ETH2

Eth2阶段0赏金计划指南

来源 | ethereum.org

作者 | Danny Ryan

译者按:以太坊基金会于四月初宣布了eth2阶段0赏金计划,这项计划的初衷是激励大家群策群力,在eth2主网正式启动之前寻找并报告核心规范中的bug。目前,阶段0赏金计划的所有奖励已经翻倍,如果发现严重漏洞,最高可获得2万美元奖励。本文将介绍赏金计划的细则,帮助大家参与进来。

以太坊基金会将维持阶段0赏金计划,直至阶段0主网上线。在进入阶段0后,该计划会被纳入标准以太坊赏金任务

 

Rules 规则

 

  • 范围为master分支中的阶段0信标链阶段0分叉选择规范
  • 已经由他人提交的或是以太坊基金会已知的issue不符合赏金奖励要求
  • 所有的bug报告需要以issue或PR形式提交到0-specs
  • 若需匿名提交报告,可以发送至bounty@ethereum.org,但无法获得赏金奖励
  • 以太坊基金会将独立负责评估bug报告的有效性和严重程度
  • 赏金奖励可选择由ETH或DAI支付
  • Eth2的客户端团队可以参与赏金计划,但需要接受较高等级的审查(例如不得隐瞒bug/不得在规范撰写过程中刻意引入bug)。EF研究团队无法参与该赏金计划。

注意:阶段0赏金计划的范围只包含核心eth2规范。客户端实现可以作为理解规范和解决bug的工具,但客户端实现的bug暂时不包含在本赏金计划内。

 

如何上报

 

所有的bug报告需要以issue或PR形式提交到eth2.0-specs

以提高审核效率,请遵循以下报告格式:

  • 在issue/PR中加上前缀“[Bug Bounty]”
  • Issue/PR主体部分请使用以下格式:
    • 描述:概括所提交的bug [一句话]
    • 攻击场景:描述针对该bug的攻击场景或意外/错误行为 [1-3句话]
    • 影响:描述该bug在应用场景中可能造成的影响 [1-2句话]
    • 出处:指出bug出现的文档、函数以及具体行数
    • 再现:如果在寻找bug的过程中使用了任何工具或模拟器,请详细描述如何重现该bug。最好能使用python规范和规范库中的相关测试工具来展示。
    • 细节:有关该bug的细节描述。系统需处于什么状态、需包括什么类型的消息以及需按照什么顺序等等。
    • 修复:如果有修复建议的话,可以进行描述

 

 严重性级别及相应奖励

 

以下“严重性级别”用于对bug的严重性进行分类并按照级别对上报人进行相应奖励。奖金以美元计值。

注意:5月6日所有的奖金都已翻倍,严重程度最高的漏洞奖金多达2万美元:)

  • 低严重性 – $1000
    • 定义:对信标链系统的功能影响甚微,甚至可以忽略不计,但是仍然可以视作是“瑕疵”,有修复的必要
    • 示例:在某些情况下,对证明位进行了错误的更新,但最终确定性计算仍然正确
  • 中等严重性 – $5000
        • 定义:不影响信标链系统的主要操作,但并非预期行径
        • 示例:
          • 在一个epoch内,证明奖励只给到N-1个参与者,而不是所有N个参与者
          • 在某些情况下,消极惩罚始于MIN_EPOCHS_TO_INACTIVITY_PENALTY + 1的epoch,而非计划中的MIN_EPOCHS_TO_INACTIVITY_PENALTY epochs。
  • 高严重性 – $10000
          • 定义:影响信标链的主要操作,但不会导致系统崩溃或完全停止最终确定
          • 示例:
            • 在某些情况下,最终确定性计算每四个epoch进行,而正常情况是在每个epoch中进行
            • 在进行分叉选择时,某些有效区块的子集无法成功添加到区块树中
  • 极高严重性 – $20000
            • 定义:会导致信标连系统崩溃,完全阻停最终确定,或者其他严重中断
            • 示例:
              • 即使链上已打包足够的证明,系统也会进入不再更新最终检查点的状态
              • 新的有效区块无法被加入到分叉选择的区块树中
              • 某些情况下,诚实验证者遭到罚没
              • 奖励计算中发生下溢或上溢,导致意外造币 (或销毁) ETH或客户端崩溃

 

参考资源

 

 

隐私

 

以太坊基金会对参与赏金计划而可能泄露的任何私人信息概不负责。

如果漏洞报告的确泄漏了私人信息 (例如包含IP地址的测试网日志),我们要求您在公开报告中去除任何此类信息。请注意,我们还有其他附带资源可以共享,并且可以随时联系赏金评估人。

 

法律声明

 

此赏金计划是针对活跃的以太坊社区的一项实验性和全权奖励措施,旨在鼓励和回报平台的贡献者。这不是一场比赛。我们可以随时停止该计划,并且奖项由以太坊基金会全权决定。

此外,我们无法向位于制裁名单中的个人,或处于制裁名单中的国家/地区 (例如朝鲜,伊朗等) 的个人颁发奖励。个人应对所有税负负责。所有奖励均适用于法律条款。您的测试不得违反任何法律或侵害任何他人数据。