জমা দেওয়ার জন্য উন্মুক্ত

বাগ বাউন্টি প্রোগ্রাম

ইথেরিয়াম নেটওয়ার্ককে প্রভাবিত করে এমন প্রোটোকল, ক্লায়েন্ট এবং ভাষা কম্পাইলার বাগ খুঁজে বের করে 250,000 USD পর্যন্ত উপার্জন করুন এবং লিডারবোর্ডে একটি স্থান অর্জন করুন।

একটি বাগ জমা দিন নিয়ম পড়ুন

1
hGaopens in a new tab
In place number 1 with 67000 pointsMartin Holst Swende (See Github Profile)opens in a new tab
67000 পয়েন্ট
2
gGaopens in a new tab
In place number 2 with 53100 pointsGuido Vranken (See Github Profile)opens in a new tab
53100 পয়েন্ট
3
pGaopens in a new tab
In place number 3 with 42400 pointsprotolambda (See Github Profile)opens in a new tab
42400 পয়েন্ট
4
sGaopens in a new tab
In place number 4 with 35000 pointsSam Sun (See Github Profile)opens in a new tab
35000 পয়েন্ট
5
In place number 5 with 31000 pointsnrv (@nervoir)
31000 পয়েন্ট

সম্পূর্ণ লিডারবোর্ড দেখুন

বাউন্টিতে ফিচার করা ক্লায়েন্ট

আওতাভুক্ত

আমাদের বাগ বাউন্টি প্রোগ্রাম এন্ড-টু-এন্ড বিস্তৃত: প্রোটোকলের সঠিকতা (যেমন ব্লকচেইন কনসেন্সাস মডেল, ওয়্যার এবং পি২পি প্রোটোকল, প্রুফ অফ স্টেক, ইত্যাদি) এবং প্রোটোকল/বাস্তবায়ন সম্মতি থেকে শুরু করে নেটওয়ার্ক নিরাপত্তা এবং কনসেন্সাস অখণ্ডতা পর্যন্ত। ক্লাসিক্যাল ক্লায়েন্ট নিরাপত্তা এবং ক্রিপ্টোগ্রাফিক প্রিমিটিভগুলির নিরাপত্তাও এই প্রোগ্রামের অংশ। সন্দেহ হলে, bounty@ethereum.org এ একটি ইমেল পাঠান এবং আমাদের জিজ্ঞাসা করুন। আপনি সরাসরি bounty@ethereum.orgopens email client তে একটি প্রকাশ/দুর্বলতা জমা দিতে পারেন, সেক্ষেত্রে আমরা আপনাকে আমাদের PGP কীopens in a new tab ব্যবহার করে বার্তাটি এনক্রিপ্ট করতে বলি।

স্পেসিফিকেশন বাগ

ইথেরিয়াম স্পেসিফিকেশনগুলি এক্সিকিউশন লেয়ার এবং কনসেনসাস লেয়ারের জন্য ডিজাইনের যৌক্তিকতা বিস্তারিতভাবে বর্ণনা করে।

কনসেন্সাস লেয়ার স্পেসিফিকেশন
এক্সিকিউশন লেয়ার স্পেসিফিকেশন

নিম্নলিখিত টীকাগুলি দেখতে সহায়ক হতে পারে:

বাগের প্রকারভেদ

নিরাপত্তা/চূড়ান্ততা-ভঙ্গকারী বাগ
ডিনায়াল অফ সার্ভিস (DOS) ভেক্টর
অনুমানের মধ্যে অসামঞ্জস্যতা, যেমন পরিস্থিতি যেখানে সৎ ভ্যালিডেটরদের স্ল্যাশ করা যেতে পারে
গণনা বা প্যারামিটার অসামঞ্জস্যতা

স্পেসিফিকেশন নথি

বীকন চেন

ফর্ক পছন্দ

Solidity ডিপোজিট চুক্তি

পিয়ার-টু-পিয়ার নেটওয়ার্কিং

ক্লায়েন্টের বাগ

ক্লায়েন্টরা ইথেরিয়াম নেটওয়ার্ক চালায়, এবং তাদের স্পেসিফিকেশনে নির্ধারিত যুক্তি অনুসরণ করতে হয় এবং সম্ভাব্য আক্রমণের বিরুদ্ধে সুরক্ষিত থাকতে হয়। আমরা যে বাগগুলি খুঁজে পেতে চাই তা প্রোটোকলের প্রয়োগ সম্পর্কিত।

বর্তমানে এক্সিকিউশন লেয়ার ক্লায়েন্ট (Besu, Erigon, Geth, Nethermind and Reth) এবং কনসেন্সাস লেয়ার ক্লায়েন্ট (Lighthouse, Lodestar, Nimbus, Teku and Prysm) বাগ বাউন্টি প্রোগ্রামের অন্তর্ভুক্ত রয়েছে। আরও ক্লায়েন্ট যুক্ত করা হতে পারে যখন তারা নিরীক্ষা সম্পন্ন করে এবং প্রোডাকশনের জন্য প্রস্তুত হয়।

বাগের প্রকারভেদ

স্পেক অ-সম্মতির সমস্যা
অপ্রত্যাশিত ক্র্যাশ, RCE বা ডিনায়াল অফ সার্ভিস (DOS) দুর্বলতা
নেটওয়ার্কের বাকি অংশ থেকে অপরিবর্তনীয় কনসেন্সাস বিভাজন সৃষ্টিকারী কোনো সমস্যা

সহায়ক লিঙ্ক

ভাষা কম্পাইলারের বাগ

Solidity এবং Vyper কম্পাইলারগুলি বাগ বাউন্টি প্রোগ্রামের আওতাভুক্ত। দুর্বলতাটি পুনরুৎপাদন করার জন্য প্রয়োজনীয় সমস্ত বিবরণ অন্তর্ভুক্ত করুন যেমন: ইনপুট প্রোগ্রাম যা বাগটি ট্রিগার করে, প্রভাবিত কম্পাইলার সংস্করণ, টার্গেট EVM সংস্করণ, প্রযোজ্য হলে ফ্রেমওয়ার্ক/IDE, প্রযোজ্য হলে EVM এক্সিকিউশন এনভায়রনমেন্ট/ক্লায়েন্ট এবং অপারেটিং সিস্টেম, আপনি যে বাগটি খুঁজে পেয়েছেন তা পুনরুৎপাদনের জন্য দয়া করে যতটা সম্ভব বিস্তারিতভাবে পদক্ষেপগুলি অন্তর্ভুক্ত করুন।

Solidity এবং Vyper অবিশ্বস্ত ইনপুট কম্পাইলেশনের বিষয়ে কোনো নিরাপত্তা গ্যারান্টি দেয় না – এবং আমরা ক্ষতিকারকভাবে তৈরি করা ডেটার উপর কম্পাইলারের ক্র্যাশের জন্য কোনো পুরস্কার ইস্যু করি না।

সহায়ক লিঙ্ক

Solidity

Vyper

ডিপোজিট চুক্তির বাগ

বিকন চেইন ডিপোজিট চুক্তির স্পেসিফিকেশন এবং সোর্স কোড বাগ বাউন্টি প্রোগ্রামের অংশ।

সহায়ক লিঙ্ক

ডিপোজিট চুক্তির স্পেসিফিকেশন
ডিপোজিট চুক্তির সোর্স কোড

নির্ভরশীলতার বাগ

ইথেরিয়াম নেটওয়ার্কের কার্যকারিতার জন্য কিছু নির্ভরতা অত্যন্ত গুরুত্বপূর্ণ, এবং এর মধ্যে কয়েকটি বাগ বাউন্টি প্রোগ্রামে যোগ করা হয়েছে। বর্তমানে, বাগ বাউন্টি প্রোগ্রামে অন্তর্ভুক্ত নির্ভরতার তালিকায় রয়েছে C-KZG-4844 এবং Go-KZG-4844।

সহায়ক লিঙ্ক

C-KZG-4844
Go-KZG-4844

দুর্বলতার গুরুত্বের যোগ্যতা

একটি আবিষ্কৃত দুর্বলতার নিম্নলিখিতগুলি করার ক্ষমতার উপর ভিত্তি করে গুরুত্ব মূল্যায়ন করা হয়:

কম গুরুত্ব

ভ্যালিডেটরদের >0.01% স্ল্যাশ করুন
নেটওয়ার্কের >0.01%-কে প্রভাবিত করে এমন নেটওয়ার্ক বিভাজন তুচ্ছভাবে ঘটানো
একটি একক নেটওয়ার্ক প্যাকেট বা একটি অনচেইন লেনদেন পাঠিয়ে নেটওয়ার্কের >0.01% নামিয়ে আনতে সক্ষম হওয়া

মাঝারি গুরুত্ব

ভ্যালিডেটরদের >1% স্ল্যাশ করুন
নেটওয়ার্কের >5%-কে প্রভাবিত করে এমন নেটওয়ার্ক বিভাজন তুচ্ছভাবে ঘটানো
একটি একক নেটওয়ার্ক প্যাকেট বা একটি অনচেইন লেনদেন পাঠিয়ে নেটওয়ার্কের >5% নামিয়ে আনতে সক্ষম হওয়া

উচ্চ গুরুত্ব

ভ্যালিডেটরদের >33% স্ল্যাশ করুন
নেটওয়ার্কের >33%-কে প্রভাবিত করে এমন নেটওয়ার্ক বিভাজন তুচ্ছভাবে ঘটানো
একটি একক নেটওয়ার্ক প্যাকেট বা একটি অনচেইন লেনদেন পাঠিয়ে নেটওয়ার্কের >33% নামিয়ে আনতে সক্ষম হওয়া

অত্যন্ত গুরুত্বপূর্ণ তীব্রতা

ভ্যালিডেটরদের >50% স্ল্যাশ করুন
একটি EIP/স্পেসিফিকেশন বা ক্লায়েন্ট বাগের সুবিধা নিয়ে সহজে অসীম পরিমাণ ETH তৈরি করুন যা নেটওয়ার্ক দ্বারা চূড়ান্ত করা হয়
সমস্ত EOA থেকে ETH চুরি করুন
সমস্ত EOA থেকে ETH বার্ন করুন
একটি একক ক্ষতিকারক অনচেইন লেনদেন পাঠিয়ে পুরো নেটওয়ার্কটি ডাউন করে দিন যা সমস্ত ক্লায়েন্টকে ক্র্যাশ করে দেয়

আওতার বাইরে

শুধুমাত্র আওতাভুক্ত অধীনে তালিকাভুক্ত টার্গেটগুলি বাগ বাউন্টি প্রোগ্রামের অংশ। যে দুর্বলতাগুলি প্রোগ্রামের অধীনে যোগ্যতা অর্জন করে না সেগুলির মধ্যে রয়েছে:

অবকাঠামোগত বাগ—যেমন ওয়েবপেজ, ডিএনএস, ইমেল ইত্যাদি।^*
ERC-20 চুক্তির বাগ^*
ইথেরিয়াম নেমিং সার্ভিস (ENS) বাগ (ENS ফাউন্ডেশন দ্বারা রক্ষণাবেক্ষণ করা হয়)
ব্যবহারকারীর সর্বজনীনভাবে একটি API, যেমন JSON-RPC বা Beacon API, প্রকাশ করার প্রয়োজন হয় এমন দুর্বলতাগুলি
টাইপোগ্রাফিক্যাল ত্রুটি
পরীক্ষা
উচ্চ-প্রচেষ্টার (অব্যাহত, সিপিইউ বা ব্যান্ডউইথ ইনটেনসিভ, এবং/অথবা ১টির বেশি প্যাকেট বা অনচেইন লেনদেনের প্রয়োজন) একক-পিয়ার DoS আক্রমণ
যেকোনো সর্বজনীনভাবে পরিচিত সমস্যা (ফোরাম পোস্ট, পিআর, গিটহাব সমস্যা, কমিট, ব্লগ পোস্ট, সর্বজনীন ডিসকর্ড বার্তা ইত্যাদি অন্তর্ভুক্ত)

^*এগুলি সাধারণত অন্তর্ভুক্ত করা হয় না, তবে, আমরা এই ধরনের ক্ষেত্রে ক্ষতিগ্রস্ত পক্ষ, যেমন লেখক বা এক্সচেঞ্জগুলির সাথে যোগাযোগ করতে সাহায্য করতে পারি

একটি বাগ জমা দিন

আপনার খুঁজে পাওয়া প্রতিটি বৈধ বাগের জন্য আপনি পুরস্কার অর্জন করবেন। প্রদত্ত পুরস্কারের পরিমাণ গুরুত্বের উপর নির্ভর করে পরিবর্তিত হবে। গুরুত্বটি ইথেরিয়াম নেটওয়ার্কের উপর প্রভাব এবং সম্ভাবনার উপর ভিত্তি করে OWASP ঝুঁকি রেটিং মডেল অনুসারে গণনা করা হয়। OWASP পদ্ধতি দেখুনopens in a new tab

EF এর উপর ভিত্তি করেও পুরস্কার প্রদান করবে:

বর্ণনার গুণমান: স্পষ্ট, ভালোভাবে লেখা সাবমিশনের জন্য উচ্চতর পুরস্কার দেওয়া হয়।

পুনরুৎপাদনযোগ্যতার গুণমান: পুরস্কারের জন্য যোগ্য হতে একটি প্রুফ অফ কনসেপ্ট (POC) অবশ্যই অন্তর্ভুক্ত করতে হবে। অনুগ্রহ করে পরীক্ষার কোড, স্ক্রিপ্ট এবং বিস্তারিত নির্দেশাবলী অন্তর্ভুক্ত করুন। আমাদের জন্য দুর্বলতাটি পুনরুৎপাদন এবং যাচাই করা যত সহজ হবে, পুরস্কার তত বেশি হবে।

সংশোধনের গুণমান, যদি অন্তর্ভুক্ত থাকে: সমস্যাটি কীভাবে সমাধান করা যায় তার স্পষ্ট বিবরণ সহ সাবমিশনের জন্য উচ্চতর পুরস্কার দেওয়া হয়।

২,০০০ USD পর্যন্ত

কম

২,০০০ USD পর্যন্ত

১,০০০ পয়েন্ট পর্যন্ত

গুরুত্ব

কম প্রভাব, মাঝারি সম্ভাবনা
মাঝারি প্রভাব, কম সম্ভাবনা

উদাহরণ

আক্রমণকারী কখনও কখনও একটি নোডকে এমন একটি অবস্থায় ফেলতে পারে যা একটি ভ্যালিডেটরের করা প্রতি একশত অ্যাটেসটেশনের মধ্যে একটিকে ড্রপ করতে পারে

কম ঝুঁকির বাগ জমা দিন

১০,০০০ USD পর্যন্ত

মাঝারি

১০,০০০ USD পর্যন্ত

৫,০০০ পয়েন্ট পর্যন্ত

গুরুত্ব

উচ্চ প্রভাব, কম সম্ভাবনা
মাঝারি প্রভাব, মাঝারি সম্ভাবনা
কম প্রভাব, উচ্চ সম্ভাবনা

উদাহরণ

আক্রমণকারী ৪টি লিডিং জিরো বাইটসহ পিয়ার-আইডি যুক্ত নোডগুলিতে সফলভাবে এক্লিপ্স অ্যাটাক পরিচালনা করতে পারে

মাঝারি ঝুঁকির বাগ জমা দিন

৫০,০০০ USD পর্যন্ত

উচ্চ

৫০,০০০ USD পর্যন্ত

১০,০০০ পয়েন্ট পর্যন্ত

গুরুত্ব

উচ্চ প্রভাব, মাঝারি সম্ভাবনা
মাঝারি প্রভাব, উচ্চ সম্ভাবনা

উদাহরণ

আক্রমণকারী সফলভাবে নেটওয়ার্কের বড় অংশকে বিভক্ত করতে পারে, এবং একজন আক্রমণকারীর জন্য দুর্বলতাটি ট্রিগার করা নগণ্য

উচ্চ ঝুঁকির বাগ জমা দিন

২৫০,০০০ USD পর্যন্ত

অত্যন্ত গুরুত্বপূর্ণ

২৫০,০০০ USD পর্যন্ত

২৫,০০০ পয়েন্ট পর্যন্ত

গুরুত্ব

উচ্চ প্রভাব, উচ্চ সম্ভাবনা

উদাহরণ

আক্রমণকারী একটি মেজরিটি ক্লায়েন্টে সফলভাবে রিমোট কোড এক্সিকিউশন পরিচালনা করতে পারে, এবং একজন আক্রমণকারীর জন্য দুর্বলতাটি ট্রিগার করা নগণ্য

অত্যন্ত গুরুত্বপূর্ণ ঝুঁকির বাগ জমা দিন

বাগ খোঁজার নিয়ম

বাগ বাউন্টি প্রোগ্রামটি আমাদের সক্রিয় ইথেরিয়াম সম্প্রদায়ের জন্য একটি পরীক্ষামূলক এবং বিবেচনামূলক পুরস্কার প্রোগ্রাম যা প্ল্যাটফর্ম উন্নত করতে সাহায্যকারীদের উৎসাহিত এবং পুরস্কৃত করার জন্য। এটি কোনো প্রতিযোগিতা নয়। আপনার জানা উচিত যে আমরা যেকোনো সময় প্রোগ্রামটি বাতিল করতে পারি, এবং পুরস্কারগুলি ইথেরিয়াম ফাউন্ডেশন বাগ বাউন্টি প্যানেলের একমাত্র বিবেচনার উপর নির্ভরশীল। এছাড়াও, আমরা নিষেধাজ্ঞা তালিকায় থাকা ব্যক্তিদের বা নিষেধাজ্ঞা তালিকায় থাকা দেশগুলিতে (যেমন, উত্তর কোরিয়া, ইরান, ইত্যাদি) থাকা ব্যক্তিদের পুরস্কার প্রদান করতে সক্ষম নই। স্থানীয় আইন অনুযায়ী আমাদের আপনার পরিচয়ের প্রমাণ চাইতে হয়। সমস্ত করের জন্য আপনি দায়ী। সমস্ত পুরস্কার প্রযোজ্য আইনের অধীন। অবশেষে, আপনার পরীক্ষা কোনো আইন লঙ্ঘন করা বা আপনার নয় এমন কোনো ডেটার সাথে আপস করা উচিত নয় এবং এটি স্থানীয়ভাবে চলমান টেস্টনেটে অনুষ্ঠিত হতে হবে।

POC ছাড়া কোনো সমস্যা অথবা যা ইতিমধ্যেই অন্য কোনো ব্যবহারকারী জমা দিয়েছেন বা স্পেক এবং ক্লায়েন্ট রক্ষণাবেক্ষণকারীদের কাছে ইতিমধ্যেই পরিচিত, সেগুলি বাউন্টি পুরস্কারের জন্য যোগ্য নয়।
পূর্ব চুক্তি ছাড়া একটি দুর্বলতা জনসমক্ষে প্রকাশ করা বা অন্য পক্ষের কাছে রিপোর্ট করা এটিকে বাউন্টির জন্য অযোগ্য করে তোলে।
ইথেরিয়াম ফাউন্ডেশন বা বাউন্টি প্রোগ্রামের আওতাভুক্ত ক্লায়েন্ট টিমের কর্মচারী এবং ঠিকাদাররা শুধুমাত্র পয়েন্ট অর্জনের জন্য প্রোগ্রামে অংশগ্রহণ করতে পারে এবং কোনো আর্থিক পুরস্কার পাবে না।
ইথেরিয়াম বাউন্টি প্রোগ্রাম পুরস্কার নির্ধারণে বেশ কিছু ভেরিয়েবল বিবেচনা করে। যোগ্যতা, স্কোর এবং একটি পুরস্কার সম্পর্কিত সমস্ত শর্তাবলীর নির্ধারণ ইথেরিয়াম ফাউন্ডেশন বাগ বাউন্টি প্যানেলের একমাত্র এবং চূড়ান্ত বিবেচনার উপর নির্ভরশীল।