ایمن شماره 4: پاداش باگ باونتی اکنون تا 250,000 دلار دلار آمریکا است

برنامه Bug Bounty Foundation Ethereum یکی از اولین و طولانی ترین برنامه های در حال اجرا در نوع خود است. در سال 2015 راه اندازی شد و شبکه اصلی Ethereum PoW و نرم افزارهای مرتبط را هدف قرار داد. در سال 2020، دومین برنامه Bug Bounty برای لایه جدید Proof-of-Stake Consensus Layer راه اندازی شد که در کنار برنامه Bug Bounty اصلی اجرا می شود.

تقسیم این برنامه ها به دلیل نحوه معماری لایه اجماع اثبات سهام به طور جداگانه و به موازات لایه اجرایی موجود (در داخل زنجیره PoW) تاریخی است. از زمان راه اندازی Beacon Chain در دسامبر 2020، معماری فنی بین لایه اجرا و لایه اجماع متمایز بوده است، به جز قرارداد سپرده، بنابراین دو برنامه پاداش باگ از هم جدا مانده اند.

با توجه به ادغام آینده، امروز خوشحالیم که اعلام کنیم این دو برنامه با موفقیت انجام شده است ادغام شد توسط تیم فوق‌العاده ethereum.org، و اینکه حداکثر پاداش جایزه به میزان قابل توجهی افزایش یافته است!

ادغام (برنامه‌های Bug Bounty) ✨

با ادغام نزدیک می شود، دو برنامه پاداش باگ متفاوت قبلاً در آنها ادغام شده اند یکی.

به عنوان لایه اجرا و لایه اجماع هر چه بیشتر به هم متصل می شوند، ترکیب تلاش های امنیتی این لایه ها به طور فزاینده ای ارزشمند است. در حال حاضر تلاش‌های متعددی توسط تیم‌های مشتری و جامعه برای افزایش دانش و تخصص در دو لایه سازماندهی شده است. یکپارچه سازی برنامه Bounty باعث افزایش دید و تلاش های هماهنگی برای شناسایی و کاهش آسیب پذیری ها می شود.

افزایش پاداش 💰

حداکثر پاداش برنامه Bounty اکنون 250000 دلار است (پرداخت در ETH یا DAI) برای آسیب‌پذیری‌ها در حوزه. ارتقاهای زنده در شبکه‌های آزمایشی عمومی و هدف‌گذاری شده برای انتشار Mainnet نیز دامنه‌ای هستند، و پاداش‌ها در این مدت دو برابر می‌شوند، به این معنی که حداکثر پاداش در این دوره‌ها 500000 دلار است!

در مجموع، این علامت a 10 برابر افزایش از حداکثر پرداخت قبلی در جوایز لایه اجماع و الف 20 برابر افزایش از حداکثر پرداخت قبلی در جوایز لایه اجرا.

اندازه گیری ضربه 💥

برنامه Bug Bounty در درجه اول بر ایمن سازی لایه پایه شبکه اتریوم متمرکز است. با در نظر گرفتن این موضوع، تأثیر یک آسیب پذیری در ارتباط مستقیم با تأثیر بر روی شبکه به عنوان یک کل است.

در حالی که، برای مثال، آسیب‌پذیری انکار سرویس یافت شده در یک کلاینت که توسط کمتر از 1% شبکه استفاده می‌شود، مطمئناً مشکلاتی را برای کاربران این کلاینت ایجاد می‌کند، اگر همان آسیب‌پذیری در شبکه اتریوم وجود داشته باشد، تأثیر بیشتری بر شبکه اتریوم خواهد داشت. یک کلاینت که بیش از 30٪ از شبکه استفاده می کند.

دید 👀

علاوه بر ادغام برنامه های جایزه و افزایش حداکثر پاداش، چندین مرحله برای روشن شدن نحوه گزارش آسیب پذیری ها برداشته شده است.

امنیت Github

مخازن مانند ethereum/consensus-specs و ethereum/go-ethereum اکنون حاوی اطلاعاتی در مورد نحوه گزارش آسیب‌پذیری‌ها در آن است SECURITY.md فایل ها.

security.txt

security.txt پیاده سازی شده است و حاوی اطلاعاتی در مورد نحوه گزارش آسیب پذیری ها است. خود فایل را می توان در اینجا یافت.

TXT امنیت DNS

TXT امنیت DNS پیاده سازی شده است و حاوی اطلاعاتی در مورد نحوه گزارش آسیب پذیری ها است. این ورودی را می توان با اجرا مشاهده کرد dig _security.ethereum.org TXT.

چگونه می توانید شروع کنید؟ 🔨

با 9 مشتری مختلف که به زبان‌های مختلف نوشته شده‌اند، Solidity، مشخصات، و قرارداد هوشمند سپرده‌گذاری همگی در محدوده برنامه جایزه هستند، فرصت‌های زیادی برای شکارچیان جایزه وجود دارد که می‌توانند به آن بپردازند.

اگر به دنبال ایده هایی برای شروع سفر شکار حشرات خود هستید، نگاهی به آن بیندازید آسیب پذیری هایی که قبلا گزارش شده بود. این آخرین بار در ماه مارس به‌روزرسانی شد و شامل تمام آسیب‌پذیری‌های گزارش‌شده تا زمان ارتقای شبکه Altair است.

منتظر گزارشات شما هستیم 🐛