来源 | ethereum.org
译者按:以太坊基金会于四月初宣布了eth2阶段0赏金计划,这项计划的初衷是激励大家群策群力,在eth2主网正式启动之前寻找并报告核心规范中的bug。目前,阶段0赏金计划的所有奖励已经翻倍,如果发现严重漏洞,最高可获得2万美元奖励。本文将介绍赏金计划的细则,帮助大家参与进来。
以太坊基金会将维持阶段0赏金计划,直至阶段0主网上线。在进入阶段0后,该计划会被纳入标准以太坊赏金任务。
规则
- 范围为master分支中的阶段0信标链及阶段0分叉选择规范
- 已经由他人提交的或是以太坊基金会已知的issue不符合赏金奖励要求
- 所有的bug报告需要以issue或PR形式提交到0-specs库
- 若需匿名提交报告,可以发送至bounty@ethereum.org,但无法获得赏金奖励
- 以太坊基金会将独立负责评估bug报告的有效性和严重程度
- 赏金奖励可选择由ETH或DAI支付
- Eth2的客户端团队可以参与赏金计划,但需要接受较高等级的审查(例如不得隐瞒bug/不得在规范撰写过程中刻意引入bug)。EF研究团队无法参与该赏金计划。
注意:阶段0赏金计划的范围只包含核心eth2规范。客户端实现可以作为理解规范和解决bug的工具,但客户端实现的bug暂时不包含在本赏金计划内。
如何上报
所有的bug报告需要以issue或PR形式提交到eth2.0-specs库
以提高审核效率,请遵循以下报告格式:
-
在issue/PR中加上前缀“[Bug Bounty]”
-
Issue/PR主体部分请使用以下格式:
- 描述:概括所提交的bug [一句话]
- 攻击场景:描述针对该bug的攻击场景或意外/错误行为 [1-3句话]
- 影响:描述该bug在应用场景中可能造成的影响 [1-2句话]
- 出处:指出bug出现的文档、函数以及具体行数
- 再现:如果在寻找bug的过程中使用了任何工具或模拟器,请详细描述如何重现该bug。最好能使用python规范和规范库中的相关测试工具来展示。
- 细节:有关该bug的细节描述。系统需处于什么状态、需包括什么类型的消息以及需按照什么顺序等等。
- 修复:如果有修复建议的话,可以进行描述
严重性级别及相应奖励
以下“严重性级别”用于对bug的严重性进行分类并按照级别对上报人进行相应奖励。奖金以美元计值。
注意:5月6日所有的奖金都已翻倍,严重程度最高的漏洞奖金多达2万美元:)
-
低严重性– $1000
- 定义:对信标链系统的功能影响甚微,甚至可以忽略不计,但是仍然可以视作是“瑕疵”,有修复的必要
- 示例:在某些情况下,对证明位进行了错误的更新,但最终确定性计算仍然正确
-
中等严重性– $5000
- 定义:不影响信标链系统的主要操作,但并非预期行径
- 示例: - 在一个epoch内,证明奖励只给到N-1个参与者,而不是所有N个参与者 - 在某些情况下,消极惩罚始于MIN_EPOCHS_TO_INACTIVITY_PENALTY + 1的epoch,而非计划中的MIN_EPOCHS_TO_INACTIVITY_PENALTY epochs。
-
高严重性 – $10000
- 定义:影响信标链的主要操作,但不会导致系统崩溃或完全停止最终确定
- 示例: - 在某些情况下,最终确定性计算每四个epoch进行,而正常情况是在每个epoch中进行 - 在进行分叉选择时,某些有效区块的子集无法成功添加到区块树中
-
极高严重性– $20000
- 定义:会导致信标连系统崩溃,完全阻停最终确定,或者其他严重中断 - 示例: - 即使链上已打包足够的证明,系统也会进入不再更新最终检查点的状态 - 新的有效区块无法被加入到分叉选择的区块树中 - 某些情况下,诚实验证者遭到罚没 - 奖励计算中发生下溢或上溢,导致意外造币 (或销毁) ETH或客户端崩溃
参考资源
- Core eth2 specs
- Executable spec on pypi
- Design rationale
- Phase 0 for Humans
- Annotated Spec
- Eth R&D discord
隐私
以太坊基金会对参与赏金计划而可能泄露的任何私人信息概不负责。
如果漏洞报告的确泄漏了私人信息 (例如包含IP地址的测试网日志),我们要求您在公开报告中去除任何此类信息。请注意,我们还有其他附带资源可以共享,并且可以随时联系赏金评估人。
法律声明
此赏金计划是针对活跃的以太坊社区的一项实验性和全权奖励措施,旨在鼓励和回报平台的贡献者。这不是一场比赛。我们可以随时停止该计划,并且奖项由以太坊基金会全权决定。
此外,我们无法向位于制裁名单中的个人,或处于制裁名单中的国家/地区 (例如朝鲜,伊朗等) 的个人颁发奖励。个人应对所有税负负责。所有奖励均适用于法律条款。您的测试不得违反任何法律或侵害任何他人数据。
声明:ECN的翻译工作旨在为中国以太坊社区传递优质资讯和学习资源,文章版权归原作者所有,转载须注明原文出处以及ethereum.cn,若需长期转载,请联系ethereumcn@gmail.com进行授权。