun ve/veya 1'den fazla paket veya zincir içi işlem gerektiren) tek eşli DoS saldırıları
  • Herkese açık olarak bilinen herhangi bir sorun (forum gönderileri, PR'lar, GitHub sorunları, işlemeler, blog gönderileri, herkese açık Discord mesajları vb. dahildir)
  • Şu anda Ethereum Ana Ağı üzerinde doğrudan bir etkisi olmayan herhangi bir şey.

*Bunlar dahil değildir, ancak bazen etkilenen taraflara ulaşılmasına yardımcı olabiliriz

Hata avcılığı kuralları

Hata ödül programı, platformu geliştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek amacıyla aktif Ethereum topluluğumuz için deneysel ve isteğe bağlı bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi ve ödüllerin tamamen Ethereum Vakfı hata ödül panelinin takdirinde olduğunu bilmelisiniz. Ayrıca, yaptırım listelerinde yer alan veya yaptırım listelerindeki ülkelerde (ör. Kuzey Kore, İran vb.) bulunan kişilere ödül veremiyoruz. Yerel yasalar kimliğinizi kanıtlamanızı istememizi gerektirir. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli yasalara tabidir. Son olarak, testleriniz hiçbir yasayı ihlal etmemeli veya size ait olmayan hiçbir veriyi tehlikeye atmamalı ve yerel olarak çalışan test ağlarında gerçekleştirilmelidir.

  1. 1Bir POC (Kavram Kanıtı) içermeyen veya daha önce başka bir kullanıcı tarafından gönderilmiş olan ya da spesifikasyon ve istemci bakımcıları tarafından zaten bilinen sorunlar ödül için uygun değildir.
  2. 2Bir güvenlik açığının kamuya açıklanması veya önceden anlaşma yapılmadan diğer taraflara bildirilmesi, onu ödül için uygunsuz hâle getirir.
  3. 3Ethereum Vakfı çalışanları ve yüklenicileri, Ethereum Vakfı hibe alanları veya ödül programı kapsamındaki istemci ekipleri, programa yalnızca puan kazanmak amacıyla katılabilir ve maddi ödül alamazlar.
  4. 4Ethereum ödül programı, ödülleri belirlerken bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi tamamen ve nihai olarak Ethereum Vakfı hata ödül panelinin takdirindedir.

Güvenlik açığı ciddiyet nitelikleri

Ciddiyet, keşfedilen her bir güvenlik açığının aşağıdakileri yapabilme konusundaki benzersiz yeteneğine göre değerlendirilir:

Düşük ciddiyet
  • Doğrulayıcıların >%0,01'ine ceza kesintisi uygulamak
  • Ağın >%0,01'ini etkileyen ağ bölünmelerine kolayca neden olmak
  • Tek bir ağ paketi veya zincir içi işlem göndererek ağın >%0,01'ini çökertebilmek
Orta ciddiyet
  • Doğrulayıcıların >%1'ine ceza kesintisi uygulamak
  • Ağın >%5'ini etkileyen ağ bölünmelerine kolayca neden olmak
  • Tek bir ağ paketi veya zincir içi işlem göndererek ağın >%5'ini çökertebilmek
Yüksek ciddiyet
  • Doğrulayıcıların >%33'üne ceza kesintisi uygulamak
  • Ağın >%33'ünü etkileyen ağ bölünmelerine kolayca neden olmak
  • Tek bir zincir içi işlem göndererek ağın >%33'ünü çökertebilmek
Kritik ciddiyet
  • Doğrulayıcıların >%50'sine ceza kesintisi uygulamak
  • Ağ tarafından kesinleştirilen sonsuz miktarda ETH oluşturmak için bir EIP/spesifikasyon veya istemci hatasını kolayca istismar etmek
  • Tüm EOA'lardan ETH çalmak
  • Tüm EOA'lardan ETH yakmak
  • Tüm istemcilerin çökmesine neden olan tek bir kötü niyetli zincir içi işlem göndererek tüm ağı çökertmek

Bir hata gönder

2.000 USD'ye kadar

Düşük

2.000 USD'ye kadar

1.000 puana kadar

Düşük riskli hata gönder (opens in a new tab)
10.000 USD'ye kadar

Orta

10.000 USD'ye kadar

5.000 puana kadar

Orta riskli hata gönder (opens in a new tab)
50.000 USD'ye kadar

Yüksek

50.000 USD'ye kadar

10.000 puana kadar

Yüksek riskli hata gönder (opens in a new tab)
1.000.000 USD'ye kadar

Kritik

1.000.000 USD'ye kadar

25.000 puana kadar

Kritik riskli hata gönder (opens in a new tab)

Yürütme Katmanı Hata Ödülü liderlik tablosu

Bu liderlik tablosuna eklenmek için yürütme katmanı hataları bulun

Mutabakat Katmanı Hata Ödülü liderlik tablosu

Bu liderlik tablosuna eklenmek için mutabakat katmanı hataları bulun

Sıkça sorulan sorular

Şu anda belirlenmiş bir bitiş tarihi yok. En son haberler için Ethereum Vakfı bloguna (opens in a new tab) göz atın.

Ödüller, gönderim doğrulandıktan sonra, genellikle birkaç gün içinde ETH veya DAI olarak ödenir. Yerel yasalar gereği kimlik belgenizi istememiz gerekiyor. Ayrıca ETH adresinize de ihtiyacımız olacak.

Ödülünüzü seçeceğiniz köklü bir hayır kurumuna bağışlayabiliriz.

Gönderimlere olabildiğince hızlı yanıt vermeyi hedefliyoruz. Yapay zeka gönderimlerindeki artış nedeniyle, gönderiminize yanıt vermemiz için lütfen bize bir haftaya kadar süre tanıyın.

Anonim olarak veya bir takma adla gönderim yapmak sorun değildir, ancak bu sizi ETH/DAI ödülleri için uygunsuz hale getirecektir. ETH/DAI ödüllerine hak kazanmak için, gerçek adınızın ve kimlik belgenizin güvenli dosya bırakma web sitemiz üzerinden PGP kullanılarak şifrelenmiş bir şekilde, belgelerin tek inceleyicisi olan Ethereum Vakfı'ndaki hukuk ekibimize gönderilmesi gerekmektedir. Ödülünüzü bir hayır kurumuna bağışlamak kimliğinizi gerektirmez.

Adınızın/takma adınızın liderlik tablosunda görüntülenmesini istemiyorsanız lütfen bize bildirin.

Bulunan her güvenlik açığına / soruna bir puan atanır. Ödül avcıları, liderlik tablomuzda toplam puanlarına göre sıralanır.