Chương trình tiền thưởng lỗi của Quỹ Ethereum là một trong những chương trình hoạt động sớm nhất và lâu nhất thuộc loại này. Nó được ra mắt vào năm 2015 và nhắm mục tiêu vào mạng chính Ethereum PoW và phần mềm liên quan. Vào năm 2020, Chương trình tiền thưởng lỗi thứ hai cho Lớp đồng thuận bằng chứng cổ phần mới đã được khởi chạy, chạy cùng với Chương trình tiền thưởng lỗi ban đầu.
Việc chia tách các chương trình này có tính lịch sử do cách Lớp đồng thuận Proof-of-Stake được kiến trúc riêng biệt và song song với Lớp thực thi hiện có (bên trong chuỗi PoW). Kể từ khi ra mắt Chuỗi báo hiệu vào tháng 12 năm 2020, kiến trúc kỹ thuật giữa Lớp thực thi và Lớp đồng thuận đã khác biệt, ngoại trừ hợp đồng đặt cọc, vì vậy hai chương trình tiền thưởng lỗi vẫn được tách biệt.
Nhân sự kiện Hợp nhất sắp tới, hôm nay chúng tôi vui mừng thông báo rằng hai chương trình này đã thành công hợp nhất bởi nhóm ethereum.org tuyệt vời và phần thưởng tiền thưởng tối đa đã được tăng lên đáng kể!
Hợp nhất (trong số các Chương trình tiền thưởng lỗi) ✨
Với Hợp nhất đang đến gầnhai chương trình tiền thưởng lỗi khác nhau trước đây đã được hợp nhất thành một.
Như Lớp thực thi và Lớp đồng thuận ngày càng trở nên liên kết với nhau hơn, việc kết hợp các nỗ lực bảo mật của các lớp này ngày càng có giá trị. Đã có nhiều nỗ lực được tổ chức bởi các nhóm khách hàng và cộng đồng để nâng cao hơn nữa kiến thức và chuyên môn trên cả hai lớp. Việc thống nhất Chương trình tiền thưởng sẽ tăng cường hơn nữa khả năng hiển thị và các nỗ lực phối hợp trong việc xác định và giảm thiểu các lỗ hổng bảo mật.
Tăng phần thưởng 💰
Phần thưởng tối đa của Chương trình tiền thưởng hiện là 250.000 đô la (thanh toán bằng ETH hoặc DAI) cho các lỗ hổng trong phạm vi. Nâng cấp trực tiếp trên các mạng thử nghiệm công khai và được nhắm mục tiêu cho bản phát hành Mainnet cũng có phạm vi và phần thưởng được tăng gấp đôi trong thời gian này, có nghĩa là phần thưởng tối đa là 500.000 đô la trong những khoảng thời gian này!
Tổng cộng, điều này đánh dấu một Tăng 10 lần từ khoản thanh toán tối đa trước đó trên tiền thưởng của Lớp đồng thuận và Tăng 20 lần từ khoản thanh toán tối đa trước đó trên tiền thưởng của Lớp thực thi.
Đo lường tác động 💥
Chương trình tiền thưởng lỗi chủ yếu tập trung vào việc bảo mật lớp cơ sở của Mạng Ethereum. Với suy nghĩ này, tác động của một lỗ hổng bảo mật có mối tương quan trực tiếp với tác động lên toàn bộ mạng.
Trong khi, ví dụ: lỗ hổng từ chối dịch vụ được tìm thấy trong một ứng dụng khách đang được sử dụng bởi <1% of the network would certainly cause issues for the users of this client, it would have a higher impact on the Ethereum Network if the same vulnerability existed in a client used by >30% mạng lưới.
Khả năng hiển thị 👀
Ngoài việc hợp nhất các chương trình tiền thưởng và tăng phần thưởng tối đa, nhiều bước đã được thực hiện để làm rõ cách báo cáo lỗ hổng bảo mật.
Github Security
Các kho lưu trữ như ethereum / đồng thuận-thông số kỹ thuật và ethereum / go-ethereum hiện chứa thông tin về cách báo cáo lỗ hổng bảo mật trong AN NINH.md các tập tin.
security.txt
security.txt được triển khai và chứa thông tin về cách báo cáo lỗ hổng bảo mật. Chính tệp có thể được tìm thấy ở đây.
TXT bảo mật DNS
TXT bảo mật DNS được triển khai và chứa thông tin về cách báo cáo lỗ hổng bảo mật. Mục này có thể được xem bằng cách chạy dig _security.ethereum.org TXT.
Làm thế nào bạn có thể bắt đầu? 🔨
Với chín ứng dụng khách khác nhau được viết bằng các ngôn ngữ khác nhau, Solidity, Các thông số kỹ thuật và hợp đồng thông minh tiền gửi, tất cả đều nằm trong phạm vi của chương trình tiền thưởng, có rất nhiều thứ để những người săn tiền thưởng tìm hiểu.
Nếu bạn đang tìm kiếm một số ý tưởng về nơi bắt đầu hành trình săn lỗi của mình, hãy xem các lỗ hổng được báo cáo trước đây. Bản này được cập nhật lần cuối vào tháng 3 và chứa tất cả các lỗ hổng được báo cáo mà chúng tôi có trong hồ sơ, cho đến khi nâng cấp mạng Altair.
Chúng tôi mong đợi báo cáo của bạn! 🐛
