Eth2 bug vadászati program

Nyitott a beadványokra

Eth2 bug vadászatok

Nyerj akár 50 000 USD-t és egy helyet a ranglétrán Eth2 protokoll és kliens bugok megtalálásával.

Bug beküldése Szabályok elolvasása

protolambda

42400 pontok

Quan Thoi Minh Nguyen

Teljes ranglista megtekintése

A vadászatban szereplő kliensek

Érvényes bugok

Ez a bug vadászati program az Eth2 Beacon Chain core specifikációban és a Prysm, Lighthouse, valamint Teku kliens implementációkban található bugokra fókuszál.

A Beacon Chain specifikáció bugjai

A Beacon Chain specifikáció részletezi a design indoklását és az Ethereum javasolt változásait a Beacon Chain fejlesztésen keresztül.

Teljes specifikáció elolvasása

Hasznos lehet megnézni a következő annotációkat:

Bug típusok

biztonságot/véglegesítést megtörő bugok.
szolgáltatásmegtagadás (DOS) vektorok
inkonzisztencia a feltételezésekben, például olyan szituációk, ahol helyesen cselekvő validátorok kerülnek megvágásra.
számítási vagy paraméter inkonzisztenciák.

Specifikáció dokumentumok

Beacon Chain

Fork választás

Solidity letéti szerződés

Peer-to-peer hálózatok

Eth2 kliens bugok

A kliensek fogják futtatni a Beacon Chaint, amint a fejlesztés megtörténik. A klienseknek egy specifikációban meghatározott logikai halmazt kell követniük és biztonságosnak kell lenniük potenciális támadásokkal szemben. A bugokat, amiket szeretnénk megtalálni a protokoll implementációhoz kapcsolódnak.

Kizárólag a Lighthouse, Nimbus, Teku és a Prysm bugjai vannak figyelembe véve ennél a vadászatnál. Több klienst is hozzá fogunk adni, amint teljesítik az auditokat és gyártásra készen állnak.

Bug típusok

specifikáció nem-megfelelési problémák.
váratlan összeomlások vagy szolgáltatásmegtagadási (DOS) sérülékenységek.
bármilyen probléma, ami javíthatatlan konszenzus törést okoz a hálózat többi része számára.

Hasznos linkek

Nem tartalmazza

A shard láncok és a dokkolási fejlesztések még aktív fejlesztés alatt állnak és emiatt nem tartalmazza őket ez a vadászati program.

Bug beküldése

Minden egyes megtalált bugért pontokat kapsz. A pontok mennyisége függ a bug súlyosságától. Az Ethereum Alapítvány (EF) meghatározza a súlyosságot az OWASP módszer alkalmazásával. OWASP módszer megtekintése

Továbbá az EF pontokat ad a következők alapján:

A leírás minősége: Magasabb jutalom jár a tiszta, jól megfogalmazott beadványokért.

Reprodukálhatóság minősége: Kérjük adj meg teszt kódot, scripteket és részletes instrukciókat. Minél egyszerűbb előteremtenünk és hitelesítenünk a sérülékenységet, annál nagyobb a díj.

A javítás minősége, ha tartalmazza: Magasabb díj jár az olyan beadványokért, melyek világosan leírják a probléma javítását.

Pont beváltás

1 pont

Adatok betöltése...

Az Ethereum Alapítvány ETH-ben vagy DAI-ban fizeti ki az USD értékét.

Az Ethereum Alapítvány fenntartja az előzetes bejelentés nélkül történő változatás jogát.

1000 pontig

Alacsony

2000 DAI-ig

Súlyosság

Kisebb hatás, közepes valószínűség
Közepes behatás, alacsony valószínűség

Példa

Egy támadó néha egy csomópontot olyan állapotba hozhat, ami miatt a validátor által elvégzett minden száz igazolásból egy kiesik

Alacsony kockázatú bug beadása

5000 pontig

Közepes

10 000 DAI-ig

Súlyosság

Magas hatás, alacsony valószínűség
Közepes hatás, közepes valószínűség
Alacsony hatás, magas valószínűség

Példa

Egy támadó sikeresen végrehajthat "eclipse" támadásokat olyan csomópontokon, melyek 4 vezető nulla bájtos peer-idvel rendelkeznek

Közepes kockázatú bug beadása

10 000 pontig

Magas

20 000 DAI-ig

Súlyosság

Magas hatás, közepes valószínűség
Közepes hatás, magas valószínűség

Példa

Van egy konszenzus bug két kliens között, de nehéz vagy nem praktikus a támadó számára beindítani a támadást.

Magas kockázatú bug beadása

25 000 pontig

Kritikus

50 000 DAI-ig

Súlyosság

Magas hatás, magas valószínűség

Példa

Van egy konszenzus bug két kliens között és a támadó számára triviális beindítani a támadást.

Kritikus kockázatú bug beadása

Bug vadászat szabályok

A bug vadászat program egy kísérleti és diszkrecionális jutalomprogram aktív Ethereum közösségünk számára, hogy ösztönözze és megjutalmazza azokat, akik segítenek a platform fejlesztésében. Nem egy verseny. Tudnod kell, hogy bármikor lemondhatjuk a programot, és a díjazást az Ethereum Alapítvány bug vadászati panele határozza meg. Továbbá nem adhatunk jutalmakat olyan egyéneknek, akik szankciós listákon szerepelnek, vagy szankciós listákon lévő országokban élnek (pl. Észak-Korea, Irán stb.). Az adózásért teljes mértékben te vagy felelős. Minden díjra a vonatkozó törvények vonatkoznak. Végül a tesztelés nem sérthet semmilyen törvényt, és nem sérthet olyan adatokat, amelyek nincsenek a birtokodban.

Azok a problémák, amelyeket már más felhasználó beküldött vagy ismertek a specifikáció és kliens karbantartóknak, nem számítanak be a vadászat díjazásába.
Sérülékenységek nyilvános közzététele alkalmatlanná teszi azt a vadászatban.
Az Ethereum Alapítvány kutatói és az Eth2 kliens csapatok alkalmazottai nem vehetnek részt a díjazásban.
Az Ethereum vadászati program a díjak meghatározásánál több változót is figyelembe vesz. A jogosultság, a pontszám és a díjjal kapcsolatos feltételek meghatározása az Ethereum Alapítvány bug vadászati testületének kizárólagos és végső döntése.