安全＃5：公共漏洞披露更新

今天，我们有 公开 以太坊基金会Bounty计划中的第二组漏洞！ 🥳这些漏洞以前是在以太坊基金会直接发现的。

报告和验证错误时，以太坊基金会会协调受影响的团队的披露，并帮助所有客户端的交叉检查漏洞。 Bug Bounty程序当前接受以下客户端软件的报告：

• 埃里贡
• 去以太坊
• Lodestar
• nethermind
• 灯塔
• prysm
• 海
• basut
• 暴雨

除客户软件外，Bug Bounty计划还涵盖了存款合同，执行层和共识层规格和坚固性。 🙏

存储库和漏洞清单

由于上次漏洞披露与合并🐼和最大赏金奖励等事件相当多，增加到25万美元。 💰

在此期间，最高的报酬是50,000美元。这被授予 Scio 用于报告一个问题，其中灯塔信标节点因恶意而崩溃 blocksbyrange 包含过大的消息 数数 价值。您可以阅读有关此特定漏洞的更多信息 这里。 💥

另一套值得注意的漏洞是围绕叉选择攻击。 EF研究人员和客户团队进行了调查和修补 能够造成长长的攻击。 👀

Guido Vranken 在此期间持有最积极的报告。同时，Guido设法收集了Boun Bounty排行榜的最多要点！ 🏆

我们还有两个赏金猎人决定向慈善机构捐款： NRV 和 pwningeth呢🔥

可以在 披露存储库。

在执行层和共识层上最新的硬构之前对披露目录中添加的所有漏洞进行了修补。

有关更多信息，并了解有关披露政策，时间表和编目的更多信息，请前往 披露存储库。

谢谢

我们想向参与发现和报告漏洞的每个人以及负责修复它们的团队大声喊叫。尽管我们试图包括所有记者的名称或别名，但客户团队和以太坊基金会中有许多开发人员和研究人员在赏金计划之外发现并纠正了漏洞。还有许多无名英雄，例如客户团队开发人员，社区成员和更多的英雄，他们花了无数的时间进行分类，交叉检查和减轻脆弱性，然后才能被利用。

您的巨大努力对确保以太坊的安全起到了重要作用。 谢谢你！