Der Chrysalis Attack-a-thon

iota bug bounty

Die Mitglieder der IOTA Foundation und das IOTA-Ökosystem sind begierig darauf, Chrysalis im Mainnet zu sehen. Nach Monaten der Entwicklung, des Testens und der Prüfung durch externe Firmen sind wir nun zuversichtlich, für den Übergang zu Chrysalis bereit zu sein.

Kurz davor laden wir die Mitglieder der IOTA Community zum Chrysalis Attack-a-thon ein!

iota trading plattform

Mit dem Attack-a-thon möchten wir Sie dazu herausfordern, zu versuchen, verschiedene Teile von Chrysalis zu knacken. Sie werden für Ihre Erkenntnisse belohnt!
Verwechseln Sie dies nicht mit dem „incentivierten Testnetz“ von IOTA, das nach dem Erreichen der „Nectar“-Stufe des Coordicide-Testnetzes gestartet wird: Das ist natürlich noch auf der Roadmap und wird nach dem Upgrade auf die „Nectar“-Stufe des Testnetzes geschehen.

Der Chrysalis Attack-a-thon ist eine an Sicherheitsforschern/Entwicklern/Brustschützen orientierte Herausforderung. Jeder ist eingeladen, mitzumachen und zu versuchen, ein paar kleine Preise zu ergattern. Es ist eher als öffentliches und spaßiges Erlebnis gedacht, was sich auch in unseren Belohnungen widerspiegelt 😉

IOTA Staking

Der Attack-a-thon läuft etwa 10 Tage lang: Er beginnt am 18. März 2021 um 2PM UTC und endet am 28. März 2021 um 11:59 PM UTC.

Der Umfang der Attack-a-thon-Herausforderung

Im Geltungsbereich des Chrysalis Attack-a-thon sind die folgenden IOTA-Komponenten:

  • Die IOTA-Knoten-Software
    • HORNET (Der develop-Zweig)
    • Bee (Der chrysalis-pt-2-Zweig)
  • Bibliotheken
  • stronghold.rs (Der Entwicklungszweig)

Kategorien, Belohnungen und wie man teilnehmen kann

Es kann viele verschiedene Dinge geben, die unsere Community bei ihrer Erkundung möglicher Angriffe auf das Chrysalis-Netzwerk finden könnte, daher haben wir Kategorien für die Einreichungen definiert. Jede Kategorie ist mit einer oder mehreren Belohnungen verbunden.

Die Spielregeln sind ziemlich einfach:

Suche Gastautoren
  • Der erste, der innerhalb des definierten Zeitraums einen gültigen Beitrag einreicht, erhält den Preis
  • Jedes Problem im Bereich zählt einzeln (z. B. wenn eine Injektion die Eskalation von Privilegien ermöglicht, zählt dies als zwei Probleme)
  • Das Bewertungskomitee kann die Einsendung zählen, wenn es sich um eine besondere Schwachstelle handelt, die außerhalb des vorgeschlagenen Geltungsbereichs liegt, aber einen starken Bezug zu Chrysalis hat

Kategorien

Es wurden vier Arten von Prioritäten für die Ergebnisse definiert:
Bei den Prioritäten geht es im Wesentlichen um das Kosten-Nutzen-Verhältnis. Und Kosten und Nutzen sollten als weit gefasste Begriffe betrachtet werden: Kosten können Aufwand, Zeit, Geld, erforderliche Koordination usw. sein; Nutzen könnte monetär sein, Reputation, Wettbewerbsvorteil usw.

Priorität 1

Wahrscheinlichkeit: mittel/hoch (ein Angriff kann mit geringen oder gar keinen erweiterten Ressourcen durchgeführt werden)
Schweregrad: korrumpiert/stoppt das Netzwerk vollständig. Verändert willkürlich die Guthaben vieler Benutzer.

  • Konsens-Spaltung des Netzwerks (praktischer Angriff).
  • Willkürliche Kontoübernahme (Token stehlen).
  • Doppeltes Ausgeben von vorhandenem Guthaben oder Verwendung von Guthaben „aus dem Nichts“ oder Treasury Output.
  • Anhalten von Netzwerkbestätigungen insgesamt (Koordinator).
  • Rückgängigmachen einer bestätigten Transaktion.

Priorität 2

Wahrscheinlichkeit: mittel/niedrig (ein Angriff kann unter besonderen Bedingungen durchgeführt werden, mit mittlerem oder hohem Schwierigkeitsgrad zu erstellen)
Schweregrad: Kompromittierung des gesamten Netzwerks mit geringer Wahrscheinlichkeit oder konsequente Beeinträchtigung bestimmter Akteure im Netzwerk mit mäßigen Mitteln.

  • Konsens-Spaltung des Netzwerks (theoretischer Angriff).
  • Zensieren beliebiger Accounts, Verhindern von Bestätigungen.
  • Das Netzwerk dazu bringen, Nachrichten zu akzeptieren, die etablierte „Validierungs“-Regeln verletzen: unzureichendes PoW, missgebildete Nachrichten, Verletzung von Staubregeln, etc.
  • Eclipse-Angriff, willkürliche Kontrolle des Peerings von Knoten.

Priorität 3

Wahrscheinlichkeit: mittel/niedrig, ein Angriff kann unter speziellen Bedingungen durchgeführt werden, mit mittlerem oder hohem Schwierigkeitsgrad zu erstellen.
Schweregrad: Angriffe, die eine begrenzte Anzahl von Akteuren im Netzwerk betreffen.

  • Verursachen, dass Knoten unter „durchschnittlicher“ Netzwerklast abstürzen oder hängen.
  • Verursachen, dass ein Knoten die Verbindung zu einem beliebigen Peer abbricht.
  • Reduzieren der Gesamtbestätigungsrate konstant unter 50%, ohne mehr als 20% Hash-Rate zu halten.
  • Manipulation des Benutzererlebnisses einer einzelnen Wallet, um unerwünschte Aktionen vorzutäuschen: Zahlung an eine falsche Adresse, Anzeige gefälschter Bestätigungszustände,
  • Offenlegung von geheimem Material, Entführung des Migrationsprozesses.

Priorität 4

Wahrscheinlichkeit: mittel/niedrig
Schweregrad: Störung der Endbenutzer-Nutzbarkeit des Netzwerks, Verfügbarkeitsunterbrechungen, etc.

  • Verhindern, dass neue Knoten dem Netzwerk beitreten.
  • Verhindern, dass Wallets Tangle-Daten laden können.
  • Absturz einzelner Knoten unter schwer zu erreichenden spezifischen Bedingungen.

Ausschlüsse

Was nicht bewertet wird (obwohl eine Einreichung des Problems trotzdem sehr willkommen ist):

  • Grafische Fehler (falsche Form einer Box, Text nicht ausgerichtet und ähnliche Dinge)
  • Tippfehler (sofern sie nicht für einen Angriff genutzt werden können)
  • Fehler, die eine Manipulation der zugrundeliegenden Laufzeitumgebung beinhalten, ohne app-spezifische Fehler auszunutzen (z. B. Malware, die auf dem Betriebssystem läuft, böswilliger Administrator-Benutzer auf demselben System, usw.)
  • Die Knoten mit viel Spam aus der Synchronisation bringen, ohne den Coordinator zum Absturz zu bringen

Belohnungen

Jeder, der ein vom Bewertungskomitee als gültig erachtetes Problem einreicht und Mitglied der IOTA Discord-Community ist, erhält das spezielle Tanglebreaker-Abzeichen, um von unserer Community anerkannt zu werden.

iota rewards

Priorität 1

IOTA gebrandeter Ledger Nano S für die ersten 10 Einreichungen, die sich als P1 qualifizieren
T-Shirt mit individuellem Design*
2.500 € in IOTA-Tokens

Priorität 2

Ledger Nano mit IOTA-Branding für die ersten 7 Einreichungen, die sich als P2 qualifizieren
T-Shirt mit individuellem Design*
1.500 € in IOTA-Token

Priorität 3

Ledger Nano mit IOTA-Branding für die ersten 5 Einreichungen, die sich als P3 qualifizieren
T-Shirt mit individuellem Design*
1.000 € in IOTA-Token

Priorität 4

Ledger Nano mit IOTA-Branding für die ersten 3 Einreichungen, die sich als P4 qualifizieren
T-Shirt mit individuellem Design*
500 € in IOTA-Token

* durch das Designteam der IOTA Foundation

Bedingungen und Konditionen

Die Preise können nicht an Teilnehmer ausgezahlt werden, die ihren Wohnsitz in Ländern haben, die internationalen Sanktionen des UNSC, der OFAC und der EU unterliegen, oder die persönlich auf den von den genannten Gremien veröffentlichten Listen der Specially Designated Nationals und Blocked Persons (SDN) genannt sind
Ausgeschlossen von der Teilnahme sind alle Mitarbeiter und Auftragnehmer von IF sowie alle Personen, die bereits beruflich an Teilen des Chrysalis-Codes gearbeitet haben

Wie Sie teilnehmen können

Sobald Sie ein Problem finden, das unter die oben beschriebenen Kategorien fällt, wechseln Sie zum entsprechenden GitHub-Repository und reichen ein Attack-a-thon-Problem unter Verwendung der vordefinierten Problemvorlage ein:

iota GitHub

Die Frage muss wie folgt strukturiert sein, damit sie vom Bewertungsausschuss berücksichtigt werden kann.

Beschreibung: Welche Komponente wurde verwendet (z.B. iota.rs python binding) und wie

Auswirkung: Beschreiben Sie die Sicherheitslücke und ihre möglichen Auswirkungen.

Proof of Concept: Geben Sie eine detaillierte Beschreibung der Schritte, Tools und Versionen, die zur Reproduktion des Problems erforderlich sind (Proof-of-Concept-Skripte oder Screenshots sind hilfreich).

Mit dem Einreichen des Problems garantiert der Einsender, dass der Bericht und alle Anhänge nicht die geistigen Eigentumsrechte Dritter verletzen, und der Einsender gewährt der IOTA Foundation eine nicht-exklusive, gebührenfreie, weltweite, unbefristete Lizenz zur Nutzung, Vervielfältigung, Erstellung abgeleiteter Werke und Veröffentlichung des Berichts und aller Anhänge.

Das Bewertungskomitee

Die eingereichten Issues werden von Mitgliedern der IOTA Foundation auf ihre Korrektheit überprüft. Sie antworten auf das Issue auf GitHub, um die Gültigkeit des Issues zu bestätigen oder nicht und die Kategorie zu definieren, unter die es fällt.

Ab dem 8. April 2021 werden die siegreichen Teilnehmer vom Community Manager, Antonio Nardella, mit einem Kommentar zu dem eingereichten Issue kontaktiert.

Der folgende Prozess der Verifizierung und des Informationsaustauschs, um die Belohnungen zu erhalten, erfordert die Veröffentlichung eines öffentlichen Gists, wobei die Informationen per E-Mail ausgetauscht werden.

Original by Antonio Nardella: https://blog.iota.org/the-chrysalis-attack-a-thon/

Folge und teile diese Seite:
error20
fb-share-icon0
Tweet 402
0 0 Stimmen
Artikel Bewertung
Abonnieren
Benachrichtige mich bei
guest
0 Kommentare
Inline-Rückmeldungen
Alle Kommentare anzeigen