Otvoreno za prijave
Program nagrađivanja za pogreške 
Zaradite i do 250.000 USD i mjesto na ljestvici pronalaskom pogrešaka protokola, klijenta i programskog jezika Solidity koje utječu na mrežu Ethereuma.
Klijenti uključeni u nagrađivanje
U obimu programa
Naš program nagrađivanja za pogreške pokriva cjelokupni raspon, od kraja do kraja: od jasnih protokola (npr. model konsenzusa lanca blokova, protokole prijenosa i p2p, dokaz uloga itd.) i sukladnosti protokola/implementacije do mrežne sigurnosti i intergriteta konsenzusa. Dio programa su i klasična sigurnost klijenta kao i sigurnost kriptografskih primitiva. Ako niste sigurni, pošaljiite e-poštu s pitanjem na bounty@ethereum.org.
Pogreške specifikacije
Specifikacije Ethereuma objašnjavaju logiku dizajna sloja za izvršavanje i sloja konsenzusa.
Specifikacije sloja za izvršavanje(opens in a new tab)
Bilo bi korisno provjeriti sljedeće napomene:
Vrste pogrešaka
- Pogreške u sigurnosti / prekidanju konačnosti
- Vektori uskraćivanja usluge (DOS)
- Nedosljednosti u pretpostavkama, poput situacija u kojima se mogu degradirati pošteni validatori
- Izračun ili nedosljednosti parametara
Pogreške klijenta
Klijenti pokreću mrežu Ethereuma i moraju slijediti logiku navedenu u specifikaciji da bi bili sigurni od potencijalnih napada. Poreške koje želimo pronaći povezane su s implementacijom protokola.
Trenutačno su u programu nagrađivanja za pogreške uključeni klijenti za sloj za izvršavanje (Besu, Erigon, Geth i Nethermind) i sloj konsenzusa (Lighthouse, Lodestar, Nimbus, Teku i Prysm). Nove klijente ćemo dodati nakon što se dovrši njihov pregled i kada postanu spremni za produkciju.
Vrste pogrešaka
- Problemi neusklađenosti specifikacije
- Ranjivosti neočekivanih padova, udaljenog pokretanja koda (RCE) ili uskraćivanja usluge (DOS)
- Bilo koji problemi koji uzrokuju nepopravljivi konsenzus odvajaju se od ostatka mreže
Pogreške programskog jezika Solidity
Pogledajte Solidity SECURITY.MD za više pojedinosti o tome što je uključeno u obim programa.
Programski jezik Solidity ne pruža jamstvo sigurnosti za kompilaciju nepouzdanih unosa – ne nagrađujemo za padove kompilatora solc na zlonamjerno generiranim podacima.
Korisne poveznice
SECURITY.md(opens in a new tab)
Pogreške ugovora o depozitu
Specifikacije i izvorni kôd ugovora o depozitu u nadogradnji Beacon Chain dio su programa nagrađivanja za pogreške.
Van obima
Samo se ciljevi navedeni u obimu dio programa nagrađivanja za pogreške. To znači da npr. infrastruktura (kao web-stranice, DNS, e-pošta itd.) nije u sklopu programa. Pogreške ERC20 ugovora obično nisu u obimu programa. Međutim, u tim slučajevima možemo pomoći da se o njima obavijeste dionici, npr autori. ENS održava fondacija ENS i nije dio programa nagrađivanja.
Pošaljite pogrešku
Za svaku pronađenu pogrešku dobivate nagradu. Količina nagrada ovisi o težini. Težina se računa temeljem modela ocjenjivanja rizika OWASP, utjecaja na mrežu Ethereum i vjerojatnosti ponavljanja. Pogledajte metodu OWASP(opens in a new tab)
EF će također nagrađivati na temelju:
Kvaliteta opisa: veće nagrade isplaćuju se za jasne, dobro napisane prijave.
Kvaliteta ponovljivosti: da bi prijava bila podobna za nagradu, mora biti uključen dokaz koncepta (POC). U prijavu dodajte testni kôd, skriptu i detaljne upute. Što lakše ponovimo i potvrdimo problem to je veća nagrada.
Količine ispravki, ako je uključeno: veće nagrade dodjeljuju se prijavama s jasnim uputama kako riješiti pogrešku.
Nisko
Do 2000 USD
Do 1000 bodova
Ozbiljnost
- Nizak utjecaj, srednja vjerojatnost
- Srednji utjecaj, mala vjerojatnost
Primjer
Srednje
Do 10.000 USD
Do 5000 bodova
Ozbiljnost
- Visok utjecaj, mala vjerojatnost
- Srednji utjecaj, srednja vjerojatnost
- Nizak utjecaj, visoka vjerojatnost
Primjer
Visoko
Do 50.000 USD
Do 10.000 bodova
Ozbiljnost
- Visok utjecaj, srednja vjerojatnost
- Srednji utjecaj, visoka vjerojatnost
Primjer
Kritično
Do 250.000 USD
Do 25.000 bodova
Ozbiljnost
- Veliki utjecaj, velika vjerojatnost
Primjer
Pravila lova na pogreške
Program nagrađivanja za pogreške eksperimentalni je i diskrecijski program nagrađivanja za aktivnu Ethereumovu zajednicu kojim potičemo i nagrađujemo pojedince koji nam pomažu da poboljšamo platformu. To nije natjecanje. Program u svakom trenutku možemo otkazati, a nagrade se dodjeljuju prema nagođenju panela za nagrađivanja za pogreške fondacije Ethereum. Nadalje, ne možemo dodijeliti nagrade pojedincima koji se nalaze na popisu sankcija ili koji su stanovnici država na popisu sankcija (npr. Sjeverna Koreja, Iran itd.). Lokalni zakoni zahtijevaju od nas da od vas tražimo dokaz o identitetu. Svi porezi su vaša odgovornost. Sve nagrade podliježu primjenjivim zakonima. I konačno, vaše testiranje ne smije kršiti zakon ili ugrožavati podatke koji nisu vaše vlasništvo te se mora odvijati na lokalno testnim mrežama.
- Problemi bez dokaza koncepta ili koje je već poslao drugi korisnik ili su već poznati osobama koje održavaju specifikacije i klijente ne ispunjavaju uvjete za nagrade.
- Javno otkrivanje ranjivosti čini je neprihvatljivom za nagradu.
- Zaposlenici i podugovaratelji fondacije Ethereum ili timovi za razvoj klijenata u sklopu programa nagrađivanja mogu sudjelovati u programu samo kroz prirast bodova i oni neće dobivati novčane nagrade.
- Ethereum program nagrađivanja uzima u obzir brojne varijable u određivanju nagrada. Određivanje prihvatljivosti, rezultat i svi uvjeti koji se odnose na nagradu isključivo su odluka odbora za nagrade za lov na pogreške zaklade Ethereum.
Ljestvica programa nagrađivanja za pogreške u sloju za izvršavanje
Pronađite pogreške u sloju za izvršavanje da bismo vas dodali na ovu ljestvicu
- 11In place number 11 with 13000 pointsBob Conan13000 bodovi
- 13In place number 13 with 12500 pointsRalph Pichler12500 bodovi
- 15
- 18
- 19
- 30
- 36
- 43
- 48
- 50In place number 50 with 500 pointsjazzybedi500 bodovi
Ljestvica programa nagrađivanja za pogreške u sloju konsenzusa
Pronađite pogreške u sloju konsenzusa da bismo vas dodali na ovu ljestvicu
- 5In place number 5 with 10000 pointsscio10000 bodovi
- 15In place number 15 with 1750 pointsAkincibor1750 bodovi
Često postavljana pitanja
Pitanja?
Pošaljite nam poruku e-pošte: bounty@ethereum.org(opens in a new tab)
