Διαθέσιμο για υποβολή προτάσεων
Πρόγραμμα εντοπισμού σφαλμάτων
Κερδίστε έως και 250.000 USD και μια θέση στον πίνακα κατάταξης με την εύρεση του πρωτοκόλλου, της εφαρμογής πελάτη και των σφαλμάτων γλώσσας μεταγλωττιστή που επηρεάζουν το δίκτυο του Ethereum.
Εφαρμογές πελάτη επιλέξιμες για ανταμοιβές εντοπισμού σφαλμάτων
Εντός πεδίου εφαρμογής
page-upgrades-bug-bounty-validity-desc
Σφάλματα προδιαγραφών
Οι Προδιαγραφές του Ethereum περιγράφουν λεπτομερώς το σκεπτικό του σχεδιασμού για το Επίπεδο εκτέλεσης και το Επίπεδο συναίνεσης.
Προδιαγραφές επιπέδου εκτέλεσης
Ίσως σας φανεί χρήσιμο να ρίξετε μια ματιά στις παρακάτω σημειώσεις:
Τύποι σφαλμάτων
- Σφάλματα παραβίασης ασφάλειας / Σφάλματα κατά την ολοκλήρωση
- Φορείς άρνησης υπηρεσίας (DOS)
- Ασυνέπειες σε παραδοχές, όπως καταστάσεις όπου επιβεβαιωμένοι επικυρωτές μπορούν να υποστούν περικοπή (slashing)
- Ασυνέπειες υπολογισμού ή παραμέτρων
Έγγραφα προδιαγραφών
Σφάλματα λογισμικών πελάτη
Οι εφαρμογές πελάτη εκτελούν το δίκτυο του Ethereum. Πρέπει να ακολουθούν τη λογική λειτουργίας που ορίζεται στις προδιαγραφές και να παρέχουν ασφάλεια κατά πιθανών επιθέσεων. Τα σφάλματα που θέλουμε να εντοπίσουμε σχετίζονται με την εφαρμογή του πρωτοκόλλου.
Αυτήν τη στιγμή, στο Πρόγραμμα εντοπισμού σφαλμάτων (Bug Bounty Program) περιλαμβάνονται οι εφαρμογές πελάτη επιπέδου εκτέλεσης (Besu, Erigon, Geth, Nethermind και Reth) και οι εφαρμογές πελάτη επιπέδου συναίνεσης (Lighthouse, Lodestar, Nimbus, Teku και Prysm). Περισσότερες εφαρμογές πελάτη ενδέχεται να προστεθούν με την ολοκλήρωση των ελέγχων και τη διάθεσή τους για πλήρη λειτουργία.
Τύποι σφαλμάτων
- Ζητήματα μη συμμόρφωσης προδιαγραφών
- Μη αναμενόμενες καταρρεύσεις, ευπάθειες απομακρυσμένης εκτέλεσης εντολών (RCE) ή άρνησης υπηρεσίας (denial of service)
- Τυχόν ζητήματα που προκαλούν ανεπανόρθωτο διαχωρισμό συναίνεσης από το υπόλοιπο δίκτυο
Σφάλματα γλώσσας μεταγλωττιστή
Οι μεταγλωττιστές Solidity και Vyper εμπίπτουν στο πεδίο εφαρμογής του προγράμματος εντοπισμού σφαλμάτων. Συμπεριλάβετε όλες τις απαραίτητες λεπτομέρειες για την αναπαραγωγή της ευπάθειας, όπως τα εξής: Πρόγραμμα εισόδου που ενεργοποιεί το σφάλμα, Έκδοση μεταγλωττιστή που επηρεάζεται, Έκδοση στόχου EVM, Framework/IDE εάν υπάρχει, περιβάλλον/πελάτης εκτέλεσης EVM εάν υπάρχει και λειτουργικό σύστημα. Συμπεριλάβετε τα βήματα για την αναπαραγωγή του σφάλματος που έχετε βρει με όσο το δυνατόν περισσότερες λεπτομέρειες.
Η Solidity και η Vyper δεν διατηρούν εγγυήσεις ασφαλείας όσον αφορά τη μεταγλώττιση μη αξιόπιστης εισόδου και ούτε εκδίδουμε ανταμοιβές για καταρρεύσεις του μεταγλωττιστή σε κακόβουλη παραγωγή δεδομένων.
Σφάλματα σύμβασης κατάθεσης
Οι προδιαγραφές και ο πηγαίος κώδικας του συμβολαίου κατάθεσης της Κύριας Αλυσίδας είναι μέρος του προγράμματος εύρεσης σφαλμάτων.
Dependency bugs
Ορισμένες εξαρτήσεις είναι ζωτικής σημασίας για τη λειτουργία του Δικτύου Ethereum και ορισμένες από αυτές έχουν προστεθεί στο πρόγραμμα επιβράβευσης σφαλμάτων. Επί του παρόντος, η λίστα των εξαρτήσεων που περιλαμβάνονται στο πρόγραμμα επιβράβευσης σφαλμάτων είναι C-KZG-4844 και Go-KZG-4844.
Vulnerability severity qualifications
Severity is assessed based on a discovered vulnerability's ability to do the following:
Low severity
- Slash >0.01% of validators
- Trivially cause network splits affecting >0.01% of the network
- Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
- Slash >1% of validators
- Trivially cause network splits affecting >5% of the network
- Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
- Slash >33% of validators
- Trivially cause network splits affecting >33% of the network
- Be able to bring down >33% of the network by sending a single network packet or an onchain transaction
Critical severity
- Slash >50% of validators
- Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
- Steal ETH from all EOAs
- Burn ETH from all EOAs
- Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients
Εκτός πεδίου εφαρμογής
Στο Πρόγραμμα εντοπισμού σφαλμάτων συμπεριλαμβάνονται μόνο οι στόχοι που απαριθμούνται ως «εντός πεδίου εφαρμογής». Αυτό σημαίνει ότι, για παράδειγμα, οι υποδομές μας, όπως ιστοσελίδες, dns, email κ. λπ., δεν αποτελούν μέρος του πεδίου αναζήτησης. Τα σφάλματα συμβολαίων ERC20 συνήθως δεν αποτελούν αντικείμενο του πεδίου. Ωστόσο, σε τέτοιες περιπτώσεις μπορούμε να βοηθήσουμε στην επικοινωνία με θιγόμενα μέρη, όπως συντάκτες ή ανταλλακτήρια. Το ENS συντηρείται από το ίδρυμα ENS και δεν αποτελεί μέρος του πεδίου αναζήτησης. Οι ευπάθειες που απαιτούν από τον χρήστη να έχει εκθέσει δημόσια ένα API, όπως το JSON-RPC ή το Beacon API, δεν εμπίπτουν στο πεδίο εφαρμογής του προγράμματος εντοπισμού σφαλμάτων.
- Infrastructure bugs—such as webpages, dns, email, etc.*
- ERC-20 contract bugs*
- Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
- Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
- Typographical errors
- Tests
- High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
- Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases
Αναφορά σφάλματος
Για κάθε έγκυρο σφάλμα που εντοπίζετε, θα κερδίζετε ανταμοιβές. Η ποσότητα των ανταμοιβών που θα σας δοθούν θα ποικίλλει ανάλογα με τη Σοβαρότητα. Η σοβαρότητα υπολογίζεται σύμφωνα με το μοντέλο διαβάθμισης κινδύνου OWASP που βασίζεται στις Επιπτώσεις στο Δίκτυο του Ethereum και την Πιθανότητα εμφάνισης. Προβολή μεθόδου OWASP
Το EF θα παρέχει επίσης ανταμοιβές με βάση τα εξής:
Ποιότητα περιγραφής: Δίδονται υψηλότερες ανταμοιβές για σαφείς και καλογραμμένες περιγραφές.
Ποιότητα αναπαραγωγιμότητας: πρέπει να περιλαμβάνεται επαλήθευση ιδέας (Proof of Concept – POC) για να πληρούνται τα κριτήρια ανταμοιβής. Παρακαλούμε να συμπεριλαμβάνετε τον δοκιμαστικό κώδικα, τα σενάρια και λεπτομερείς οδηγίες. Όσο πιο εύκολο είναι για εμάς να αναπαράγουμε και να επαληθεύσουμε την ευπάθεια, τόσο υψηλότερη θα είναι η ανταμοιβή.
Ποιότητα διόρθωσης, εάν περιλαμβάνεται: δίδονται υψηλότερες ανταμοιβές για τα κείμενα με σαφή περιγραφή του τρόπου διόρθωσης του σφάλματος.
Χαμηλός
Έως 2.000 USD
Έως 1.000 πόντοι
Σοβαρότητα
- Χαμηλού επηρεασμού, μέτριας πιθανότητας
- Μέτριου επηρεασμού, χαμηλή πιθανότητα
Παράδειγμα
Ο κακόβουλος χρήστης μπορεί μερικές φορές να θέσει έναν κόμβο σε κατάσταση που θα τον αναγκάζει να απορρίψει μία επιβεβαίωση από κάθε εκατό που έλαβε από έναν επικυρωτή
Μεσαίο
Έως 10.000 USD
Έως 5.000 πόντοι
Σοβαρότητα
- Υψηλού επηρεασμού, χαμηλή πιθανότητα
- Μέτριου επηρεασμού, μέτρια πιθανότητα
- Χαμηλού επηρεασμού, υψηλή πιθανότητα
Παράδειγμα
Ένας κακόβουλος χρήστης μπορεί να διεξάγει με επιτυχία επιθέσεις έκλειψης σε κόμβους με χρήση αναγνωριστικών ομότιμων που έχουν 4 byte αρχικών μηδενικών
Υψηλό
Έως 50.000 USD
Έως 10.000 πόντοι
Σοβαρότητα
- Υψηλού επηρεασμού, μέτρια πιθανότητα
- Μέτριου επηρεασμού, υψηλή πιθανότητα
Παράδειγμα
Ο κακόβουλος χρήστης μπορεί να διαιρέσει επιτυχώς μεγάλα μέρη του δικτύου, ενώ η ενεργοποίηση της ευπάθειας είναι σύνηθες φαινόμενο για τον κακόβουλο χρήστη
Κρίσιμο
Έως 250.000 USD
Έως 25.000 πόντοι
Σοβαρότητα
- Υψηλού επηρεασμού, υψηλής πιθανότητα
Παράδειγμα
Ο κακόβουλος χρήστης μπορεί να πραγματοποιήσει επιτυχώς απομακρυσμένη εκτέλεση κώδικα σε μια εφαρμογή πελάτη πλειοψηφίας, ενώ η ενεργοποίηση της ευπάθειας είναι σύνηθες φαινόμενο για τον κακόβουλο χρήστη
Κανόνες εντοπισμού σφαλμάτων
Το πρόγραμμα εντοπισμού σφαλμάτων είναι ένα πειραματικό και προαιρετικό πρόγραμμα ανταμοιβών για την ενεργή κοινότητα του Ethereum, το οποίο αποσκοπεί να ενθαρρύνει και να ανταμείψει αυτούς που βοηθούν στη βελτίωση της πλατφόρμας. Δεν πρόκειται για διαγωνισμό. Θα πρέπει να γνωρίζετε ότι μπορούμε να ακυρώσουμε το πρόγραμμα ανά πάσα στιγμή και ότι τα βραβεία έγκεινται στη διακριτική ευχέρεια της επιτροπής του Ιδρύματος Ethereum για το εν λόγω πρόγραμμα. Επιπλέον, δεν είμαστε σε θέση να χορηγήσουμε βραβεία σε άτομα που βρίσκονται σε καταλόγους κυρώσεων ή που βρίσκονται σε χώρες που περιλαμβάνονται σε καταλόγους κυρώσεων (π.χ. Βόρεια Κορέα, Ιράν κ.λπ.). Η τοπική νομοθεσία μάς υποχρεώνει να σας ζητήσουμε αποδεικτικό της ταυτότητάς σας. Εσείς είστε υπεύθυνοι για την απόδοση τυχόν φόρων. Όλα τα βραβεία υπόκεινται στην ισχύουσα νομοθεσία. Τέλος, οι δοκιμαστικές ενέργειές σας δεν πρέπει να παραβιάζουν κανένα νόμο ή να θέτουν σε κίνδυνο δεδομένα που δεν σας ανήκουν, και πρέπει να λαμβάνουν χώρα σε τοπικά δοκιμαστικά δίκτυα.
- Τα σφάλματα που υποβάλλονται χωρίς επαλήθευση ιδέας (POC), που έχουν ήδη αναφερθεί από άλλους χρήστες ή που είναι ήδη γνωστά στην ομάδα ελέγχου και συντήρησης δεν θα λαμβάνουν ανταμοιβή.
- Η δημοσιοποίηση μιας ευπάθειας ή αναφορά σε τρίτο μέρος χωρίς τη σύμφωνη γνώμη, την καθιστά μη επιλέξιμη για ανταμοιβή.
- Οι εργαζόμενοι και οι εξωτερικοί συνεργάτες του Ιδρύματος Ethereum ή οι ομάδες εφαρμογών πελάτη που εμπίπτουν στο πλαίσιο του προγράμματος εντοπισμού σφαλμάτων μπορούν να συμμετέχουν στο εν λόγω πρόγραμμα μόνο για τη συγκέντρωση βαθμών και δεν θα λαμβάνουν χρηματικές ανταμοιβές.
- Το πρόγραμμα ανταμοιβών του Ethereum εξετάζει μια σειρά μεταβλητών για τον καθορισμό των ανταμοιβών. Ο προσδιορισμός της επιλεξιμότητας, της βαθμολογίας και όλων των όρων που σχετίζονται με ένα βραβείο έγκειται στην αποκλειστική και τελική διακριτική ευχέρεια της οικείας επιτροπής του Ιδρύματος Ethereum.
Πίνακας κατάταξης του Προγράμματος εντοπισμού σφαλμάτων για το Επίπεδο εκτέλεσης
Εντοπίστε σφάλματα του επιπέδου συναίνεσης και κατακτήστε μια θέση στον πίνακα κατάταξης
Πίνακας κατάταξης του Προγράμματος εντοπισμού σφαλμάτων για το Επίπεδο συναίνεσης
Εντοπίστε σφάλματα του επιπέδου συναίνεσης και κατακτήστε μια θέση στον πίνακα κατάταξης
Ερωτήσεις;
Στείλτε μας email: bounty@ethereum.org