ปลอดภัย #4: รางวัล Bug Bounty สูงถึง 250,000 ดอลลาร์สหรัฐ

โปรแกรม Ethereum Basis Bug Bounty เป็นหนึ่งในโปรแกรมที่ก่อตั้งมายาวนานที่สุดและดำเนินการมายาวนานที่สุดในประเภทนี้ เปิดตัวในปี 2015 และมุ่งเป้าไปที่เครือข่ายหลัก Ethereum PoW และซอฟต์แวร์ที่เกี่ยวข้อง ในปี 2020 โปรแกรม Bug Bounty ชุดที่สองสำหรับเลเยอร์ Consensus ของ Proof-of-Stake ใหม่ได้เปิดตัวขึ้น โดยทำงานควบคู่ไปกับโปรแกรม Bug Bounty เดิม

การแยกโปรแกรมเหล่านี้ถือเป็นเรื่องในอดีตเนื่องจากวิธีการสร้างสถาปัตยกรรม Proof-of-Stake Consensus Layer แยกจากกันและขนานไปกับ Execution Layer ที่มีอยู่ (ภายในเครือข่าย PoW) นับตั้งแต่เปิดตัว Beacon Chain ในเดือนธันวาคม 2020 สถาปัตยกรรมทางเทคนิคระหว่าง Execution Layer และ Consensus Layer ก็แตกต่างกัน ยกเว้นสัญญาการฝากเงิน ดังนั้นโปรแกรม Bug Bounty ทั้งสองโปรแกรมจึงยังคงแยกจากกัน

เนื่องจากมีการผสานกันที่กำลังจะมาถึง วันนี้เรายินดีที่จะประกาศว่าทั้งสองโปรแกรมนี้ประสบความสำเร็จ รวมเข้าด้วยกัน โดยทีมงาน ethereum.org ที่ยอดเยี่ยม และรางวัลค่าหัวสูงสุดได้รับการเพิ่มอย่างมาก!

การควบรวม (ของโปรแกรม Bug Bounty) ✨

กับ การรวมกันกำลังใกล้เข้ามาโปรแกรม Bug Bounty สองโปรแกรมที่แตกต่างกันก่อนหน้านี้ได้ถูกรวมเข้าเป็น หนึ่ง–

ในขณะที่ ชั้นการดำเนินการ และ ชั้นฉันทามติ เมื่อเชื่อมโยงกันมากขึ้นเรื่อยๆ การรวมความพยายามด้านความปลอดภัยของเลเยอร์เหล่านี้เข้าด้วยกันจึงมีค่ามากขึ้นเรื่อยๆ ขณะนี้ทีมลูกค้าและชุมชนได้จัดกิจกรรมต่างๆ มากมายเพื่อเพิ่มพูนความรู้และความเชี่ยวชาญในเลเยอร์ทั้งสองนี้ การรวมโปรแกรม Bounty เข้าด้วยกันจะช่วยเพิ่มการมองเห็นและความพยายามในการประสานงานเพื่อระบุและบรรเทาช่องโหว่ต่างๆ มากขึ้น

เพิ่มผลตอบแทน💰

รางวัลสูงสุดของโปรแกรม Bounty คือตอนนี้ $250,000 (จ่ายเป็น ETH หรือ DAI) สำหรับช่องโหว่ในขอบเขต การอัพเกรดบนเครือข่ายทดสอบสาธารณะและกำหนดเป้าหมายสำหรับการเปิดตัว Mainnet ก็อยู่ในขอบเขตเช่นกัน และรางวัลจะเพิ่มเป็นสองเท่าในช่วงเวลานี้ ซึ่งหมายความว่ารางวัลสูงสุดคือ$

โดยรวมแล้วนี่ถือเป็น เพิ่มขึ้น 10 เท่า จากการจ่ายเงินสูงสุดครั้งก่อนบนรางวัล Consensus Layer และ เพิ่มขึ้น 20 เท่า จากการจ่ายเงินสูงสุดครั้งก่อนบนรางวัลระดับการดำเนินการ

การวัดผลกระทบ💥

โครงการ Bug Bounty มุ่งเน้นที่การรักษาความปลอดภัยชั้นฐานของเครือข่าย Ethereum เป็นหลัก โดยคำนึงถึงสิ่งนี้ ผลกระทบของช่องโหว่มีความสัมพันธ์โดยตรงกับผลกระทบต่อเครือข่ายโดยรวม

ในขณะที่ช่องโหว่การปฏิเสธการให้บริการที่พบในไคลเอนต์ที่ใช้งานโดย <1% ของเครือข่ายนั้นอาจทำให้เกิดปัญหาแก่ผู้ใช้ไคลเอนต์ดังกล่าวได้อย่างแน่นอน แต่จะมีผลกระทบที่สูงกว่าต่อเครือข่าย Ethereum หากช่องโหว่เดียวกันนี้มีอยู่ในไคลเอนต์ที่ใช้งานโดย >30% ของเครือข่าย

การมองเห็น 👀

นอกเหนือจากการผสานรวมโปรแกรมค่าตอบแทนและการเพิ่มรางวัลสูงสุดแล้ว ยังมีการดำเนินการหลายขั้นตอนเพื่อชี้แจงวิธีการรายงานช่องโหว่

ความปลอดภัยของ Github

ที่เก็บข้อมูลเช่น Ethereum/consensus-specs ความเห็นพ้อง และ อีเธอร์เรียม/โกอีเธอร์เรียม ตอนนี้มีข้อมูลเกี่ยวกับวิธีการรายงานช่องโหว่ใน ความปลอดภัย.md ไฟล์

ความปลอดภัย.txt

ความปลอดภัย.txt ได้ถูกนำไปใช้งานและมีข้อมูลเกี่ยวกับวิธีการรายงานช่องโหว่ ไฟล์นั้นเอง สามารถพบได้ที่นี่–

ความปลอดภัย DNS TXT

ความปลอดภัย DNS TXT ได้รับการนำไปปฏิบัติแล้วและมีข้อมูลเกี่ยวกับวิธีการรายงานช่องโหว่ สามารถดูรายการนี้ได้โดยการเรียกใช้ ขุด _security.ethereum.org TXT–

คุณจะเริ่มต้นได้อย่างไร? 🔨

ด้วยไคลเอนต์ที่แตกต่างกันเก้าตัวที่เขียนด้วยภาษาต่างๆ Solidity, ข้อกำหนด และสัญญาอัจฉริยะในการฝากเงินทั้งหมดที่อยู่ในขอบเขตของโปรแกรมเงินรางวัล จึงมีสิ่งต่างๆ มากมายให้ผู้ล่าเงินรางวัลได้ค้นคว้า

หากคุณกำลังมองหาแนวคิดเกี่ยวกับจุดเริ่มต้นการเดินทางล่าแมลง ลองดูที่ ช่องโหว่ที่รายงานก่อนหน้านี้ซึ่งได้รับการอัปเดตล่าสุดเมื่อเดือนมีนาคม และประกอบด้วยช่องโหว่ที่รายงานทั้งหมดที่มีอยู่ในบันทึกจนถึงการอัปเกรดเครือข่าย Altair

เรารอคอยที่จะอ่านรายงานของคุณ! 🐛