सबमिशनसाठी खुले

बग बाउंटी प्रोग्राम

Ethereum नेटवर्कवर परिणाम करणाऱ्या प्रोटोकॉल, क्लायंट आणि लँग्वेज कंपायलरमधील दोष शोधून 250,000 USD पर्यंत कमवा आणि लीडरबोर्डवर स्थान मिळवा.

बग सबमिट करा नियम वाचा

1
hGaopens in a new tab
In place number 1 with 67000 pointsMartin Holst Swende (See Github Profile)opens in a new tab
67000 पॉइंट्स
2
gGaopens in a new tab
In place number 2 with 53100 pointsGuido Vranken (See Github Profile)opens in a new tab
53100 पॉइंट्स
3
pGaopens in a new tab
In place number 3 with 42400 pointsprotolambda (See Github Profile)opens in a new tab
42400 पॉइंट्स
4
sGaopens in a new tab
In place number 4 with 35000 pointsSam Sun (See Github Profile)opens in a new tab
35000 पॉइंट्स
5
In place number 5 with 31000 pointsnrv (@nervoir)
31000 पॉइंट्स

पूर्ण लीडरबोर्ड पहा

बाउंटीमध्ये वैशिष्ट्यीकृत क्लायंट

कार्यक्षेत्रात

आमचा बग बाउंटी प्रोग्राम एंड-टू-एंड पसरलेला आहे: प्रोटोकॉलच्या सुदृढतेपासून (जसे की ब्लॉकचेन कन्सेन्सस मॉडेल, वायर आणि p2p प्रोटोकॉल, प्रूफ ऑफ स्टेक, इत्यादी) आणि प्रोटोकॉल/अंमलबजावणीच्या अनुपालनापासून ते नेटवर्क सुरक्षा आणि कन्सेन्सस अखंडतेपर्यंत. क्लासिकल क्लायंट सुरक्षा तसेच क्रिप्टोग्राफिक प्रिमिटिव्हची सुरक्षा देखील प्रोग्रामचा भाग आहे. शंका असल्यास, bounty@ethereum.org वर ईमेल पाठवा आणि आम्हाला विचारा. तुम्ही थेट bounty@ethereum.orgopens email client वर प्रकटीकरण/भेद्यता देखील सबमिट करू शकता, अशा परिस्थितीत आम्ही तुम्हाला आमच्या PGP कीopens in a new tab वापरून संदेश एनक्रिप्ट करण्याची विनंती करतो.

विनिर्देशांमधील दोष

Ethereum विनिर्देश एक्झिक्यूशन लेअर आणि कन्सेन्सस लेअरसाठी डिझाइनच्या तर्काचा तपशील देतात.

कन्सेन्सस लेअर विनिर्देश
एक्झिक्यूशन लेअर विनिर्देश

पुढील भाष्य तपासणे उपयुक्त ठरू शकते:

दोषांचे प्रकार

सुरक्षितता/अंतिमता-भंग करणारे दोष
डिनायल ऑफ सर्व्हिस (DOS) व्हेक्टर्स
गृहीतकांमधील विसंगती, जसे की प्रामाणिक व्हॅलिडेटर्सना स्लॅश केले जाऊ शकते अशा परिस्थिती
गणना किंवा पॅरामीटरमधील विसंगती

विनिर्देश दस्तऐवज

बीकन चेन

फोर्क निवड

Solidity डिपॉझिट कॉन्ट्रॅक्ट

पीअर-टू-पीअर नेटवर्किंग

क्लायंटमधील दोष

क्लायंट Ethereum नेटवर्क चालवतात आणि त्यांना विनिर्देशामध्ये नमूद केलेल्या तर्काचे पालन करणे आणि संभाव्य हल्ल्यांपासून सुरक्षित असणे आवश्यक आहे. आम्हाला जे दोष शोधायचे आहेत ते प्रोटोकॉलच्या अंमलबजावणीशी संबंधित आहेत.

सध्या एक्झिक्यूशन लेअर क्लायंट (Besu, Erigon, Geth, Nethermind आणि Reth) आणि कन्सेन्सस लेअर क्लायंट (Lighthouse, Lodestar, Nimbus, Teku आणि Prysm) बग बाउंटी प्रोग्राममध्ये समाविष्ट आहेत. अधिक क्लायंट ऑडिट पूर्ण झाल्यावर आणि उत्पादनासाठी तयार झाल्यावर जोडले जाऊ शकतात.

दोषांचे प्रकार

विनिर्देशांचे पालन न करण्याच्या समस्या
अनपेक्षित क्रॅश, RCE किंवा डिनायल ऑफ सर्व्हिस (DOS) भेद्यता
नेटवर्कच्या उर्वरित भागापासून भरून न येणारे कन्सेन्सस स्प्लिट्स निर्माण करणाऱ्या कोणत्याही समस्या

उपयुक्त लिंक्स

लँग्वेज कंपायलरमधील दोष

Solidity आणि Vyper कंपाइलर्स बग बाउंटी प्रोग्रामच्या कार्यक्षेत्रात आहेत. कृपया भेद्यता पुन्हा निर्माण करण्यासाठी आवश्यक असलेले सर्व तपशील समाविष्ट करा जसे की: बग ट्रिगर करणारा इनपुट प्रोग्राम, प्रभावित कंपायलर आवृत्ती, लक्ष्य EVM आवृत्ती, लागू असल्यास फ्रेमवर्क/IDE, लागू असल्यास EVM एक्झिक्यूशन एन्व्हायर्नमेंट/क्लायंट आणि ऑपरेटिंग सिस्टम, कृपया आपण शोधलेला बग शक्य तितक्या तपशीलवारपणे पुन्हा निर्माण करण्याच्या पायऱ्या समाविष्ट करा.

Solidity आणि Vyper अविश्वसनीय इनपुटच्या संकलनाबाबत सुरक्षिततेची हमी देत नाहीत – आणि आम्ही दुर्भावनापूर्णपणे व्युत्पन्न केलेल्या डेटावर कंपायलरच्या क्रॅशसाठी बक्षिसे देत नाही.

उपयुक्त लिंक्स

Solidity

Vyper

डिपॉझिट कॉन्ट्रॅक्टमधील दोष

बीकन चेन डिपॉझिट कॉन्ट्रॅक्टचे विनिर्देश आणि सोर्स कोड बग बाउंटी प्रोग्रामचा भाग आहे.

उपयुक्त लिंक्स

डिपॉझिट कॉन्ट्रॅक्ट विनिर्देश
डिपॉझिट कॉन्ट्रॅक्ट सोर्स कोड

डिपेंडन्सीमधील दोष

Ethereum नेटवर्क कार्यरत राहण्यासाठी काही डिपेंडन्सी अत्यंत महत्त्वाच्या आहेत आणि यापैकी काही बग बाउंटी प्रोग्राममध्ये जोडल्या गेल्या आहेत. सध्या, बग बाउंटी प्रोग्राममध्ये समाविष्ट असलेल्या डिपेंडन्सीच्या यादीमध्ये C-KZG-4844 आणि Go-KZG-4844 आहेत.

उपयुक्त लिंक्स

C-KZG-4844
Go-KZG-4844

भेद्यता तीव्रतेची पात्रता

एखाद्या शोधलेल्या भेद्यतेच्या खालील गोष्टी करण्याच्या क्षमतेवर आधारित तीव्रतेचे मूल्यांकन केले जाते:

कमी तीव्रता

>0.01% व्हॅलिडेटर्सना स्लॅश करणे
नेटवर्कच्या >0.01% भागावर परिणाम करणारे नेटवर्क स्प्लिट्स क्षुल्लकपणे घडवणे
एकच नेटवर्क पॅकेट किंवा ऑनचेन व्यवहार पाठवून नेटवर्कचा >0.01% भाग बंद करण्यास सक्षम असणे

मध्यम तीव्रता

>1% व्हॅलिडेटर्सना स्लॅश करणे
नेटवर्कच्या >5% भागावर परिणाम करणारे नेटवर्क स्प्लिट्स क्षुल्लकपणे घडवणे
एकच नेटवर्क पॅकेट किंवा ऑनचेन व्यवहार पाठवून नेटवर्कचा >5% भाग बंद करण्यास सक्षम असणे

उच्च तीव्रता

>33% व्हॅलिडेटर्सना स्लॅश करणे
नेटवर्कच्या >33% भागावर परिणाम करणारे नेटवर्क स्प्लिट्स क्षुल्लकपणे घडवणे
एकच नेटवर्क पॅकेट किंवा ऑनचेन व्यवहार पाठवून नेटवर्कचा >33% भाग बंद करण्यास सक्षम असणे

अत्यंत गंभीर तीव्रता

>50% व्हॅलिडेटर्सना स्लॅश करणे
EIP/विनिर्देश किंवा क्लायंटमधील दोषाचा गैरवापर करून सहजपणे अमर्याद प्रमाणात ETH तयार करणे जे नेटवर्कद्वारे अंतिम केले जाते
सर्व EOA मधून ETH चोरणे
सर्व EOA मधून ETH बर्न करणे
एकच दुर्भावनापूर्ण ऑनचेन व्यवहार पाठवून संपूर्ण नेटवर्क बंद करणे, ज्यामुळे सर्व क्लायंट क्रॅश होतात

कार्यक्षेत्राबाहेर

केवळ कार्यक्षेत्रात सूचीबद्ध केलेले लक्ष्य बग बाउंटी प्रोग्रामचा भाग आहेत. प्रोग्रामअंतर्गत पात्र नसलेल्या भेद्यतांमध्ये हे समाविष्ट आहे:

पायाभूत सुविधांमधील दोष—जसे की वेबपेज, dns, ईमेल, इ.^*
ERC-20 कॉन्ट्रॅक्टमधील दोष^*
Ethereum नेमिंग सर्व्हिस (ENS) मधील दोष (ENS फाउंडेशनद्वारे देखरेख केलेले)
ज्या भेद्यतांसाठी वापरकर्त्याला JSON-RPC किंवा बीकन API सारखे API सार्वजनिकपणे उघड करणे आवश्यक आहे
टायपोग्राफिकल त्रुटी
चाचण्या
उच्च-प्रयत्न (सतत, CPU किंवा बँडविड्थ-केंद्रित, आणि/किंवा 1 पेक्षा जास्त पॅकेट किंवा ऑनचेन व्यवहार आवश्यक असलेले) सिंगल-पीअर DoS हल्ले
कोणत्याही सार्वजनिकरित्या ज्ञात असलेल्या समस्या (फोरम पोस्ट्स, PRs, github समस्या, कमिट्स, ब्लॉग पोस्ट्स, सार्वजनिक डिस्कॉर्ड संदेश, इ. समाविष्ट आहेत)

^*हे सहसा समाविष्ट केले जात नाहीत, तथापि, अशा प्रकरणांमध्ये आम्ही लेखक किंवा एक्सचेंजेस सारख्या प्रभावित पक्षांशी संपर्क साधण्यास मदत करू शकतो

बग सबमिट करा

तुम्ही शोधलेल्या प्रत्येक वैध बगसाठी तुम्हाला बक्षिसे मिळतील. प्रदान केलेल्या बक्षिसांची रक्कम गंभीरतेनुसार बदलेल. तीव्रता OWASP जोखीम रेटिंग मॉडेलनुसार Ethereum नेटवर्कवरील प्रभाव आणि संभाव्यतेच्या आधारावर मोजली जाते. OWASP पद्धत पहाopens in a new tab

EF यावर आधारित बक्षिसे देखील देईल:

वर्णनाचा दर्जा: स्पष्ट, चांगल्या प्रकारे लिहिलेल्या सबमिशनसाठी उच्च बक्षिसे दिली जातात.

पुन्हा निर्माण करण्याच्या क्षमतेचा दर्जा: बक्षिसांसाठी पात्र होण्यासाठी प्रूफ ऑफ कॉन्सेप्ट (POC) समाविष्ट करणे आवश्यक आहे. कृपया चाचणी कोड, स्क्रिप्ट आणि तपशीलवार सूचना समाविष्ट करा. आमच्यासाठी भेद्यता पुन्हा निर्माण करणे आणि सत्यापित करणे जितके सोपे असेल, तितके जास्त बक्षीस मिळेल.

दुरुस्तीचा दर्जा, समाविष्ट असल्यास: समस्येचे निराकरण कसे करावे याच्या स्पष्ट वर्णनासह सबमिशनसाठी उच्च बक्षिसे दिली जातात.

2,000 USD पर्यंत

कमी

2,000 USD पर्यंत

1,000 पॉइंट्सपर्यंत

तीव्रता

कमी प्रभाव, मध्यम शक्यता
मध्यम प्रभाव, कमी शक्यता

उदाहरण

हल्लेखोर कधीकधी एका नोडला अशा स्थितीत ठेवू शकतो ज्यामुळे तो व्हॅलिडेटरने केलेल्या प्रत्येक शंभर अटेस्टेशन्समधून एक वगळतो

कमी जोखमीचा बग सबमिट करा

10,000 USD पर्यंत

मध्यम

10,000 USD पर्यंत

5,000 पॉइंट्सपर्यंत

तीव्रता

उच्च प्रभाव, कमी शक्यता
मध्यम प्रभाव, मध्यम शक्यता
कमी प्रभाव, उच्च शक्यता

उदाहरण

हल्लेखोर 4 अग्रगण्य शून्य बाइट्स असलेल्या पीअर-आयडीसह नोड्सवर यशस्वीरित्या इक्लिप्स हल्ले करू शकतो

मध्यम जोखमीचा बग सबमिट करा

50,000 USD पर्यंत

उच्च

50,000 USD पर्यंत

10,000 पॉइंट्सपर्यंत

तीव्रता

उच्च प्रभाव, मध्यम शक्यता
मध्यम प्रभाव, उच्च शक्यता

उदाहरण

हल्लेखोर नेटवर्कचे मोठे भाग यशस्वीरित्या विभाजित करू शकतो आणि हल्लेखोरासाठी भेद्यता ट्रिगर करणे क्षुल्लक आहे

उच्च जोखमीचा बग सबमिट करा

250,000 USD पर्यंत

गंभीर

250,000 USD पर्यंत

25,000 पॉइंट्सपर्यंत

तीव्रता

उच्च प्रभाव, उच्च शक्यता

उदाहरण

हल्लेखोर बहुसंख्य क्लायंटमध्ये यशस्वीरित्या रिमोट कोड एक्झिक्यूशन करू शकतो आणि हल्लेखोरासाठी भेद्यता ट्रिगर करणे क्षुल्लक आहे

गंभीर जोखमीचा बग सबमिट करा

बग हंटिंगचे नियम

बग बाउंटी प्रोग्राम हा आमच्या सक्रिय Ethereum समुदायासाठी एक प्रायोगिक आणि विवेकाधीन बक्षीस कार्यक्रम आहे, जो प्लॅटफॉर्म सुधारण्यास मदत करणाऱ्यांना प्रोत्साहित करण्यासाठी आणि बक्षीस देण्यासाठी आहे. ही एक स्पर्धा नाही. तुम्हाला हे माहित असले पाहिजे की आम्ही कधीही हा कार्यक्रम रद्द करू शकतो, आणि पुरस्कार Ethereum फाउंडेशन बग बाउंटी पॅनेलच्या एकमेव निर्णयावर अवलंबून आहेत. याव्यतिरिक्त, आम्ही मंजुरीच्या यादीत असलेल्या व्यक्तींना किंवा मंजुरीच्या यादीत असलेल्या देशांमधील (उदा. उत्तर कोरिया, इराण, इ.) व्यक्तींना पुरस्कार देऊ शकत नाही. स्थानिक कायद्यांनुसार आम्हाला तुमच्या ओळखीचा पुरावा मागणे आवश्यक आहे. तुम्ही सर्व करांसाठी जबाबदार आहात. सर्व पुरस्कार लागू कायद्याच्या अधीन आहेत. शेवटी, तुमच्या चाचणीने कोणत्याही कायद्याचे उल्लंघन करू नये किंवा तुमचा नसलेला कोणताही डेटा धोक्यात घालू नये आणि स्थानिक चालू असलेल्या टेस्टनेट्सवरच ती झाली पाहिजे.

POC शिवायच्या समस्या किंवा ज्या दुसऱ्या वापरकर्त्याने आधीच सबमिट केल्या आहेत किंवा विनिर्देश आणि क्लायंट मेंटेनर्सना आधीच ज्ञात आहेत, त्या बाउंटी बक्षिसांसाठी पात्र नाहीत.
पूर्व कराराशिवाय भेद्यतेचे सार्वजनिक प्रकटीकरण किंवा इतर पक्षांना त्याची माहिती देणे हे बाउंटीसाठी अपात्र ठरवते.
Ethereum फाउंडेशनचे कर्मचारी आणि कंत्राटदार किंवा बाउंटी प्रोग्रामच्या कार्यक्षेत्रातील क्लायंट टीम्स केवळ पॉइंट्स जमा करण्यासाठी प्रोग्राममध्ये भाग घेऊ शकतात आणि त्यांना कोणतेही आर्थिक बक्षीस मिळणार नाही.
Ethereum बाउंटी प्रोग्राम बक्षिसे निश्चित करण्यासाठी अनेक व्हेरिएबल्सचा विचार करतो. पात्रतेचे निर्धारण, स्कोअर आणि पुरस्काराशी संबंधित सर्व अटी Ethereum फाउंडेशन बग बाउंटी पॅनेलच्या एकमेव आणि अंतिम निर्णयावर अवलंबून असतील.