Перейти до основного контенту

Допоможіть перекласти цю сторінку

🌏

Ця сторінка відображається англійською мовою, оскільки ми ще не переклали її. Допоможіть нам у цьому.

Перекласти сторінку

Тут немає помилок!🐛

Ця сторінка не перекладається. Ми навмисно поки що залишили її англійською.

Заявки ще приймаються

Винагороди за знайдення помилок в оновленні Eth2 🐛
Отримайте до 50 000 доларів США та місце на дошці лідерів, знайшовши помилки протоколу та клієнтів Eth2.
Повідомити про помилкуЧитати правила
Переглянути повну таблицю лідерів

Клієнти, що беруть участь у винагородах

Дійсні помилки

Ця програма винагород за помилки націлена на пошук помилок в основі специфікації Eth2 Beacon Chain, а також у реалізаціях клієнтів Lighthouse, Nimbus, Teku та Prysm.

📒

Помилки в специфікації Beacon Chain

У специфікації Beacon Chain чітко описано дизайн і зміни для мережі Ethereum, запропоновані в рамках оновлення Beacon Chain.

Читати всю спеціфікацію
Execution Layer Specifications

Типи помилок

  • помилки, що перешкоджають завершенню блоку або пов’язані з безпекою;
  • DOS-вектори;
  • невідповідності в припущеннях, зокрема в ситуаціях, коли чесного валідатора визнано зловмисним;
  • невідповідності в розрахунках або параметрах.

Документи специфікацій

💻

Помилки з клієнтами Eth2

Клієнти запустять Beacon Chain відразу після впровадження оновлення. Клієнти мають відповідати вимогам у специфікації та захищати вас від потенційних атак. Помилки, які потрібно знайти, пов’язані з протоколом налаштувань.

Цю винагороду можна отримати за виявлення таких помилок, як Lighthouse, Nimbus, Teku та Prysm. Після завершення аудиту та готовності до експлуатації можна додати більше клієнтів.

Типи помилок

  • невідповідності специфікації;
  • неочікувані збої чи перешкоди в роботі DOS;
  • будь-які проблеми, що ведуть до незворотного від’єднання від решти мережі;

Корисні посилання

📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Корисні посилання

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Не включено

Процес об’єднання та оновлення стосовно ланцюгів сегментів даних усе ще в активній розробці, тому не включені до цієї програми винагород.

Повідомити про помилку

За кожну виявлену помилку ви отримуватимете бали. Їх кількість залежатиме від того, наскільки серйозною є помилка. Організація Ethereum Foundation визначає рівень помилки за допомогою методу OWASP. Перегляньте метод OWASP

Ethereum Foundation також надаватиме бали на основі таких факторів:

Якість опису: Що чіткіше й добре написано інформацію, то кращу винагороду ви отримаєте.

Якість відтворюваності: Додайте код тесту, скрипти та детальні інструкції. Що простіше нам створювати й перевіряти вразливість, то вища нагорода.

Якість виправлення, (якщо є) вищі винагороди надаються за інформацію з чітким описом способу вирішення проблеми.

До 2000 DAI

Незначна

До 2000 DAI

До 1000 балів

Значимість

  • Незначний вплив, середня ймовірність
  • Середній вплив, низька ймовірність

Приклад

Іноді зловмисник може завести вузол у стан, що спричиняє видалення по одній атестації зі ста наявних, зроблених валідатором
Повідомити про незначну помилку
До 10 000 DAI

Середня

До 10 000 DAI

До 5000 балів

Значимість

  • Серйозний вплив, низька ймовірність
  • Середній вплив, середня ймовірність
  • Незначний вплив, висока ймовірність

Приклад

Зловмисник може успішно атакувати вузли з одноранговими ідентифікаторами з 4 провідними нульовими байтами
Повідомити про помірну помилку
До 20 000 DAI

Серйозна

До 20 000 DAI

До 10 000 балів

Значимість

  • Серйозний вплив, середня ймовірність
  • Середній вплив, висока ймовірність

Приклад

Існує консенсусна помилка між двома клієнтами, але зловмиснику важко (майже неможливо) запустити подію.
Повідомити про серйозну помилку
До 50 000 DAI

Критична

До 50 000 DAI

До 25 000 балів

Значимість

  • Серйозний вплив, висока ймовірність

Приклад

Існує консенсусна помилка між двома клієнтами, але зловмисник може легко запустити подію.
Повідомити про критичну помилку

Правила пошуку помилок

Програма виявлення помилок – це експериментальна й самостійна програма винагород для нашої активної спільноти Ethereum, покликана заохочувати користувачів покращувати платформу за винагороди. Це не змагання. Пам’ятайте, що ми можемо будь-коли скасувати програму, а також що винагородами керує організація Ethereum Foundation. Крім того, ми не надаємо винагороди особам, яких внесено в санкційні списки (наприклад, КНДР, Іран тощо). Ви несете відповідальність за сплату всіх податків. Усі винагороди повинні відповідати вимогам чинного законодавства. І останнє: ваше тестування не має порушувати закон або компрометувати дані, які вам не належать.

  • Проблеми, які вже були представлені іншим користувачем або вже відомі специфікаціям, а супроводжуючі клієнтів не мають права на винагороду.
  • Публічне розкриття вразливості робить неможливим отримання винагороди.
  • Дослідники й працівники організації Ethereum Foundation, що є учасниками команди з розробки оновлень Eth2, не можуть отримувати винагороди.
  • Програма винагород Ethereum зважає на ряд змінних у визначенні нагород. Придатність, оцінки та всі умови, пов’язані з винагородою, остаточно визначаються комітетом Ethereum Foundation.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Користувачі, які виявили найбільше помилок

Щоб потрапити в цей список, знайдіть помилки в оновленнях Eth2

Поширені запитання

Запитання?

Email us: bounty@ethereum.org

✉️

Чи була ця сторінка корисною?