Das Bug Bounty -Programm der Ethereum Foundation ist eines der frühesten und längsten laufenden Programme dieser Art. Es wurde 2015 gestartet und zielte auf das Ethereum POW -Mainnet und die verwandte Software ab. Im Jahr 2020 wurde ein zweites Bug Bounty-Programm für die neue Proof-of-Stake-Konsensschicht gestartet, die neben dem ursprünglichen Bug Bounty-Programm ausgeführt wurde.
Die Aufteilung dieser Programme ist historisch, da die Konsensschicht der Proof-of-Stake-Konsens getrennt und parallel zur vorhandenen Ausführungsschicht (innerhalb der POW-Kette) architisiert wurde. Seit der Einführung der Beacon -Kette im Dezember 2020 war die technische Architektur zwischen der Ausführungsschicht und der Konsensschicht mit Ausnahme des Einlagenvertrags unterschiedlich, sodass die beiden Bug Bounty -Programme getrennt geblieben sind.
In Anbetracht der kommenden Zusammenführung freuen wir uns heute, Ihnen mitteilen zu können, dass diese beiden Programme erfolgreich waren zusammengeführt Beim Awesome Ethereum.org Team und dass die Belohnung der Max Bounty erheblich erhöht wurde!
Zusammenführen (der Bug Bounty Programs) ✨
Mit Der Zusammenschluss nähert sichDie beiden bisher unterschiedlichen Bug -Bounty -Programme wurden zusammengeführt eins.
Wie das Ausführungsschicht Und Konsensschicht Wenn Sie immer mehr miteinander verbunden werden, wird es immer wertvoller, die Sicherheitsbemühungen dieser Schichten zu kombinieren. Es gibt bereits mehrere Anstrengungen, die von Kundenteams und der Community organisiert werden, um das Wissen und die Fachkenntnisse in den beiden Ebenen weiter zu erhöhen. Die Vereinigung des Kopfgeldprogramms wird die Sichtbarkeits- und Koordinierungsbemühungen zur Identifizierung und Minderung von Schwachstellen weiter erhöhen.
Erhöhte Belohnungen 💰
Die maximale Belohnung des Kopfgeldprogramms ist jetzt 500.000 in diesen Zeiten!
Insgesamt markiert dies a 10x Anstieg aus der vorherigen maximalen Auszahlung auf Konsensschicht -Bounts und a 20 -facher Anstieg Aus der vorherigen maximalen Auszahlung auf Bounties der Ausführungsschicht.
Schlagmessung 💥
Das Bug Bounty -Programm konzentriert sich hauptsächlich auf die Sicherung der Basisschicht des Ethereum -Netzwerks. Vor diesem Hintergrund ist die Auswirkungen einer Sicherheitsanfälligkeit in direkter Korrelation mit den Auswirkungen auf das gesamte Netzwerk.
Während beispielsweise eine Verleugnung der Sicherheitsanfälligkeit in einem Kunden, die von <1% des Netzwerks verwendet wird, für die Benutzer dieses Kunden sicherlich zu Problemen führen würde, würde dies einen höheren Einfluss auf das Ethereum -Netzwerk haben, wenn dieselbe Anfälligkeit in einem Client vorhanden wäre, das von> 30% des Netzwerks verwendet wurde.
Sichtbarkeit 👀
Zusätzlich zur Verschmelzung der Kopfgeldprogramme und der Erhöhung der maximalen Belohnung wurden mehrere Schritte unternommen, um zu klären, wie Schwachstellen melden.
Github -Sicherheit
Repositorys wie Ethereum/Konsens-Specs Und Ethereum/Go-Ehereum Enthält nun Informationen darüber, wie Schwachstellen in Security.md Dateien.
Security.txt
Security.txt wird implementiert und enthält Informationen darüber, wie Schwachstellen melden. Die Datei selbst kann hier gefunden werden.
DNS Security txt
DNS Security txt wird implementiert und enthält Informationen darüber, wie Schwachstellen melden. Dieser Eintrag kann durch Laufen betrachtet werden dig _security.ethereum.org txt.
Wie können Sie anfangen? 🔨
Mit neun verschiedenen Kunden, die in verschiedenen Sprachen, Solidität, den Spezifikationen und dem Einzahlungs -Smart -Vertrag im Rahmen des Bounty -Programms geschrieben sind, gibt es für Kopfgeldjäger eine Menge, in die man sich befassen kann.
Wenn Sie nach Ideen suchen, wo Sie mit Ihrer Bug -Jagd -Reise beginnen können, schauen Sie sich das an die zuvor gemeldete Schwachstellen. Dies wurde zuletzt im März aktualisiert und enthält alle gemeldeten Schwachstellen, die wir bis zum Upgrade des Altair -Netzwerks aufzeichnen.
Wir freuen uns auf Ihre Berichte! 🐛
