Ця сторінка відображається англійською мовою, оскільки ми ще не переклали її. Допоможіть нам у цьому.
Ця сторінка не перекладається. Ми навмисно поки що залишили її англійською.
All Shapella-related bounties currently receive a 2x bonus multiplier (up to 500,000 USD) until 5th of April 2023.
Заявки на участь ще приймаються
Програма винагород за пошук помилок
Клієнти, що беруть участь у винагородах
Наша програма винагород за пошук помилок охоплює всі етапи: від надійності протоколів (як-от модель консенсусу блокчейну, проводові й однорангові протоколи, доказ частки тощо), сумісності протоколів і впровадження до безпеки мережі й цілісності консенсусу. Програма також розповсюджується на класичну систему захисту клієнтів і криптографічних примітивів. Якщо маєте сумніви, звертайтеся із запитаннями на електронну адресу bounty@ethereum.org.
У специфікаціях Ethereum детально описується обґрунтування дизайну виконавчого рівня та рівня консенсусу.
Було б корисно переглянути такі коментарі:
Клієнти запускають мережу Ethereum і повинні дотримуватися логіки, викладеної в специфікації, а також бути захищеними від потенційних атак. Помилки, які ми хочемо знайти, пов’язані з впровадженням протоколу.
Наразі клієнти виконавчого рівня (Besu, Erigon, Geth і Nethermind) і клієнти рівня консенсусу (Lighthouse, Lodestar, Nimbus, Teku та Prysm) включені до програми винагород за пошук помилок. Інших клієнтів можуть додати після завершення аудиту, коли вони будуть готові до функціонування.
Див. SECURITY.MD мовою програмування Solidity, щоб отримати детальнішу інформацію про те, що охоплює ця категорія.
Solidity не забезпечує гарантій безпеки щодо компіляції ненадійних введених даних, і ми не видаємо винагороди за збої компілятора solc на зловмисно згенерованих даних.
Специфікації та вихідний код депозитного контракту Beacon Chain є частиною програми винагород за пошук помилок.
Тільки цілі, наведені в списку об’єктів у межах програми, беруть участь у програмі винагород за пошук помилок. Це означає, що, наприклад, наша інфраструктура, як-от вебсторінки, DNS, електронна пошта тощо, не входять в обсяги пошуку. Помилки контракту ERC20 зазвичай не входять в обсяги пошуку. Але ми можемо допомогти зв’язатися з постраждалими сторонами, як-от відповідні автори або обмінники. Керування ENS здійснюється фондом ENS і також не входить в обсяги пошуку.
За кожну знайдену дійсну помилку ви зароблятимете винагороди. Кількість присуджених винагород залежатиме від серйозності помилок. Серйозність визначається відповідно до моделі оцінки ризиків OWASP на основі впливу на мережу Ethereum і рівня ймовірності. Перегляньте метод OWASP(opens in a new tab)
EF також надаватиме винагороди на основі таких факторів:
Якість опису: що чіткіший і зрозуміліший опис помилки ви подасте, то вищу винагороду отримаєте.
Якість відтворюваності: щоб мати право на винагороду, необхідно додати доказ концепції (Proof of Concept, POC). Додайте тестовий код, сценарії та детальні інструкції. Що простіше для нас відтворити й перевірити вразливість, то вища нагорода.
Якість виправлення, якщо включено: вищі винагороди виплачуються за подані матеріали з чітким описом того, як усунути проблему.
До 2000 дол. США
До 1000 балів
Серйозність
Приклад
До 10 000 дол. США
До 5000 балів
Серйозність
Приклад
До 50 000 дол. США
До 10 000 балів
Серйозність
Приклад
До 250 000 дол. США
До 25 000 балів
Серйозність
Приклад
Програма винагород за пошук помилок — це експериментальна та дискреційна програма винагород для нашої активної спільноти Ethereum, щоб заохочувати та винагороджувати тих, хто допомагає покращувати платформу. Це не змагання. Ви повинні знати, що ми можемо скасувати програму в будь-який час і що нагороди призначаються на власний розсуд ради з винагород за пошук помилок Ethereum Foundation. Крім того, ми не можемо видавати нагороди особам, які внесені до санкційних списків або перебувають у країнах із санкційних списків (наприклад, у Північній Кореї, Ірані тощо). Місцеві закони вимагають від нас запитувати документ, що підтверджує вашу особу. Ви несете відповідальність за всі податки. Усі нагороди регулюються чинним законодавством. Нарешті, ваше тестування не повинно порушувати жодного закону або компрометувати будь-які дані, які не належать вам, а також має проводитися в локальних тестових мережах.
Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на виконавчому рівні
Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на рівні консенсусу
Напишіть нам: bounty@ethereum.org(opens in a new tab)