Програма за търсене на бъгове в Eth2

Отворено за изпращане

Търсене на бъгове в Eth2

Спечелете до 50 000 щатски долара и място в класацията, като намирате бъгове в протокола на Eth2 и при клиентите.

Докладвайте за бъг Прочетете правилата

protolambda

42400 точки

Quan Thoi Minh Nguyen

Вижте цялата класация

Клиенти, споменати в изследванията

Валидни бъгове

Тази програма за търсене на бъгове е фокусирана в намирането на бъгове в основната спецификация на Сигналната верига на Eth2 и в изпълненията на клиентите на Prysm, Lighthouse и Teku.

Бъгове в спецификацията на сигналната верига

Спецификацията на сигналната верига разглежда подробно обосновката на дизайна и предложените промени в Етереум чрез ъпгрейда на сигналната верига.

Прочетете цялата спецификация

Може би е полезно да проверите следните бележки:

Видове бъгове

бъгове в безопасността/завършването на блока.
вектори на отказа от изпълнение/denial of service (DOS)
несъответствия при преценките, като случаи, където честни валидатори могат да бъдат наказани и изхвърлени.
несъответствия в изчисленията или параметрите.

Документи за спецификацията

Сигнална верига

Избор на вилица

Договор за депозит в Solidity

Точка-до-точка мрежово свързване

Бъгове при клиенти на Eth2

Клиентите ще управляват сигналната верига веднага щом се направи ъпгрейдът. Клиентите ще трябва да следват логиката на сета в спесификацията и да се подсигурят срещу потенциални атаки. Бъговете, които искаме да открием, са свързани с прилагането на протокола.

Понастоящем бъговете Lighthouse, Nimbus, Teku и Prysm са допустими при това изследване. Могат да бъдат добавени и повече клиенти, когато те приключат с одита и станат готови за пускане.

Видове бъгове

проблеми при несъответствие в спецификацията.
уязвимости от типа на неочаквани провали или отказ на услуги/denial of service (DOS).
други проблеми, които причиняват непоправими консенсусни сплитове от останалата мрежа.

Полезни връзки

Не включва

Веригата от компоненти и док ъпгрейдите все още са в активна разработка и не са включени в тази програма за търсене на бъгове.

Докладвайте за бъг

За всеки открит бъг ще получите точки като награда. Точките, които ще спечелите, зависят от сериозността на бъга. Фондация Етереум (EF) определя тази сериозност по метода OWASP. Вижте OWASP метода

Фондация Етереум ще дава точки на основата на:

Качество на описанието: По-високи награди се изплащат при ясни и добре написани заявления.

Качество на възпроизводимост: Моля, включете тест код, скриптове и подробни указания. Колкото е по-лесно за нас да възпроизведем и установим уязвимостта, толкова по-голяма ще е наградата.

Качество на поправките, ако е включено: По-високи награди се плащат за заявления с ясно описание как да се реши проблемът.

Размяна на точки

1 точка

Зареждане на данни...

Фондация Етереум ще изплаща стойността на USD в ETH или DAI.

Фондация Етереум си запазва правото да прави промени без предварително уведомление.

До 1000 точки

Ниско

До 2000 DAI

Трудност

Ниско въздействие, средна вероятност
Средно въздействие, ниска вероятност

Пример

Атакуващият може понякога да постави даден нод в състояние, което ще предизвика падането на една от всеки сто атестации, направени от валидатора

Докладвайте за бъг с нисък риск

До 5000 точки

Средно

До 10 000 DAI

Трудност

Високо въздействие, ниска вероятност
Средно въздействие, средна вероятност
Ниско въздействие, висока вероятност

Пример

Атакуващият може успешно да проведе прикрити атаки на нодове с peer-id с 4 водещи нулеви битове/4 leading zero bytes

Докладвайте за бъг със среден риск

До 10 000 точки

Високо

До 20 000 DAI

Трудност

Високо въздействие, средна вероятност
Средно въздействие, висока вероятност

Пример

Съществува бъг в консенсуса между двама клиенти, но е трудно или непрактично за атакуващия да предизвика такова събитие.

Докладвайте за бъг с висок риск

До 25 000 точки

Критично важно

До 50 000 DAI

Трудност

High impact, high likelihood

Пример

Съществува бъг в консенсуса между двама клиенти и за атакуващия не е от значение да предизвика такова събитие.

Докладвайте за бъг с критичен риск

Правила при търсене на бъгове

Програмата за откриване на бъгове е експериментална и наградите са по усмотрение на нашата активна Етереум общност с цел поощряване и награда за тези, които помагат за усъвършенстване на платформата. Това не е състезание. Трябва да сте наясно, че може да спрем програмата по всяко време и наградите са единствено по преценка на панела за откриване на бъгове на Фондация Етереум. Също така не може да даваме награди на хора, които са в списъци на санкционирани лица, или които се намират в страни, включени в такива списъци (например Северна Корея, Иран и други). Всички данъци са ваша отговорност. Всички награди са подчинени на съответните закони. И накрая, вашите опити не трябва на нарушават никакви закони или да компрометират данни, които не са ваши.

Проблеми, които вече са докладвани от друг потребител, или са вече известни в спецификацията и поддръжката на клиентите, не подлежат на награди в това търсене на бъгове.
Публичното оповестяване на дадена уязвимост я прави неприемлива за това търсене.
Специалистите от Фондация Етереум и служителите от клиентските екипи на Eth2 не подлежат на награждаване.
Програмата на Етереум за търсене на бъгове се съобразява с редица варианти при определяне на наградите. Определянето на приемливостта, резултата и всички условия, свързани с дадена награда, са окончателна преценка единствено и само на панела за търсене на бъгове на Фондация Етереум.