以太坊2.0版本发布前漏洞赏金翻了五倍
星期二, 十一月 24, 2020
近日,以太坊2.0版本漏洞赏金计划将最高奖金提高到了5万美元(是之前的五倍),以激励黑客在以太坊2.0版本重大升级(转向权益证明模型)前,挖掘尽可能多的高价值漏洞。
据悉,以太坊基金会的漏洞赏金小组将依据OWASP风险模型对漏洞进行评分。漏洞被粗略地分为低、中、高三个严重等级,最危险的漏洞可为研究人员赢得25,000个积分,而具有高影响力的漏洞则可以获得10000分。中低风险的安全漏洞可获得1000-5000积分。
在以太坊最新的漏洞赏金计划中,每个积分价值2美元,通过以太坊(ETH)或稳定币DAI支付。
以太坊的漏洞赏金计划针对那些影响核心Eth2 Phase 0规范安全、破坏最终性的漏洞以及拒绝服务(DoS)向量,或与验证有关的安全问题,例如当“真实的”验证器受计算或参数影响产生的问题。
此外,prysm、lighthouse和Teku客户端也都在漏洞赏金计划范围内。
更多的客户端实现在通过初步审核后将加入列表,同时也将考虑与违规、DoS攻击、崩溃和共识拆分相关的漏洞。
所提供的奖励还可能取决于漏洞报告的质量,其再现的容易程度以及漏洞赏金猎人是否提供了解决漏洞的方法。
除经济奖励外,以太坊基金会还创建了一个排行榜,以展示其顶级漏洞赏金猎人。
此前,以太坊漏洞赏金计划的最高奖金为10000美元。
漏洞奖金的暴增距离以太坊从工作量证明(PoW)过渡到权益证明(PoS)的时间点只有两周时间,显然,以太坊基金会试图激励黑客们在过渡之前最后冲刺一下。
PoW模型允许用户通过解决复杂数学问题的计算机来挖掘加密货币(挖矿),但是,挖掘加密货币所需的能量会随着时间的推移而增加。PoS使用验证器根据一般共识过程将投票权授予节点。
自2014年以来,以太坊基金会一直在开发名为Casper的PoS系统,即所谓的Serenity版本。计划于12月1日转移到Phase0的Beacon Chain。