区块链新闻资讯
数字货币投资分析

以太坊研究之基金会赏金计划

一、概述

以太坊赏金计划(The Ethereum Bounty Program)开始于2015年初,是以太坊基金会组织的一个项目,旨在呼吁社区和漏洞赏金猎人帮助及时识别协议和客户端的有关错误。为了提高开发者积极性,根据查找到的漏洞的影响大小,对开发者进行不同程度的奖励。同时,设置了排行榜,对外公开获得奖励的开发者的排名、成就和得分,提高了评选的透明度。

二、赏金计划规则

赏金计划对赏金范围做出了明确规定,已公开披露的漏洞将无法获得奖;以太坊核心开发团队、员工以及直接或间接参与以太坊项目的人员都无法参与赏金计划;任何专业的以太坊代码库开发者也无法参与赏金计划。

赏金计划跨越端到端,从协议的健全、合规到网络的安全性和共识的完整性。根据赏金计划披露的赏金范围统计表(详见附录1),该计划主要关注在已经稳定运行的客户端、钱包、协议和其他服务在正常运作过程中存在的漏洞风险,对仍在探索、测试阶段的技术偏好较低。

支付的赏金取决于该漏洞的严重程度,基于OWASP风险评级模型,由以太坊基金会漏洞赏金小组作出最终评定,具体评级如下图所示。

三链数字货币

根据不同的等级,获奖者可以获得不同的积分,critical等级最多可获得25000积分,high等级最多可获得15000积分,medium等级最多可获得10000积分,low等级最多可获得2000积分,note等级最多可获得500积分。其中,1积分对应当前1美元的ETH或者BTC,但有时候奖励会根据需要进行改变,如在2017年9月,为了保证拜占庭的更好实施,对影响分叉的任何漏洞的奖励进行了翻倍。任何规则的变化,都会及时公示在网站新闻上。

赏金申请人只需在网站链接里填写相应资料就可参与赏金计划。为了保证奖励的安全性和合规性,申请人需要用真实姓名进行申请。此外,对漏洞进行简短描述,并说明可能产生的攻击情况以及漏洞的对象,最后,展示解决方法。

三、获奖项目汇总

据官网排行榜公示数据可知,自2015年开始赏金计划以来,共有32人获得过奖励,总计颁出奖励199200分。根据官网披露的信息,单项最高奖励为2019年ChainSecurity和Ralph Pichler在执行君士坦丁堡之前发现的重大漏洞,获得25000分;其次是发现了Mist远程命令执行的0天漏洞,获得奖励15000分。在2017年到2019年之间,达到medium等级的11个获奖漏洞中,有6个是关于Geth安全的,4个是关于Mist的漏洞。

综上可得,以太坊基金会赏金计划主要是为了提升Geth和Mist的安全性。

附录1

内容 感兴趣 影响力较低 不包含
Geth安全 协议一致性
账户管理缺陷
DoS问题
THE-LES
Swarm
Whisper
EthereumJ
Aleth 共识或P2P DoS
RPC攻击
Pye-vm/Trinity
Solidity 代码生成器或优化程序的行为不正确
恶意输入时的崩溃
Mist/ 以太坊钱包 权限升级
闯入受害者的文件系统的缺陷
危害每个网站范围之外的任何信息
Vyper 错误的字节码,语义缺陷等
恶意输入时的崩溃
LLL
Pyethereum / Pyethapp
ENS 存在未经授权访问或阻止授权撤回契约中锁定的资金
干扰或修改属于另一个用户的ENS域
影响拍卖结果的合法性的缺陷
以太坊基础设施 网页、电子邮件、DNS

附录2

时间 获奖人 漏洞评级 奖励 漏洞简介
2015 Jonas Nick major vulnerability 5BTC 以太坊虚拟机的漏洞,可以凭空创建以太网
Martin 在Python客户端的一个共识协议错误
2016 Bertrand Masius Solidity漏洞
tintinweb Mist漏洞
Yaron Velner EXP操作码错误定价
2017 EthHead ENS漏洞
Steve Waldman ENS漏洞
Yaron Velner low 1000 ENS第二价格可以通过重播进行操纵,迫使获奖者支付全额费用
Whit Jackson low 2000 在EthereumJS中的十六进制编码歧义
Christoph Jentzsch low 2000 Solidity漏洞
‘Tintin’ low 2000 CPP-ethereum的漏洞
Juno Im medium 5000 Mist漏洞
Harry Roberts medium 5000 Solidity漏洞
Yoonho Kim high 15000 Mist远程命令执行的0天漏洞
Juno Im note 500 Geth访问控制问题
Juno Im medium 5000 Mist / Electron中的RCE
Yoonho Kim medium 5000 Mist / Electron中的RCE
Peter Stöckli medium 5000 Mist漏洞
Marcin Noga note 500 CPP-ethereum的漏洞
2018 Barry Whitehat Geth和Parity对未来区块的差异
the researchers from Boston University: Sharon Goldberg, Yuval Marcus and Ethan Heilman medium 10000 Geth的日食攻击
Dominic Brütsch medium 7500 Geth区块处理速度慢的漏洞
Vasily Vasiliev note 500*2 Geth RPC中的两个DoS漏洞
jazzybedi note 500 DNS重新绑定漏洞
PeckShield low 2000 Geth DoS的发现协议的漏洞
medium 5000 LES Server DoS的恶意查询
medium 5000 LES Server DoS的AnnouceMsg
medium 5000 Geth DoS漏洞
low 1200 君士坦丁堡漏洞
Feeker note 500 Geth DoS漏洞
2019 Łukasz Matczak medium 5000 Geth p2p的漏洞
ChainSecurity and Ralph Pichler critical 25000 君士坦丁堡漏洞
Łukasz Matczak low 1000 DoS漏洞
Myeongjae Lee note 500 网络窃取数据
赞(0) 打赏
未经允许不得转载:三链财经 » 以太坊研究之基金会赏金计划

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏