8BTCCI: 11447.70 +2.71% 8BTCVI: 5323.36 +1.36% 24H成交额: ¥4158.23亿 +17.21% 总市值: ¥16150.99亿 +2.47%
科普 | 以太坊研究之基金会赏金计划

科普 | 以太坊研究之基金会赏金计划

数秦研究院 发布在 链圈子 52319

一、概述

 

以太坊赏金计划(The Ethereum Bounty Program)开始于2015年初,是以太坊基金会组织的一个项目,旨在呼吁社区和漏洞赏金猎人帮助及时识别协议和客户端的有关错误。为了提高开发者积极性,根据查找到的漏洞的影响大小,对开发者进行不同程度的奖励。同时,设置了排行榜,对外公开获得奖励的开发者的排名、成就和得分,提高了评选的透明度。

 

二、赏金计划规则

 

赏金计划对赏金范围做出了明确规定,已公开披露的漏洞将无法获得奖;以太坊核心开发团队、员工以及直接或间接参与以太坊项目的人员都无法参与赏金计划;任何专业的以太坊代码库开发者也无法参与赏金计划。

赏金计划跨越端到端,从协议的健全、合规到网络的安全性和共识的完整性。根据赏金计划披露的赏金范围统计表(详见附录1),该计划主要关注在已经稳定运行的客户端、钱包、协议和其他服务在正常运作过程中存在的漏洞风险,对仍在探索、测试阶段的技术偏好较低。

支付的赏金取决于该漏洞的严重程度,基于OWASP风险评级模型,由以太坊基金会漏洞赏金小组作出最终评定,具体评级如下图所示。

 

根据不同的等级,获奖者可以获得不同的积分,critical等级最多可获得25000积分,high等级最多可获得15000积分,medium等级最多可获得10000积分,low等级最多可获得2000积分,note等级最多可获得500积分。其中,1积分对应当前1美元的ETH或者BTC,但有时候奖励会根据需要进行改变,如在2017年9月,为了保证拜占庭的更好实施,对影响分叉的任何漏洞的奖励进行了翻倍。任何规则的变化,都会及时公示在网站新闻上。

赏金申请人只需在网站链接里填写相应资料就可参与赏金计划。为了保证奖励的安全性和合规性,申请人需要用真实姓名进行申请。此外,对漏洞进行简短描述,并说明可能产生的攻击情况以及漏洞的对象,最后,展示解决方法。

 

三、获奖项目汇总

 

据官网排行榜公示数据可知,自2015年开始赏金计划以来,共有32人获得过奖励,总计颁出奖励199200分。根据官网披露的信息,单项最高奖励为2019年ChainSecurity和Ralph Pichler在执行君士坦丁堡之前发现的重大漏洞,获得25000分;其次是发现了Mist远程命令执行的0天漏洞,获得奖励15000分。在2017年到2019年之间,达到medium等级的11个获奖漏洞中,有6个是关于Geth安全的,4个是关于Mist的漏洞。

综上可得,以太坊基金会赏金计划主要是为了提升Geth和Mist的安全性。

附录1

WX20190605-095013

附录2

WechatIMG27

文章标签: 以太坊
评论
登录 账号发表你的看法,还没有账号?立即免费 注册