Отворено за изпращане
Програма за награди за намиране на грешки
Спечелете до 250 000 щатски долара и място в класацията, като намирате грешки в протокола, клиентите и Solidity, които се отразяват на мрежата на Етереум.
Клиенти, споменати в изследванията
Попадащи в обхвата
Обхватът на нашата програма за награди за намиране на грешки е от край до край: от надеждността на протоколите (като консенсусния модел на блоковата верига, p2p протоколи, протоколи за трансфер, доказателство за залог и т.н.) и съответствието на протокола/внедряването до сигурността на мрежата и неприкосновеността на консенсуса. Класическата сигурност на клиентите, както и сигурността на криптографските методи, също са част от програмата. Ако имате съмнения, изпратете имейл на bounty@ethereum.org и ни попитайте.
Грешки в спецификациите
Спецификациите на Етереум описват подробно обосновката на дизайна за слоя на изпълнение и консенсусния слой.
Спецификации на слоя на изпълнение(opens in a new tab)
Може би е полезно да проверите следните бележки:
Видове грешки
- Грешки, засягащи безопасността/финализирането на блока
- Вектори за отказа на услуга/denial of service (DOS)
- Несъответствия при преценките, като случаи, при които честни валидатори могат да бъдат наказани и изхвърлени
- Несъответствия в изчисленията или параметрите
Грешки в клиента
Клиентите управляват мрежата на Етереум и трябва да следват логиката, заложена в спецификацията, и да се подсигурят срещу потенциални атаки. Грешките, които искаме да открием, са свързани с прилагането на протокола.
Към момента клиентите на слоя на изпълнение (Besu, Erigon, Geth и Nethermind) и клиентите на консенсусния слой (Lighthouse, Lodestar, Nimbus, Teku и Prysm) са включени в Програмата за награди за намиране на грешки. Може да бъдат добавени още клиенти, когато минат проверка и са готови за пускане.
Видове грешки
- Проблеми при несъответствие в спецификацията
- Уязвимости от типа на неочаквани сривове, RCE или отказ на услуги (DOS)
- Други проблеми, които причиняват непоправими отделяния на консенсусния слой от останалата част от мрежата
Грешки в Solidity
Вижте Solidity SECURITY.MD за повече подробности относно това какво влиза в обхвата.
Solidity не поддържа гаранции за сигурност по отношение на компилирането на ненадеждни входящи данни – също така не даваме награди за сривове на компилатора solc при злонамерено генерирани данни.
Полезни връзки
SECURITY.md(opens in a new tab)Грешки в договор за депозит
Спецификациите и изходният код на договора за депозит на Бийкън чейн са част от програмата за награди за намиране на грешки.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Извън обхвата
Само обекти, които са изброени като попадащи в обхвата, са част от Програмата за награди за намиране на грешки. Това означава, че неща като нашата инфраструктура например – като уебстраници, DNS, имейли и др. – не са обхванати от програмата. Грешките в договорите ERC20 обичайно не са включени в обхвата на наградите. В такива случаи обаче можем да помогнем на засегнатите страни, като например автори или борси. ENS се поддържа от фондацията ENS и не влиза в обхвата на наградите.
Докладвайте за грешка
Ще печелите награди за всяка валидна грешка, която намерите. Количеството на присъжданите награди ще е различно в зависимост от тежестта на грешката. Тежестта се изчислява въз основа на модела за оценка на риска OWASP и е базирана на отражението върху мрежата на Етереум и вероятността ѝ. Вижте OWASP метода(opens in a new tab)
Фондация Етереум ще предоставя награди на базата на:
Качество на описанието: По-високи награди се изплащат, когато подадената информация е ясна и добре написана.
Качество на възпроизводимост: Трябва да бъде включено доказателство за концепция, за да отговаряте на условията за награди. Включете тест код, скриптове и подробни указания. Колкото е по-лесно за нас да възпроизведем и установим уязвимостта, толкова по-голяма ще е наградата.
Качество на фиксирането, ако е включено: По-високи награди се изплащат за подадена информация с ясно описание как да се реши проблемът.
Ниско
До 2000 USD
До 1000 точки
Трудност
- Ниско въздействие, средна вероятност
- Средно въздействие, ниска вероятност
Пример
Средно
До 10 000 USD
До 5000 точки
Трудност
- Високо въздействие, ниска вероятност
- Средно въздействие, средна вероятност
- Ниско въздействие, висока вероятност
Пример
Високо
До 50 000 USD
До 10 000 точки
Трудност
- Високо въздействие, средна вероятност
- Средно въздействие, висока вероятност
Пример
Критично важно
До 250000 USD
До 25 000 точки
Трудност
- Голямо въздействие, голяма вероятност
Пример
Правила при търсене на грешки
Програмата за награди за намиране на грешки е експериментална и наградите са по усмотрение за нашата активна общност на Етереум с цел поощряване и награда за тези, които помагат за усъвършенстване на платформата. Това не е състезание. Трябва да сте наясно, че може да спрем програмата по всяко време и наградите са единствено по преценка на комисията по откриване на грешки на Фондация Етереум. Също така не можем да даваме награди на хора, които са в списъци на санкционирани лица или които се намират в страни, включени в такива списъци (например Северна Корея, Иран и други). Местните закони ни задължават да поискаме доказателство за вашата самоличност. Всички данъци са ваша отговорност. Всички награди са подчинени на съответните закони. И накрая, тестовете, които правите, не трябва да нарушават никакви закони или да компрометират данни, които не са ваши, и трябва да се извършват на местни тестови мрежи.
- Проблеми без доказателство за концепция (POC), които вече са докладвани от друг потребител или са вече известни на поддържащите спецификация и клиенти, не подлежат на награди по програмата за търсене на грешки.
- Публичното оповестяване на дадена уязвимост я прави неприемлива за награда.
- Служители и изпълнители на Фондация Етереум или екипи, управляващи клиенти, който попадат в обхвата на програмата за награди могат да участват в програмата само с натрупване на точки и няма да получават парични награди.
- Програмата на Етереум за награди за намиране на грешки се съобразява с множество фактори при определяне на наградите. Определянето на допустимостта, резултата и всички условия, свързани с дадена награда, е по окончателна преценка единствено и само на комисията за търсене на грешки на Фондация Етереум.
Класация за намиране на грешки в слоя на изпълнение
Открийте грешки в слоя на изпълнение, за да ви добавим в тази класация
- 3
- 12In place number 12 with 13000 pointsBob Conan13000 точки
- 14
- 20
- 32
- 39
- 46
- 51
- 53
Класация за намиране на грешки в консенсусния слой
Открийте грешки в консенсусния слой, за да ви добавим в тази класация
- 5In place number 5 with 10000 pointsscio10000 точки
- 15In place number 15 with 1750 pointsAkincibor1750 точки
Често задавани въпроси
Въпроси?
Пишете ни: bounty@ethereum.org(opens in a new tab)