సమర్పణల కోసం తెరిచి ఉంది

బగ్ బౌంటీ ప్రోగ్రామ్

ఇతీరియము నెట్‌వర్క్‌ను ప్రభావితం చేసే ప్రోటోకాల్, క్లయింట్ మరియు భాషా కంపైలర్ బగ్‌లను కనుగొనడం ద్వారా 250,000 USD వరకు మరియు లీడర్‌బోర్డ్‌లో స్థానం సంపాదించండి.

బగ్‌ను సమర్పించండి నియమాలను చదవండి

1
hGaopens in a new tab
In place number 1 with 67000 pointsMartin Holst Swende (See Github Profile)opens in a new tab
67000 పాయింట్లు
2
gGaopens in a new tab
In place number 2 with 53100 pointsGuido Vranken (See Github Profile)opens in a new tab
53100 పాయింట్లు
3
pGaopens in a new tab
In place number 3 with 42400 pointsprotolambda (See Github Profile)opens in a new tab
42400 పాయింట్లు
4
sGaopens in a new tab
In place number 4 with 35000 pointsSam Sun (See Github Profile)opens in a new tab
35000 పాయింట్లు
5
In place number 5 with 31000 pointsnrv (@nervoir)
31000 పాయింట్లు

పూర్తి లీడర్‌బోర్డ్‌లను చూడండి

బౌంటీలలో ప్రదర్శించబడిన క్లయింట్లు

పరిధిలో

మా బగ్ బౌంటీ ప్రోగ్రామ్ ఎండ్-టు-ఎండ్ విస్తరించి ఉంటుంది: ప్రోటోకాల్స్ యొక్క పటిష్టత (బ్లాక్‌చైన్ ఏకాభిప్రాయ మోడల్, వైర్ మరియు p2p ప్రోటోకాల్స్, ప్రూఫ్ ఆఫ్ స్టేక్, మొదలైనవి) మరియు ప్రోటోకాల్/అమలు సమ్మతి నుండి నెట్‌వర్క్ భద్రత మరియు ఏకాభిప్రాయ సమగ్రత వరకు. క్లాసికల్ క్లయింట్ భద్రత అలాగే క్రిప్టోగ్రాఫిక్ ప్రిమిటివ్‌ల భద్రత కూడా ప్రోగ్రామ్‌లో భాగం. సందేహం ఉంటే, bounty@ethereum.org కు ఇమెయిల్ పంపండి మరియు మమ్మల్ని అడగండి. మీరు నేరుగా bounty@ethereum.orgopens email client కు బహిర్గతం/దుర్బలత్వాన్ని సమర్పించవచ్చు, ఈ సందర్భంలో మా PGP కీopens in a new tab ఉపయోగించి సందేశాన్ని ఎన్‌క్రిప్ట్ చేయమని మేము మిమ్మల్ని అడుగుతాము

స్పెసిఫికేషన్ బగ్‌లు

ఇతీరియము స్పెసిఫికేషన్‌లు ఎగ్జిక్యూషన్ లేయర్ మరియు ఏకాభిప్రాయ లేయర్ కోసం డిజైన్ హేతుబద్ధతను వివరిస్తాయి.

ఏకాభిప్రాయ లేయర్ స్పెసిఫికేషన్‌లు
ఎగ్జిక్యూషన్ లేయర్ స్పెసిఫికేషన్‌లు

కింది ఉల్లేఖనాలను పరిశీలించడం సహాయకరంగా ఉండవచ్చు:

బగ్‌ల రకాలు

భద్రత/అంతిమతను విచ్ఛిన్నం చేసే బగ్‌లు
సేవ యొక్క తిరస్కరణ (DOS) వెక్టర్లు
అంచనాలలో అస్థిరతలు, నిజాయితీగల వ్యాలిడేటర్లు స్లాష్ చేయబడే పరిస్థితుల వంటివి
గణన లేదా పరామితి అస్థిరతలు

స్పెసిఫికేషన్ పత్రాలు

బీకన్ చైన్

ఫోర్క్ ఎంపిక

Solidity డిపాజిట్ కాంట్రాక్ట్

పీర్-టు-పీర్ నెట్‌వర్కింగ్

క్లయింట్ బగ్స్

ఇతీరియము నెట్‌వర్క్‌ను క్లయింట్లు నడుపుతాయి, మరియూ వారు స్పెసిఫికేషన్‌లో నిర్దేశించిన లాజిక్‌ను అనుసరించాలి మరియు సంభావ్య దాడుల నుండి సురక్షితంగా ఉండాలి. మేము కనుగొనాలనుకుంటున్న బగ్‌లు ప్రోటోకాల్ అమలుకు సంబంధించినవి.

ప్రస్తుతం ఎగ్జిక్యూషన్ లేయర్ క్లయింట్లు (Besu, Erigon, Geth, Nethermind మరియు Reth) మరియు ఏకాభిప్రాయ లేయర్ క్లయింట్లు (Lighthouse, Lodestar, Nimbus, Teku మరియు Prysm) బగ్ బౌంటీ ప్రోగ్రామ్‌లో చేర్చబడ్డాయి. మరిన్ని క్లయింట్లు ఆడిట్‌లను పూర్తి చేసి, ఉత్పత్తికి సిద్ధమైన తర్వాత జోడించబడవచ్చు.

బగ్‌ల రకాలు

స్పెసిఫికేషన్ పాటించని సమస్యలు
ఊహించని క్రాష్‌లు, RCE లేదా సేవ తిరస్కరణ (DOS) దుర్బలత్వాలు
నెట్‌వర్క్‌లోని మిగిలిన వాటి నుండి కోలుకోలేని ఏకాభిప్రాయ విభజనలకు కారణమయ్యే ఏవైనా సమస్యలు

సహాయక లింకులు

భాషా కంపైలర్ బగ్‌లు

Solidity మరియు Vyper కంపైలర్‌లు బగ్ బౌంటీ ప్రోగ్రామ్ పరిధిలో ఉన్నాయి. దుర్బలత్వాన్ని పునరుత్పత్తి చేయడానికి అవసరమైన అన్ని వివరాలను దయచేసి చేర్చండి: బగ్‌ను ప్రేరేపించే ఇన్‌పుట్ ప్రోగ్రామ్, ప్రభావితమైన కంపైలర్ వెర్షన్, టార్గెట్ EVM వెర్షన్, వర్తిస్తే ఫ్రేమ్‌వర్క్/IDE, వర్తిస్తే EVM ఎగ్జిక్యూషన్ ఎన్విరాన్‌మెంట్/క్లయింట్ మరియు ఆపరేటింగ్ సిస్టమ్, దయచేసి మీరు కనుగొన్న బగ్‌ను వీలైనంత వివరంగా పునరుత్పత్తి చేయడానికి దశలను చేర్చండి.

విశ్వసనీయం కాని ఇన్‌పుట్ సంకలనం విషయంలో Solidity మరియు Vyper భద్రతా హామీలను కలిగి ఉండవు – మరియు హానికరంగా రూపొందించిన డేటాపై కంపైలర్ క్రాష్ అయినందుకు మేము రివార్డులను జారీ చేయము.

సహాయక లింకులు

Solidity

Vyper

డిపాజిట్ కాంట్రాక్ట్ బగ్‌లు

బీకాన్ చైన్ డిపాజిట్ కాంట్రాక్ట్ యొక్క స్పెసిఫికేషన్‌లు మరియు సోర్స్ కోడ్ బగ్ బౌంటీ ప్రోగ్రామ్‌లో భాగం.

సహాయక లింకులు

డిపాజిట్ కాంట్రాక్ట్ స్పెసిఫికేషన్‌లు
డిపాజిట్ కాంట్రాక్ట్ సోర్స్ కోడ్

డిపెండెన్సీ బగ్‌లు

ఇతీరియము నెట్‌వర్క్ పనిచేయడానికి కొన్ని డిపెండెన్సీలు కీలకం, మరియు వాటిలో కొన్ని బగ్ బౌంటీ ప్రోగ్రామ్‌కు జోడించబడ్డాయి. ప్రస్తుతం, బగ్ బౌంటీ ప్రోగ్రామ్‌లో చేర్చబడిన డిపెండెన్సీల జాబితా C-KZG-4844 మరియు Go-KZG-4844.

సహాయక లింకులు

C-KZG-4844
Go-KZG-4844

దుర్బలత్వ తీవ్రత అర్హతలు

కనుగొనబడిన దుర్బలత్వం కింది వాటిని చేయగల సామర్థ్యం ఆధారంగా తీవ్రత అంచనా వేయబడుతుంది:

తక్కువ తీవ్రత

వ్యాలిడేటర్లలో >0.01% స్లాష్ చేయండి
నెట్‌వర్క్‌లో >0.01% ప్రభావితం చేసే నెట్‌వర్క్ విభజనలను సులభంగా కలిగించండి
ఒకే నెట్‌వర్క్ ప్యాకెట్ లేదా ఆన్‌చైన్ లావాదేవీని పంపడం ద్వారా నెట్‌వర్క్‌లో >0.01% నిలిపివేయగలగాలి

మధ్యస్థ తీవ్రత

వ్యాలిడేటర్లలో >1% స్లాష్ చేయండి
నెట్‌వర్క్‌లో >5% ప్రభావితం చేసే నెట్‌వర్క్ విభజనలను సులభంగా కలిగించండి
ఒకే నెట్‌వర్క్ ప్యాకెట్ లేదా ఆన్‌చైన్ లావాదేవీని పంపడం ద్వారా నెట్‌వర్క్‌లో >5% నిలిపివేయగలగాలి

అధిక తీవ్రత

వ్యాలిడేటర్లలో >33% స్లాష్ చేయండి
నెట్‌వర్క్‌లో >33% ప్రభావితం చేసే నెట్‌వర్క్ విభజనలను సులభంగా కలిగించండి
ఒకే నెట్‌వర్క్ ప్యాకెట్ లేదా ఆన్‌చైన్ లావాదేవీని పంపడం ద్వారా నెట్‌వర్క్‌లో >33% నిలిపివేయగలగాలి

క్లిష్టమైన తీవ్రత

వ్యాలిడేటర్లలో >50% స్లాష్ చేయండి
నెట్‌వర్క్ ద్వారా ఖరారు చేయబడిన అనంతమైన ETH మొత్తాన్ని సులభంగా సృష్టించడానికి EIP/స్పెసిఫికేషన్ లేదా క్లయింట్ బగ్‌ను ఉపయోగించుకోండి
అన్ని EOAల నుండి ETHని దొంగిలించండి
అన్ని EOAల నుండి ETHని బర్న్ చేయండి
అన్ని క్లయింట్‌లను క్రాష్ చేసే ఒకే ఒక హానికరమైన ఆన్‌చైన్ లావాదేవీని పంపడం ద్వారా మొత్తం నెట్‌వర్క్‌ను నిలిపివేయండి

పరిధి వెలుపల

పరిధిలో జాబితా చేయబడిన లక్ష్యాలు మాత్రమే బగ్ బౌంటీ ప్రోగ్రామ్‌లో భాగం. ప్రోగ్రామ్ కింద అర్హత పొందని దుర్బలత్వాలు:

మౌలిక సదుపాయాల బగ్‌లు—వెబ్‌పేజీలు, dns, ఇమెయిల్, మొదలైనవి.^*
ERC-20 కాంట్రాక్ట్ బగ్‌లు^*
Ethereum నేమింగ్ సర్వీస్ (ENS) బగ్‌లు (ENS ఫౌండేషన్ ద్వారా నిర్వహించబడుతుంది)
JSON-RPC లేదా బీకాన్ API వంటి APIని వినియోగదారు బహిరంగంగా బహిర్గతం చేయాల్సిన అవసరం ఉన్న దుర్బలత్వాలు
అక్షర దోషాలు
పరీక్షలు
అధిక-ప్రయత్నం (నిరంతర, CPU లేదా బ్యాండ్‌విడ్త్ ఇంటెన్సివ్, మరియు/లేదా 1 కంటే ఎక్కువ ప్యాకెట్ లేదా ఆన్‌చైన్ లావాదేవీ అవసరం) సింగిల్-పీర్ DoS దాడులు
బహిరంగంగా తెలిసిన ఏవైనా సమస్యలు (ఫోరమ్ పోస్ట్‌లు, PRలు, github సమస్యలు, కమిట్‌లు, బ్లాగ్ పోస్ట్‌లు, పబ్లిక్ డిస్కార్డ్ సందేశాలు మొదలైనవి ఉంటాయి)

^*ఇవి సాధారణంగా చేర్చబడవు, అయితే, అటువంటి సందర్భాలలో రచయితలు లేదా ఎక్స్ఛేంజీల వంటి ప్రభావిత పార్టీలను సంప్రదించడానికి మేము సహాయం చేయగలము

బగ్‌ను సమర్పించండి

మీరు కనుగొన్న ప్రతి చెల్లుబాటు అయ్యే బగ్‌కు మీరు రివార్డులను పొందుతారు. ప్రదానం చేయబడిన రివార్డుల పరిమాణం తీవ్రతను బట్టి మారుతుంది. ఇతీరియము నెట్‌వర్క్‌పై ప్రభావం మరియు సంభావ్యత ఆధారంగా OWASP రిస్క్ రేటింగ్ మోడల్ ప్రకారం తీవ్రత లెక్కించబడుతుంది. OWASP పద్ధతిని వీక్షించండిopens in a new tab

EF వీటి ఆధారంగా కూడా రివార్డులను అందిస్తుంది:

వివరణ నాణ్యత: స్పష్టమైన, చక్కగా వ్రాసిన సమర్పణలకు అధిక రివార్డులు చెల్లించబడతాయి.

పునరుత్పత్తి నాణ్యత: రివార్డులకు అర్హత పొందడానికి ప్రూఫ్ ఆఫ్ కాన్సెప్ట్ (POC) తప్పనిసరిగా చేర్చబడాలి. దయచేసి పరీక్ష కోడ్, స్క్రిప్ట్‌లు మరియు వివరణాత్మక సూచనలను చేర్చండి. మేము దుర్బలత్వాన్ని పునరుత్పత్తి చేయడం మరియు ధృవీకరించడం ఎంత సులభమో, రివార్డ్ అంత ఎక్కువగా ఉంటుంది.

ఫిక్స్ నాణ్యత, చేర్చబడితే: సమస్యను ఎలా పరిష్కరించాలో స్పష్టమైన వివరణతో సమర్పణలకు అధిక రివార్డులు చెల్లించబడతాయి.

2,000 USD వరకు

తక్కువ

2,000 USD వరకు

1,000 పాయింట్ల వరకు

తీవ్రత

తక్కువ ప్రభావం, మధ్యస్థ సంభావ్యత
మధ్యస్థ ప్రభావం, తక్కువ సంభావ్యత

ఉదాహరణ

దాడి చేసే వ్యక్తి కొన్నిసార్లు ఒక నోడ్‌ను ఒక స్థితిలో ఉంచగలడు, దీని వలన అది ఒక వ్యాలిడేటర్ చేసిన ప్రతి వంద అటెస్టేషన్‌లలో ఒకదాన్ని వదిలివేస్తుంది

తక్కువ రిస్క్ బగ్‌ను సమర్పించండి

10,000 USD వరకు

మధ్యస్థం

10,000 USD వరకు

5,000 పాయింట్ల వరకు

తీవ్రత

అధిక ప్రభావం, తక్కువ సంభావ్యత
మధ్యస్థ ప్రభావం, మధ్యస్థ సంభావ్యత
తక్కువ ప్రభావం, అధిక సంభావ్యత

ఉదాహరణ

దాడి చేసే వ్యక్తి 4 లీడింగ్ జీరో బైట్‌లతో పీర్-ఐడిలతో నోడ్‌లపై ఎక్లిప్స్ దాడులను విజయవంతంగా నిర్వహించగలడు

మధ్యస్థ రిస్క్ బగ్‌ను సమర్పించండి

50,000 USD వరకు

అధిక

50,000 USD వరకు

10,000 పాయింట్ల వరకు

తీవ్రత

అధిక ప్రభావం, మధ్యస్థ సంభావ్యత
మధ్యస్థ ప్రభావం, అధిక సంభావ్యత

ఉదాహరణ

దాడి చేసే వ్యక్తి నెట్‌వర్క్‌లోని పెద్ద భాగాలను విజయవంతంగా విభజించగలడు, మరియు దాడి చేసే వ్యక్తి దుర్బలత్వాన్ని ప్రేరేపించడం చాలా సులభం

అధిక రిస్క్ బగ్‌ను సమర్పించండి

250,000 USD వరకు

క్లిష్టమైన

250,000 USD వరకు

25,000 పాయింట్ల వరకు

తీవ్రత

అధిక ప్రభావం, అధిక సంభావ్యత

ఉదాహరణ

దాడి చేసే వ్యక్తి మెజారిటీ క్లయింట్‌లో రిమోట్ కోడ్ ఎగ్జిక్యూషన్‌ను విజయవంతంగా నిర్వహించగలడు, మరియు దాడి చేసే వ్యక్తి దుర్బలత్వాన్ని ప్రేరేపించడం చాలా సులభం

క్లిష్టమైన రిస్క్ బగ్‌ను సమర్పించండి

బగ్ హంటింగ్ నియమాలు

బగ్ బౌంటీ ప్రోగ్రామ్ అనేది మా చురుకైన ఇతీరియము సంఘం కోసం ఒక ప్రయోగాత్మక మరియు విచక్షణతో కూడిన రివార్డుల కార్యక్రమం, ఇది ప్లాట్‌ఫారమ్‌ను మెరుగుపరచడంలో సహాయపడే వారిని ప్రోత్సహించడానికి మరియు రివార్డ్ చేయడానికి. ఇది పోటీ కాదు. మేము ఎప్పుడైనా ప్రోగ్రామ్‌ను రద్దు చేయగలమని మీరు తెలుసుకోవాలి, మరియు అవార్డులు Ethereum ఫౌండేషన్ బగ్ బౌంటీ ప్యానెల్ యొక్క ఏకైక అభీష్టానుసారం ఉంటాయి. అదనంగా, మేము ఆంక్షల జాబితాలలో ఉన్న వ్యక్తులకు లేదా ఆంక్షల జాబితాలలో ఉన్న దేశాలలో (ఉదా., ఉత్తర కొరియా, ఇరాన్, మొదలైనవి) ఉన్నవారికి అవార్డులను జారీ చేయలేము. స్థానిక చట్టాలు మీ గుర్తింపు రుజువును అడగమని మాకు అవసరం. అన్ని పన్నులకు మీరే బాధ్యులు. అన్ని అవార్డులు వర్తించే చట్టానికి లోబడి ఉంటాయి. చివరగా, మీ పరీక్ష ఏ చట్టాన్ని ఉల్లంఘించకూడదు లేదా మీది కాని ఏ డేటాను రాజీ చేయకూడదు మరియు స్థానికంగా నడుస్తున్న టెస్టునెట్లలో జరగాలి.

POC లేకుండా ఉన్న సమస్యలు లేదా ఇప్పటికే మరో వినియోగదారు సమర్పించినవి లేదా ఇప్పటికే స్పెక్ మరియు క్లయింట్ మెయింటెయినర్‌లకు తెలిసినవి బౌంటీ రివార్డులకు అర్హత పొందవు.
ముందస్తు ఒప్పందం లేకుండా దుర్బలత్వాన్ని బహిరంగంగా బహిర్గతం చేయడం లేదా ఇతర పార్టీలకు నివేదించడం బౌంటీకి అనర్హులుగా చేస్తుంది.
Ethereum ఫౌండేషన్ లేదా బౌంటీ ప్రోగ్రామ్ పరిధిలోని క్లయింట్ బృందాల ఉద్యోగులు మరియు కాంట్రాక్టర్లు పాయింట్ల సేకరణలో మాత్రమే ప్రోగ్రామ్‌లో పాల్గొనవచ్చు మరియు ద్రవ్య రివార్డులను అందుకోరు.
ఇతీరియము బౌంటీ ప్రోగ్రామ్ రివార్డులను నిర్ణయించడంలో అనేక వేరియబుల్స్‌ను పరిగణిస్తుంది. అర్హత, స్కోర్ మరియు అవార్డుకు సంబంధించిన అన్ని నిబంధనల నిర్ధారణలు Ethereum ఫౌండేషన్ బగ్ బౌంటీ ప్యానెల్ యొక్క ఏకైక మరియు తుది అభీష్టానుసారం ఉంటాయి.