Le programme Bug Bounty de la Fondation Ethereum est l’un des programmes les plus anciens et les plus anciens de ce type. Il a été lancé en 2015 et ciblait le réseau principal Ethereum PoW et les logiciels associés. En 2020, un deuxième programme Bug Bounty pour la nouvelle couche de consensus Proof-of-Stake a été lancé, parallèlement au programme Bug Bounty original.
La scission de ces programmes est historique en raison de la façon dont la couche de consensus Proof-of-Stake a été conçue séparément et en parallèle de la couche d’exécution existante (à l’intérieur de la chaîne PoW). Depuis le lancement de Beacon Chain en décembre 2020, l’architecture technique entre la couche d’exécution et la couche de consensus est distincte, à l’exception du contrat de dépôt, de sorte que les deux programmes de primes de bogues sont restés séparés.
À la lumière de la fusion à venir, nous sommes heureux d’annoncer aujourd’hui que ces deux programmes ont été couronnés de succès fusionné par la formidable équipe d’ethereum.org, et que la récompense maximale de la prime a été considérablement augmentée !
Fusion (des programmes Bug Bounty) ✨
Avec La fusion approcheles deux programmes de primes de bugs auparavant disparates ont été fusionnés en une.
Comme le Couche d’exécution et Couche de consensus de plus en plus interconnectées, il est de plus en plus intéressant de combiner les efforts de sécurité de ces couches. De multiples efforts sont déjà organisés par les équipes clientes et la communauté pour accroître encore les connaissances et l’expertise à travers les deux couches. Unifier le programme Bounty augmentera encore la visibilité et les efforts de coordination pour identifier et atténuer les vulnérabilités.
Récompenses augmentées 💰
La récompense maximale du programme Bounty est désormais de 250 000 $ (payés en ETH ou DAI) pour les vulnérabilités concernées. Les mises à niveau en direct sur les réseaux de test publics et ciblées pour une version Mainnet sont également étendues, et les récompenses sont doublées pendant cette période, ce qui signifie que la récompense maximale est de 500 000 $ pendant ces périodes !
Au total, cela marque un 10x augmentation du paiement maximum précédent sur les primes Consensus Layer et un 20x augmentation du paiement maximum précédent sur les primes de la couche d’exécution.
Mesure d’impact 💥
Le programme Bug Bounty se concentre principalement sur la sécurisation de la couche de base du réseau Ethereum. Dans cette optique, l’impact d’une vulnérabilité est en corrélation directe avec l’impact sur le réseau dans son ensemble.
Alors que, par exemple, une vulnérabilité de déni de service trouvée dans un client utilisé par <1% du réseau causerait certainement des problèmes aux utilisateurs de ce client, elle aurait un impact plus important sur le réseau Ethereum si la même vulnérabilité existait dans un client utilisé par >30% du réseau.
Visibilité 👀
En plus de la fusion des programmes de primes et de l’augmentation de la récompense maximale, plusieurs mesures ont été prises pour clarifier la manière de signaler les vulnérabilités.
Sécurité Github
Des dépôts tels que ethereum/consensus-specs et ethereum/go-ethereum contiennent désormais des informations sur la façon de signaler les vulnérabilités dans SECURITE.md des dossiers.
security.txt
security.txt est implémenté et contient des informations sur la façon de signaler les vulnérabilités. Le dossier lui-même peut être trouvé ici.
TXT de sécurité DNS
TXT de sécurité DNS est implémenté et contient des informations sur la façon de signaler les vulnérabilités. Cette entrée peut être visualisée en exécutant creuser _security.ethereum.org TXT.
Comment pouvez-vous commencer? 🔨
Avec neuf clients différents écrits dans différentes langues, Solidity, les spécifications et le contrat intelligent de dépôt, tous dans le cadre du programme de primes, les chasseurs de primes ont de quoi creuser.
Si vous cherchez des idées pour savoir par où commencer votre voyage de chasse aux bogues, jetez un œil au vulnérabilités précédemment signalées. Celui-ci a été mis à jour pour la dernière fois en mars et contient toutes les vulnérabilités signalées que nous avons enregistrées, jusqu’à la mise à niveau du réseau Altair.
Nous attendons vos rapports avec impatience ! 🐛
Source https://blog.ethereum.org/en/2022/05/16/secured-no-4