L’Ethereum Foundation Bug Bounty Program è uno dei primi e più longevi programmi del suo genere. È stato lanciato nel 2015 e ha preso di mira la mainnet di Ethereum PoW e il relativo software. Nel 2020 è stato lanciato un secondo Bug Bounty Program per il nuovo livello di consenso Proof-of-Stake, che funziona insieme al Bug Bounty Program originale.
La divisione di questi programmi è storica a causa del modo in cui il Proof-of-Stake Consensus Layer è stato progettato separatamente e in parallelo al livello di esecuzione esistente (all’interno della catena PoW). Dal lancio della Beacon Chain nel dicembre del 2020, l’architettura tecnica tra Execution Layer e Consensus Layer è stata distinta, ad eccezione del contratto di deposito, quindi i due programmi di bug bounty sono rimasti separati.
Alla luce dell’imminente Fusione, oggi siamo felici di annunciare che questi due programmi sono andati a buon fine fusa dal fantastico team di ethereum.org e che la ricompensa massima della taglia è stata notevolmente aumentata!
Unisci (dei programmi Bug Bounty) ✨
Con l’avvicinarsi di The Merge, i due programmi di bug bounty precedentemente disparati sono stati fusi in uno solo.
Man mano che il livello di esecuzione e il livello di consenso diventano sempre più interconnessi, è sempre più prezioso combinare gli sforzi di sicurezza di questi livelli. Ci sono già molteplici sforzi organizzati dai team dei clienti e dalla comunità per aumentare ulteriormente la conoscenza e l’esperienza attraverso i due livelli. L’unificazione del programma Bounty aumenterà ulteriormente la visibilità e gli sforzi di coordinamento per identificare e mitigare le vulnerabilità.
Ricompense aumentate 💰
La ricompensa massima del programma Bounty è ora di $ 250.000 (pagati in ETH o DAI) per le vulnerabilità nell’ambito. Anche gli aggiornamenti in tempo reale su testnet pubblici e mirati a una versione Mainnet sono inclusi e le ricompense vengono raddoppiate durante questo periodo, il che significa che la ricompensa massima è di $ 500.000 durante questi periodi!
In totale, questo segna a Aumento di 10 volte dalla vincita massima precedente sulle taglie di Consensus Layer e a Aumento di 20 volte dalla vincita massima precedente sulle ricompense del livello di esecuzione.
Misurazione dell’impatto 💥
Il programma Bug Bounty si concentra principalmente sulla protezione del livello base della rete Ethereum. Tenendo presente questo, l’impatto di una vulnerabilità è in diretta correlazione con l’impatto sulla rete nel suo insieme.
Mentre, ad esempio, una vulnerabilità Denial of Service rilevata in un client utilizzato da <1% della rete causerebbe sicuramente problemi agli utenti di questo client, avrebbe un impatto maggiore sulla rete Ethereum se la stessa vulnerabilità esistesse in un client utilizzato da >30% della rete.
Visibilità 👀
Oltre alla fusione dei programmi di ricompensa e all’aumento della ricompensa massima, sono stati adottati più passaggi per chiarire come segnalare le vulnerabilità.
Sicurezza Github
I repository come ethereum/consensus-specs ed ethereum/go-ethereum ora contengono informazioni su come segnalare le vulnerabilità in SECURITY.md File.
security.txt
security.txt è implementato e contiene informazioni su come segnalare le vulnerabilità. Il file stesso può essere trovato qui.
TXT di sicurezza DNS
DNS Security TXT è implementato e contiene informazioni su come segnalare le vulnerabilità. Questa voce può essere visualizzata eseguendo dig _security.ethereum.org TXT.
Come puoi iniziare? 🔨
Con nove diversi client scritti in varie lingue, Solidity, le specifiche e il contratto intelligente di deposito, tutti inclusi nell’ambito del programma di taglie, c’è molto da approfondire per i cacciatori di taglie.
Se stai cercando alcune idee su dove iniziare il tuo viaggio di caccia ai bug, dai un’occhiata alle vulnerabilità segnalate in precedenza. Questo è stato aggiornato l’ultima volta a marzo e contiene tutte le vulnerabilità segnalate che abbiamo registrato, fino all’aggiornamento della rete Altair.
Aspettiamo le vostre segnalazioni! 🐛
![[Connext] Bridging e comunicazione crosschain affidabili – ora disponibili](https://external-preview.redd.it/up1JZ7WMBriPNZAKqgjw2LcT20J4-yjsBLtHSkDcLEw.jpg?auto=webp&v=enabled&s=ef6315f092da2d9175a6350e711a544ac6f4b3ad)
