प्रस्तुतियों के लिए खुला है
बग बाउंटी प्रोग्राम
एथेरियम नेटवर्क को प्रभावित करने वाले प्रोटोकॉल, क्लाइंट और भाषा संकलक बग्स का पता लगाकर 250,000 USD और एक लीडरबोर्ड पर स्थान प्राप्त करें।
बाउंटी में प्रदर्शित किए गए क्लाइंट
स्कोप में
page-upgrades-bug-bounty-validity-desc
विनिर्देश बग
एथेरियम विनिर्देश, निष्पादन परत और सहमति परत के लिए डिज़ाइन रेशनेल का विवरण प्रदान करते हैं।
निष्पादन परत विनिर्देश
निम्नलिखित एनोटेशन की जाँच करना उपयोगी हो सकता है:
बग के प्रकार
- सुरक्षा/फ़ाइनलिटी ब्रेकिंग बग
- सेवा से इनकार (DOS) वेक्टर
- मान्यताओं में विसंगतियाँ, उन स्थितियों में, जहाँ ईमानदार सत्यापनकर्ताओं को हटाया जा सकता है
- गणना या पैरामीटर विसंगतियाँ
विनिर्देश दस्तावेज़
क्लाइंट बग
क्लाइंट एथेरियम नेटवर्क चलाते हैं और उन्हें विनिर्देश में निर्धारित तर्क का पालन करना और संभावित हमलों से सुरक्षित रहना होगा। हम जो बग ढूँढना चाहते हैं, वे प्रोटोकॉल के लागू होने से संबंधित हैं।
वर्तमान में निष्पादन परत क्लाइंट्स (बेसु, एरिगोन, गेथ, नेदरमाइंड और रेथ) और सहमति परत क्लाइंट्स (लाइटहाउस, लोडस्टार, निम्बस, टेकू और प्रिज़्म) बग बाउंटी प्रोग्राम में शामिल हैं। अधिक क्लाइंट्स को ऑडिट पूरा करने और प्रोडक्शन के लिए तैयार होने के बाद जोड़ा जा सकता है।
बग के प्रकार
- विनिर्देश गैर-अनुपालन की समस्याएँ
- अप्रत्याशित क्रैश, RCE या सेवा से इनकार (DOS) की भेद्यताएँ
- किसी भी समस्या के कारण अपूरणीय सहमति शेष नेटवर्क से अलग हो जाती है
भाषा संकलक बग्स
Solidity और Vyper संकलक बग बाउंटी प्रोग्राम के स्कोप में हैं। कृपया जोखिम को प्रस्तुत करने के लिए आवश्यक समस्त विवरण शामिल करें जैसे कि: बग को ट्रिगर करने वाला इनपुट प्रोग्राम, प्रभावित संकलक संस्करण, लक्षित EVM संस्करण, फ्रेमवर्क/IDE यदि लागू हो, EVM निष्पादन वातावरण/क्लाइंट यदि लागू हो और ऑपरेटिंग सिस्टम। कृपया जितना संभव हो सके बग को पुनः उत्पन्न करने के लिए चरणों को शामिल करें।
Solidity और Vyper अविश्वसनीय इनपुट के संकलन के संबंध में सुरक्षा गारंटी नहीं रखते हैं – और हम जानबूझकर उत्पन्न डेटा पर संकलक के क्रैश के लिए पुरस्कृत नहीं करते।
जमा अनुबंध बग
बीकन चेन जमा अनुबंध के विनिर्देश और स्रोत कोड बग बाउंटी प्रोग्राम का हिस्सा हैं।
डिपेंडेंसी बग्स
कुछ डिपेंडेंसीज एथेरियम नेटवर्क के कामकाज के लिए महत्वपूर्ण हैं, और इनमें से कुछ को बग बाउंटी प्रोग्राम में जोड़ा गया है। वर्तमान में, बग बाउंटी प्रोग्राम में शामिल डिपेंडेंसीज की सूची में C-KZG-4844 और Go-KZG-4844 शामिल हैं।
Vulnerability severity qualifications
Severity is assessed based on a discovered vulnerability's ability to do the following:
Low severity
- Slash >0.01% of validators
- Trivially cause network splits affecting >0.01% of the network
- Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
- Slash >1% of validators
- Trivially cause network splits affecting >5% of the network
- Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
- Slash >33% of validators
- Trivially cause network splits affecting >33% of the network
- Be able to bring down >33% of the network by sending a single network packet or an onchain transaction
Critical severity
- Slash >50% of validators
- Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
- Steal ETH from all EOAs
- Burn ETH from all EOAs
- Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients
स्कोप से बाहर
केवल इन-स्कोप के तहत सूचीबद्ध लक्ष्य ही बग बाउंटी प्रोग्राम का हिस्सा हैं। इसका मतलब है कि उदाहरण के लिए हमारा इन्फ्रास्ट्रक्चर; जैसे वेबपेज, dns, ईमेल आदि, बाउंटी-स्कोप का हिस्सा नहीं हैं। ERC20 कॉन्ट्रैक्ट बग्स आमतौर पर बाउंटी स्कोप में शामिल नहीं होते हैं। हालांकि, हम ऐसे मामलों में प्रभावित पक्षों, जैसे लेखकों या एक्सचेंजों तक पहुंचने में मदद कर सकते हैं। ENS का रखरखाव ENS फाउंडेशन द्वारा किया जाता है, और यह बाउंटी स्कोप का हिस्सा नहीं है। यूज़र द्वारा सार्वजनिक रूप से एक API को उजागर करने की आवश्यकता वाली कमजोरियां, जैसे JSON-RPC या बीकन API, बग बाउंटी प्रोग्राम के स्कोप से बाहर हैं।
- Infrastructure bugs—such as webpages, dns, email, etc.*
- ERC-20 contract bugs*
- Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
- Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
- Typographical errors
- Tests
- High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
- Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases
एक बग सबमिट करें
प्रत्येक मान्य बग के लिए आपको पुरस्कार मिलेंगे। प्रदान किए गए पुरस्कारों की मात्रा गंभीरता के आधार पर अलग-अलग होगी। एथेरियम नेटवर्क और संभावना पर प्रभाव के आधार पर OWASP जोखिम रेटिंग मॉडल के अनुसार गंभीरता की गणना की जाती है। OWASP विधि देखें
EF इस आधार पर भी पुरस्कार प्रदान करेगा:
वर्णन की गुणवत्ता: स्पष्ट, अच्छी तरह से लिखित प्रस्तुतियों के लिए पुरस्कारों का अधिक भुगतान किया जाता है।
पुनः प्रस्तुत करने की गुणवत्ता: पुरस्कार के योग्य होने के लिए प्रूफ़ ऑफ़ कॉन्सेप्ट (POC) शामिल किया जाना चाहिए। कृपया टेस्ट कोड, स्क्रिप्ट और विस्तृत निर्देश शामिल करें। हमारे लिए भेद्यता को पुनः प्रस्तुत करना और सत्यापित करना जितना आसान होगा, उतना ही अधिक पुरस्कार मिलेगा।
सुधार की गुणवत्ता, यदि शामिल है: इस समस्या को ठीक करने के स्पष्ट विवरण वाले सबमिशन के लिए पुरस्कारों का अधिक भुगतान किया जाता है।
निम्न
2,000 USD तक
1,000 पॉइंट तक
गंभीरता
- निम्न प्रभाव, मध्यम संभावना
- मध्यम प्रभाव, निम्न संभावना
उदाहरण
हमलावर कभी-कभी किसी स्थिति में एक नोड डाल सकता है, जो इसे एक सत्यापनकर्ता द्वारा किए गए प्रत्येक सौ सत्यापन में से एक को छोड़ने का कारण बनता है
मध्यम
10,000 USD तक
5,000 पॉइंट तक
गंभीरता
- उच्च प्रभाव, निम्न संभावना
- मध्यम प्रभाव, मध्यम संभावना
- निम्न प्रभाव, उच्च संभावना
उदाहरण
हमलावर आगे के 4 शून्य वाली बाइट के साथ पीयर-आईडी के साथ नोड्स पर सफलतापूर्वक एक्लिप्स हमलों का संचालन कर सकता है
उच्च
50,000 USD तक
10,000 पॉइंट तक
गंभीरता
- उच्च प्रभाव, मध्यम संभावना
- मध्यम प्रभाव, उच्च संभावना
उदाहरण
हमलावर नेटवर्क के बड़े हिस्से को सफलतापूर्वक विभाजित कर सकता है, और हमलावर के लिए भेद्यता को ट्रिगर करना आसान है
गंभीर
250,000 USD तक
25,000 पॉइंट तक
गंभीरता
- ज़्यादा प्रभाव, ज़्यादा संभावना
उदाहरण
हमलावर ज़्यादातर क्लाइंट में सफलतापूर्वक रिमोट कोड निष्पादन कर सकता है, और हमलावर के लिए भेद्यता को ट्रिगर करना आसान है
बग तलाशने के नियम
बग बाउंटी प्रोग्राम हमारे सक्रिय एथेरियम समुदाय के लिए एक प्रयोगात्मक और विवेकाधीन पुरस्कार प्रोग्राम है, जो उन लोगों को प्रोत्साहित करने और पुरस्कृत करने के लिए है, जो प्लेटफ़ॉर्म को बेहतर बनाने में मदद कर रहे हैं। यह कोई प्रतियोगिता नहीं है। आपको पता होना चाहिए कि हम किसी भी समय प्रोग्राम को रद्द कर सकते हैं, और पुरस्कार Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र विवेक पर निर्भर हैं। इसके अलावा, हम उन व्यक्तियों को पुरस्कार जारी करने में सक्षम नहीं हैं, जो प्रतिबंध सूची में हैं या जो प्रतिबंध सूची (जैसे उत्तर कोरिया, ईरान आदि) वाले देशों में हैं। स्थानीय कानून हमें आपकी पहचान का प्रमाण मांगना आवश्यक बनाते हैं। आप सभी करों के भुगतान के लिए उत्तरदायी होंगे। सभी पुरस्कार लागू कानून के अधीन हैं। अंत में, आपके परीक्षण को किसी भी कानून का उल्लंघन नहीं करना चाहिए या ऐसे किसी भी डेटा से छेड़छाड़ नहीं करनी चाहिए, जो आपका नहीं है और स्थानीय रनिंग टेस्टनेट पर होना चाहिए।
- POC के बिना समस्याएँ या ऐसी समस्याएँ, जो पहले से ही किसी अन्य यूज़र द्वारा सबमिट की गई हैं या पहले से ही विनिर्देश में ज्ञात हैं और क्लाइंट अनुरक्षक बाउंटी पुरस्कार के लिए योग्य नहीं हैं।
- किसी कमजोरी का सार्वजनिक खुलासा करना या पूर्व सहमति के बिना इसे अन्य पक्षों को रिपोर्ट करना इसे बाउंटी के लिए अयोग्य बना देता है।
- Ethereum फाउंडेशन के कर्मचारी और ठेकेदार या बाउंटी प्रोग्राम के स्कोप में आने वाली क्लाइंट टीम केवल पॉइंट के संकलन के लिए प्रोग्राम में भाग ले सकती है और मौद्रिक पुरस्कार नहीं मिलेंगे।
- एथेरियम बाउंटी प्रोगाम पुरस्कार का निर्धारण करने में कई वेरिएबल पर विचार करता है। अवार्ड से संबंधित पात्रता, स्कोर और सभी शर्तें Ethereum फाउंडेशन बग बाउंटी पैनल के एकमात्र और अंतिम विवेक पर हैं।
निष्पादन परत बग बाउंटी लीडरबोर्ड
इस लीडरबोर्ड में जोड़े जाने के लिए निष्पादन परत बग ढूँढें
सहमति परत बग बाउंटी लीडरबोर्ड
इस लीडरबोर्ड में जोड़े जाने के लिए सहमति परत बग ढूँढें
प्रश्न हैं?
हमें ईमेल करें: bounty@ethereum.org