ایمن شماره 4: پاداش باگ باونتی اکنون تا 250000 دلار دلار آمریکا است

برنامه Bug Bounty Foundation Ethereum یکی از اولین و طولانی ترین برنامه های در حال اجرا در نوع خود است. در سال 2015 راه اندازی شد و شبکه اصلی Ethereum PoW و نرم افزارهای مرتبط را هدف قرار داد. در سال 2020، دومین برنامه Bug Bounty برای لایه جدید Proof-of-Stake Consensus Layer راه اندازی شد که در کنار برنامه Bug Bounty اصلی اجرا می شود.

تقسیم این برنامه ها به دلیل شیوه ای که لایه اجماع اثبات سهام به طور جداگانه و به موازات لایه اجرایی موجود (در داخل زنجیره PoW) معماری شده است، تاریخی است. از زمان راه اندازی Beacon Chain در دسامبر 2020، معماری فنی بین لایه اجرا و لایه اجماع متمایز بوده است، به جز قرارداد سپرده، بنابراین دو برنامه پاداش باگ از هم جدا مانده اند.

با توجه به ادغام آینده، امروز خوشحالیم که اعلام کنیم این دو برنامه با موفقیت انجام شده اند ادغام شد توسط تیم فوق‌العاده ethereum.org، و حداکثر پاداش جایزه به میزان قابل توجهی افزایش یافته است!

ادغام (از برنامه های باگ بونتی) ✨

با نزدیک شدن به The Merge، دو برنامه پاداش باگ متفاوت قبلاً در یکی ادغام شدند.

همانطور که لایه اجرا و لایه اجماع بیشتر و بیشتر به هم مرتبط می شوند، ترکیب تلاش های امنیتی این لایه ها به طور فزاینده ای ارزشمند است. در حال حاضر تلاش‌های متعددی توسط تیم‌های مشتری و جامعه برای افزایش دانش و تخصص در این دو لایه سازماندهی شده است. یکپارچه سازی برنامه Bounty باعث افزایش دید و تلاش های هماهنگی برای شناسایی و کاهش آسیب پذیری ها می شود.

افزایش پاداش 💰

حداکثر پاداش برنامه Bounty اکنون 250000 دلار است (پرداخت در ETH یا DAI) برای آسیب‌پذیری‌ها در محدوده. ارتقاهای زنده در شبکه‌های آزمایشی عمومی و هدف‌گذاری شده برای انتشار Mainnet نیز دامنه‌ای هستند، و پاداش‌ها در این مدت دو برابر می‌شوند، به این معنی که حداکثر پاداش در این دوره‌ها 500000 دلار است!

در مجموع، این علامت a 10 برابر افزایش از حداکثر پرداخت قبلی در جوایز لایه توافق و الف 20 برابر افزایش از حداکثر پرداخت قبلی در جوایز لایه اجرا.

اندازه گیری ضربه 💥

برنامه Bug Bounty در درجه اول بر ایمن سازی لایه پایه شبکه اتریوم متمرکز است. با در نظر گرفتن این موضوع، تأثیر یک آسیب پذیری در ارتباط مستقیم با تأثیر بر روی شبکه به عنوان یک کل است.

در حالی که، برای مثال، یک آسیب‌پذیری انکار سرویس یافت شده در یک کلاینت که توسط کمتر از 1% شبکه استفاده می‌شود، مطمئناً مشکلاتی را برای کاربران این کلاینت ایجاد می‌کند، اگر همان آسیب‌پذیری در شبکه اتریوم وجود داشته باشد، تأثیر بیشتری بر شبکه اتریوم خواهد داشت. یک کلاینت که بیش از 30٪ از شبکه استفاده می کند.

دید 👀

علاوه بر ادغام برنامه‌های جایزه و افزایش حداکثر پاداش، مراحل متعددی برای شفاف‌سازی نحوه گزارش آسیب‌پذیری‌ها انجام شده است.

امنیت Github

مخازن مانند ethereum/consensus-specs و ethereum/go-ethereum اکنون حاوی اطلاعاتی در مورد نحوه گزارش آسیب‌پذیری‌ها در SECURITY.md فایل ها.

security.txt

security.txt پیاده سازی شده است و حاوی اطلاعاتی در مورد نحوه گزارش آسیب پذیری ها است. خود فایل را می توانید در اینجا پیدا کنید.

DNS Security TXT

DNS Security TXT پیاده سازی شده است و حاوی اطلاعاتی در مورد نحوه گزارش آسیب پذیری ها است. این ورودی را می توان با اجرا مشاهده کرد dig _security.ethereum.org TXT.

چگونه می توانید شروع کنید؟ 🔨

با 9 مشتری مختلف که به زبان‌های مختلف نوشته شده‌اند، Solidity، مشخصات، و قرارداد هوشمند سپرده‌گذاری که همگی در محدوده برنامه جایزه هستند، فرصت‌های زیادی برای شکارچیان جایزه وجود دارد.

اگر به دنبال ایده هایی برای شروع سفر شکار حشرات خود هستید، به آسیب پذیری های گزارش شده قبلی نگاهی بیندازید. این آخرین بار در ماه مارس به‌روزرسانی شد و شامل تمام آسیب‌پذیری‌های گزارش‌شده تا زمان ارتقای شبکه Altair است.

منتظر گزارشات شما هستیم 🐛