Ana içeriğe geç

Ödüllerde yer alan istemciler

Kapsam dahilinde

page-upgrades-bug-bounty-validity-desc

Spesifikasyon hataları

Ethereum Spesifikasyonları, Yürütüm Katmanı ve Fikir Birliği Katmanı için tasarım mantığını detaylandırır.

Fikir Birliği Katmanı Spesifikasyonlarıopens in a new tab
Yürütüm Katmanı Spesifikasyonlarıopens in a new tab

Hata türleri

  • Güvenlik/kesinlik bozan hatalar
  • Hizmet reddi (DOS) vektörleri
  • Dürüst doğrulayıcıların kesilebileceği durumlar gibi varsayım tutarsızlıkları
  • Hesaplama veya parametre tutarsızlıkları

İstemci hataları

İstemciler Ethereum Ağı'nı çalıştırır ve spesifikasyonda belirtilen mantığı takip etmeleri ve olası saldırılara karşı güvende olmaları gerekir. Bulmak istediğimiz hatalar, protokolün uygulanmasıyla ilgilidir.

Şu anda yürütüm katmanı istemcileri (Besu, Erigon, Geth, Nethermind ve Reth) ve fikir birliği katmanı istemcileri (Lighthouse, Lodestar, Nimbus, Teku ve Prysm), Hata Ödülü Programına dahil edilmiştir. Denetimleri tamamlayıp üretime hazır hale geldikçe daha fazla istemci eklenebilir.

Hata türleri

  • Spesifikasyon uyumsuzluk sorunları
  • Beklenmeyen çökmeler, RCE veya hizmet reddi (DOS) güvenlik açıkları
  • Ağın geri kalanından onarılamaz mutabakat ayrılıklarına yol açan tüm sorunlar

Solidity hataları

Bu kapsama nelerin dahil olduğu hakkında daha fazla ayrıntı için Solidity SECURITY.MD'ye bakın.

Solidity, güvenilmeyen girdilerin derlenmesiyle ilgili güvenlik garantilerine sahip değildir; biz de, solc derleyicisinin kötü amaçla oluşturulmuş veriler üzerindeki çökmeleri için ödül vermiyoruz.

Mevduat Sözleşmesi hataları

İşaret Zinciri Mevduat Sözleşmesinin spesifikasyonu ve kaynak kodu, hata ödülü programının bir parçasıdır.

Bağımlılık hataları

Bazı bağımlılıklar, Ethereum Ağı'nın çalışması açısından kritik öneme sahiptir ve bunlardan bazıları hata ödül programına eklenmiştir. Şu anda, hata ödül programına dahil olan bağımlılıklar C-KZG-4844 ve Go-KZG-4844'tür.

Vulnerability severity qualifications

Severity is assessed based on a discovered vulnerability's ability to do the following:

Low severity

  • Slash >0.01% of validators
  • Trivially cause network splits affecting >0.01% of the network
  • Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction

Medium severity

  • Slash >1% of validators
  • Trivially cause network splits affecting >5% of the network
  • Be able to bring down >5% of the network by sending a single network packet or an onchain transaction

High severity

  • Slash >33% of validators
  • Trivially cause network splits affecting >33% of the network
  • Be able to bring down >33% of the network by sending a single network packet or an onchain transaction

Critical severity

  • Slash >50% of validators
  • Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
  • Steal ETH from all EOAs
  • Burn ETH from all EOAs
  • Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients

Kapsam dışı

Yalnızca kapsam dahilinde listelenen hedefler Hata Ödülü Programının bir parçasıdır. Bu, örneğin web sayfaları, dns, e-posta gibi altyapı unsurlarımızın ödül kapsamının bir parçası olmadığı anlamına gelir. ERC20 sözleşme hataları genellikle ödül kapsamına dahil edilmez. Ancak, bu gibi durumlarda yazarlar veya borsalar gibi etkilenen taraflara ulaşılmasına yardımcı oluruz. ENS, ENS vakfı tarafından sürdürülür ve ödül kapsamının bir parçası değildir. Kullanıcının JSON-RPC veya Beacon API gibi halka açık bir API'ye sahip olmasını gerektiren açıklıklar hata ödülü programının kapsamı dışındadır.

  • Infrastructure bugs—such as webpages, dns, email, etc.*
  • ERC-20 contract bugs*
  • Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
  • Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
  • Typographical errors
  • Tests
  • High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
  • Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)

*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases

Hata bildirin

Bulduğunuz her geçerli hata için ödül kazanacaksınız. Verilen ödüllerin miktarı, Önem Derecesine bağlı olarak değişecektir. Önem derecesi, Ethereum Ağı Üzerindeki Etki ve Olabilirlik temelinde OWASP risk derecelendirme modeline göre hesaplanır. OWASP yöntemini görüntüleopens in a new tab

EF, ayrıca aşağıdakilere dayalı olarak da ödüller verecektir:

Açıklamanın kalitesi: Açık, iyi yazılmış başvurular için daha yüksek ödüller ödenir.

Tekrarlanabilirlik kalitesi: Ödüllere, uygun kabul edilebilmeleri için bir Kavram Kanıtı (POC) eklenmelidir. Lütfen test kodunu, komut dosyalarını ve ayrıntılı talimatları ekleyin. Güvenlik açığını yeniden oluşturmak ve doğrulamak bizim için ne kadar kolay olursa, ödül de o kadar yüksek olur.

Dahilse çözüm kalitesi: Sorunun nasıl çözüleceğine dair net bir açıklama içeren başvurular için daha yüksek ödüller ödenir.

2.000 ABD Dolarına kadar

Düşük

2.000 ABD Dolarına kadar

1.000 puana kadar

Önem Derecesi

  • Düşük etki, orta olasılık
  • Orta etki, düşük olasılık

Örnek

Saldırgan bazen bir düğümü, doğrulayıcı tarafından yapılan her yüz onaydan birini bırakmasına neden olacak bir duruma getirebilir

Düşük riskli hata bildirinopens in a new tab
10.000 ABD Dolarına kadar

Medium

10.000 ABD Dolarına kadar

5.000 puana kadar

Önem Derecesi

  • Yüksek etki, düşük olasılık
  • Orta etki, orta olasılık
  • Düşük etki, yüksek olasılık

Örnek

Saldırgan, başında 4 sıfırlı bayt bulunduran eş kimlikli düğümlere başarılı tutulma saldırıları gerçekleştirebilir

Orta riskli hata bildirinopens in a new tab
50.000 ABD Dolarına kadar

Yüksek

50.000 ABD Dolarına kadar

10.000 puana kadar

Önem Derecesi

  • Yüksek etki, orta olasılık
  • Orta etki, yüksek olasılık

Örnek

Saldırgan, ağın büyük parçalarını başarıyla ayırabilir ve bir saldırgan için kırılganlığı tetiklemek sıradan bir iştir

Yüksek riskli hata bildirinopens in a new tab
250.000 ABD Dolarına kadar

Kritik

250.000 ABD Dolarına kadar

25.000 puana kadar

Önem Derecesi

  • Yüksek etki, yüksek olasılık

Örnek

Saldırgan, çoğunluk istemcisindeki kod yürütmesini uzaktan başarıyla yönetebilir ve bir saldırgan için güvenlik açığını bulup tetiklemek sıradan bir iştir

Kritik riskli hata bildirinopens in a new tab

Hata yakalama kuralları

Hata ödülü programı, platformu geliştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek amacı taşıyan, aktif Ethereum topluluğumuz için deneysel ve isteğe bağlı bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi bilmelisiniz ve ödüller tamamen Ethereum Foundation hata ödülü panelinin takdirindedir. Ayrıca, yaptırım listelerinde bulunan veya yaptırım listesindeki ülkelerde ikamet eden (ör. Kuzey Kore, İran vb.) kişilere ödül veremiyoruz. Yerel yasalar, kimliğinizi kanıtlamamızı gerektirebilir. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli yasalara tabidir. Son olarak, testiniz herhangi bir yasayı ihlal etmemeli veya size ait olmayan ve yerel çalışan test ağlarında gerçekleştirilmesi gereken hiçbir veriyi tehlikeye atmamalıdır.

  • POC'si olmayan veya başka bir kullanıcı tarafından gönderilmiş veya spesifikasyonlar ve istemci bakımcıları tarafından zaten bilinen sorunlar ödüller için uygun değildir.
  • Bir güvenlik açığının kamuya açıklanması veya önceden anlaşmadan diğer taraflara bildirilmesi, ödül için uygunluğunu yitirmesine neden olur.
  • Ödül programı kapsamında, Ethereum Foundation çalışanları ve yüklenicileri veya müşteri ekipleri programa yalnızca puan toplama açısından katılabilir ve parasal ödül alamazlar.
  • Ethereum ödül programı, ödüllerin belirlenmesinde bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi, Ethereum Foundation hata ödül panelinin yegâne ve nihai takdirine bağlıdır.

Yürütüm Katmanı Hata Ödülü liderlik tablosu

Bu lider tablosunda yer almak için yürütüm katmanındaki hataları bulun

Fikir Birliği Katmanı Hata Ödülü liderlik tablosu

Bu lider tablosunda yer almak için fikir birliği katmanındaki hataları bulun

Sıkça sorulan sorular

Page last update: 1 Ekim 2025

Sorunuz var mı?

Bize e-posta gönderin: bounty@ethereum.orgopens email client

Bu sayfa yararlı oldu mu?