[go: up one dir, main page]
Ana içeriğe geç

Başvurulara açık

Hata Ödülü Programı 

Ethereum ağını etkileyen protokol, istemci ve dil derleyicisi hatalarını bularak 250.000 USD'ye kadar kazanın ve liderlik tablosunda yerinizi alın.

Hata bildirinopens in a new tabKuralları okuyun
Lider tablolarının tamamını görün

Ödüllerde yer alan istemciler

Kapsam dahilinde

Hata ödülü programımız uçtan uca bir kapsama sahiptir: protokollerin sağlamlığından (blokzincir mutabakat modeli, kablolu ve p2p protokolleri, hisse ispatı vb. gibi) ve protokol/uygulama uyumluluğundan ağ güvenliği ve mutabakat bütünlüğüne kadar. Klasik istemci güvenliğinin yanı sıra kriptografik temellerin güvenliği de programın bir parçasıdır. Şüpheye düştüğünüzde, bounty@ethereum.org adresine bir e-posta gönderip bize sorun. Ayrıca bir açıklamayı/güvenlik açığını doğrudan bounty@ethereum.orgopens email client adresine de gönderebilirsiniz, bu durumda mesajı PGP Anahtarımızıopens in a new tab kullanarak şifrelemenizi rica ederiz.

Spesifikasyon hataları

Ethereum Spesifikasyonları, Yürütüm Katmanı ve Fikir Birliği Katmanı için tasarım mantığını detaylandırır.

Fikir Birliği Katmanı Spesifikasyonlarıopens in a new tab
Yürütüm Katmanı Spesifikasyonlarıopens in a new tab

Hata türleri

  • Güvenlik/kesinlik bozan hatalar
  • Hizmet reddi (DOS) vektörleri
  • Dürüst doğrulayıcıların kesilebileceği durumlar gibi varsayım tutarsızlıkları
  • Hesaplama veya parametre tutarsızlıkları

İstemci hataları

İstemciler Ethereum Ağı'nı çalıştırır ve spesifikasyonda belirtilen mantığı takip etmeleri ve olası saldırılara karşı güvende olmaları gerekir. Bulmak istediğimiz hatalar, protokolün uygulanmasıyla ilgilidir.

Şu anda yürütüm katmanı istemcileri (Besu, Erigon, Geth, Nethermind ve Reth) ve fikir birliği katmanı istemcileri (Lighthouse, Lodestar, Nimbus, Teku ve Prysm), Hata Ödülü Programına dahil edilmiştir. Denetimleri tamamlayıp üretime hazır hale geldikçe daha fazla istemci eklenebilir.

Hata türleri

  • Spesifikasyon uyumsuzluk sorunları
  • Beklenmeyen çökmeler, RCE veya hizmet reddi (DOS) güvenlik açıkları
  • Ağın geri kalanından onarılamaz mutabakat ayrılıklarına yol açan tüm sorunlar

Dil derleyici hataları

Solidity ve Vyper derleyicileri hata ödül programı kapsamındadır. Güvenlik açığını yeniden oluşturmak için lütfen aşağıdakiler gibi gerekli tüm ayrıntıları ekleyin: Hatayı tetikleyen giriş programı, Etkilenen derleyici sürümü, Hedef EVM sürümü, Varsa Çerçeve/IDE, Varsa EVM yürütme ortamı/istemcisi ve İşletim sistemi. Lütfen bulduğunuz hatayı mümkün olduğunca ayrıntılı olarak yeniden oluşturma adımlarını ekleyin.

Solidity ve Vyper, güvenilmeyen girdilerin derlenmesiyle ilgili güvenlik garantileri sunmaz ve derleyicinin kötü amaçlı olarak oluşturulmuş veriler nedeniyle çökmesi durumunda ödül vermiyoruz.

Mevduat Sözleşmesi hataları

İşaret Zinciri Mevduat Sözleşmesinin spesifikasyonu ve kaynak kodu, hata ödülü programının bir parçasıdır.

Bağımlılık hataları

Bazı bağımlılıklar, Ethereum Ağı'nın çalışması açısından kritik öneme sahiptir ve bunlardan bazıları hata ödül programına eklenmiştir. Şu anda, hata ödül programına dahil olan bağımlılıklar C-KZG-4844 ve Go-KZG-4844'tür.

Güvenlik açığı önem derecesi nitelikleri

Önem derecesi, keşfedilen bir güvenlik açığının aşağıdakileri yapma kabiliyetine göre değerlendirilir:

Düşük önem derecesi

  • Doğrulayıcıların >%0,01'ini cezalandırma
  • Ağın >%0,01'ini etkileyen ağ bölünmelerine kolayca neden olma
  • Tek bir ağ paketi veya zincir üstü işlem göndererek ağın >%0,01'ini çökertebilme

Orta önem derecesi

  • Doğrulayıcıların >%1'ini cezalandırma
  • Ağın >%5'ini etkileyen ağ bölünmelerine kolayca neden olma
  • Tek bir ağ paketi veya zincir üstü işlem göndererek ağın >%5'ini çökertebilme

Yüksek önem derecesi

  • Doğrulayıcıların >%33'ünü cezalandırma
  • Ağın >%33'ünü etkileyen ağ bölünmelerine kolayca neden olma
  • Tek bir ağ paketi veya zincir üstü işlem göndererek ağın >%33'ünü çökertebilme

Kritik önem derecesi

  • Doğrulayıcıların >%50'sini cezalandırma
  • Ağ tarafından kesinleştirilen sınırsız miktarda ETH'yi kolayca oluşturmak için bir EIP/spesifikasyon veya istemci hatasından yararlanma
  • Tüm EOA'lardan ETH çalma
  • Tüm EOA'lardan ETH yakma
  • Tüm istemcileri çökerten tek ve kötü niyetli bir zincir üstü işlem göndererek tüm ağı çökertme

Kapsam dışı

Yalnızca kapsam dahilinde listelenen hedefler Hata Ödül Programı'nın bir parçasıdır. Program kapsamında olmayan güvenlik açıkları şunları içerir:

  • Altyapı hataları—web sayfaları, dns, e-posta vb. gibi.*
  • ERC-20 sözleşme hataları*
  • Ethereum Adlandırma Hizmeti (ENS) hataları (ENS Vakfı tarafından sürdürülmektedir)
  • Kullanıcının JSON-RPC veya Beacon API gibi bir API'yi herkese açık hale getirmesini gerektiren güvenlik açıkları
  • Yazım hataları
  • Testler
  • Yüksek çaba gerektiren (sürekli, CPU veya bant genişliği yoğun ve/veya 1'den fazla paket veya zincir üstü işlem gerektiren) tek eşli DoS saldırıları
  • Halka açık olarak bilinen tüm sorunlar (forum gönderileri, PR'ler, github sorunları, commit'ler, blog gönderileri, herkese açık discord mesajları vb. içerir)

*Bunlar genellikle dahil değildir ancak bu gibi durumlarda yazarlar veya borsalar gibi etkilenen taraflara ulaşmaya yardımcı olabiliriz.

Hata bildirin

Bulduğunuz her geçerli hata için ödül kazanırsınız. Verilen ödüllerin miktarı önem derecesine bağlı olarak değişiklik gösterir. Önem derecesi, Ethereum ağı üzerindeki Etki ve Olabilirlik temelinde OWASP risk derecelendirme modeline göre hesaplanır. OWASP yöntemini görüntüleopens in a new tab

EF, ayrıca aşağıdakilere dayalı olarak da ödüller verecektir:

Açıklamanın kalitesi: Açık, iyi yazılmış başvurular için daha yüksek ödüller ödenir.

Tekrarlanabilirlik kalitesi: Ödüllere, uygun kabul edilebilmeleri için bir Kavram Kanıtı (POC) eklenmelidir. Lütfen test kodunu, komut dosyalarını ve ayrıntılı talimatları ekleyin. Güvenlik açığını yeniden oluşturmak ve doğrulamak bizim için ne kadar kolay olursa, ödül de o kadar yüksek olur.

Dahilse çözüm kalitesi: Sorunun nasıl çözüleceğine dair net bir açıklama içeren başvurular için daha yüksek ödüller ödenir.

2.000 ABD Dolarına kadar

Düşük

2.000 ABD Dolarına kadar

1.000 puana kadar

Önem Derecesi

  • Düşük etki, orta olasılık
  • Orta etki, düşük olasılık

Örnek

Saldırgan bazen bir düğümü, doğrulayıcı tarafından yapılan her yüz onaydan birini bırakmasına neden olacak bir duruma getirebilir

Düşük riskli hata bildirinopens in a new tab
10.000 ABD Dolarına kadar

Orta

10.000 ABD Dolarına kadar

5.000 puana kadar

Önem Derecesi

  • Yüksek etki, düşük olasılık
  • Orta etki, orta olasılık
  • Düşük etki, yüksek olasılık

Örnek

Saldırgan, başında 4 sıfırlı bayt bulunduran eş kimlikli düğümlere başarılı tutulma saldırıları gerçekleştirebilir

Orta riskli hata bildirinopens in a new tab
50.000 ABD Dolarına kadar

Yüksek

50.000 ABD Dolarına kadar

10.000 puana kadar

Önem Derecesi

  • Yüksek etki, orta olasılık
  • Orta etki, yüksek olasılık

Örnek

Saldırgan, ağın büyük parçalarını başarıyla ayırabilir ve bir saldırgan için kırılganlığı tetiklemek sıradan bir iştir

Yüksek riskli hata bildirinopens in a new tab
250.000 ABD Dolarına kadar

Kritik

250.000 ABD Dolarına kadar

25.000 puana kadar

Önem Derecesi

  • Yüksek etki, yüksek olasılık

Örnek

Saldırgan, çoğunluk istemcisindeki kod yürütmesini uzaktan başarıyla yönetebilir ve bir saldırgan için güvenlik açığını bulup tetiklemek sıradan bir iştir

Kritik riskli hata bildirinopens in a new tab

Hata yakalama kuralları

Hata ödül programı, platformu geliştirmeye yardımcı olanları teşvik etmek ve ödüllendirmek için aktif Ethereum topluluğumuza yönelik deneysel ve isteğe bağlı bir ödül programıdır. Bu bir yarışma değildir. Programı istediğimiz zaman iptal edebileceğimizi ve ödüllerin tamamen Ethereum Foundation hata ödül panelinin takdirinde olduğunu bilmelisiniz. Ayrıca, yaptırım listelerinde bulunan veya yaptırım listesindeki ülkelerde (ör. Kuzey Kore, İran vb.) bulunan kişilere ödül veremiyoruz. Yerel yasalar kimliğinizin kanıtını istememizi gerektirir. Tüm vergilerden siz sorumlusunuz. Tüm ödüller geçerli yasalara tabidir. Son olarak, testleriniz hiçbir yasayı ihlal etmemeli, size ait olmayan hiçbir veriyi tehlikeye atmamalı ve yerel olarak çalışan test ağlarında gerçekleştirilmelidir.

  • POC'si olmayan veya başka bir kullanıcı tarafından gönderilmiş veya spesifikasyonlar ve istemci bakımcıları tarafından zaten bilinen sorunlar ödüller için uygun değildir.
  • Bir güvenlik açığının kamuya açıklanması veya önceden anlaşmadan diğer taraflara bildirilmesi, ödül için uygunluğunu yitirmesine neden olur.
  • Ödül programı kapsamında, Ethereum Foundation çalışanları ve yüklenicileri veya müşteri ekipleri programa yalnızca puan toplama açısından katılabilir ve parasal ödül alamazlar.
  • Ethereum ödül programı, ödüllerin belirlenmesinde bir dizi değişkeni dikkate alır. Uygunluk, puan ve bir ödülle ilgili tüm şartların belirlenmesi, Ethereum Foundation hata ödül panelinin yegâne ve nihai takdirine bağlıdır.

Yürütüm Katmanı Hata Ödülü liderlik tablosu

Bu lider tablosunda yer almak için yürütüm katmanındaki hataları bulun

Fikir Birliği Katmanı Hata Ödülü liderlik tablosu

Bu lider tablosunda yer almak için fikir birliği katmanındaki hataları bulun

Sıkça sorulan sorular

Sayfanın son güncellenmesi: 16 Şubat 2026

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+5

Sorunuz var mı?

Bize e-posta gönderin: bounty@ethereum.orgopens email client

Bu sayfa yararlı oldu mu?