Отворено за изпращане
Програма за награди за намиране на грешки
Спечелете до 250 000 щатски долара и място в класацията, като намирате грешки в протокола, клиентите и Solidity, които се отразяват на мрежата на Етереум.
Клиенти, споменати в изследванията











Попадащи в обхвата
Обхватът на нашата програма за награди за намиране на грешки е от край до край: от надеждността на протоколите (като консенсусния модел на блоковата верига, p2p протоколи, протоколи за трансфер, доказателство за залог и т.н.) и съответствието на протокола/внедряването до сигурността на мрежата и неприкосновеността на консенсуса. Класическата сигурност на клиентите, както и сигурността на криптографските методи, също са част от програмата. Ако имате съмнения, изпратете имейл на bounty@ethereum.org и ни попитайте.
Грешки в спецификациите
Спецификациите на Етереум описват подробно обосновката на дизайна за слоя на изпълнение и консенсусния слой.
Спецификации на слоя на изпълнение
Може би е полезно да проверите следните бележки:
Видове грешки
- Грешки, засягащи безопасността/финализирането на блока
- Вектори за отказа на услуга/denial of service (DOS)
- Несъответствия при преценките, като случаи, при които честни валидатори могат да бъдат наказани и изхвърлени
- Несъответствия в изчисленията или параметрите
Документи за спецификацията
Грешки в клиента
Клиентите управляват мрежата на Етереум и трябва да следват логиката, заложена в спецификацията, и да се подсигурят срещу потенциални атаки. Грешките, които искаме да открием, са свързани с прилагането на протокола.
Към момента клиентите на слоя на изпълнение (Besu, Erigon, Geth и Nethermind) и клиентите на консенсусния слой (Lighthouse, Lodestar, Nimbus, Teku и Prysm) са включени в Програмата за награди за намиране на грешки. Може да бъдат добавени още клиенти, когато минат проверка и са готови за пускане.
Видове грешки
- Проблеми при несъответствие в спецификацията
- Уязвимости от типа на неочаквани сривове, RCE или отказ на услуги (DOS)
- Други проблеми, които причиняват непоправими отделяния на консенсусния слой от останалата част от мрежата
Грешки в Solidity
Вижте Solidity SECURITY.MD за повече подробности относно това какво влиза в обхвата.
Solidity не поддържа гаранции за сигурност по отношение на компилирането на ненадеждни входящи данни – също така не даваме награди за сривове на компилатора solc при злонамерено генерирани данни.
Грешки в договор за депозит
Спецификациите и изходният код на договора за депозит на Бийкън чейн са част от програмата за награди за намиране на грешки.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Vulnerability severity qualifications
Severity is assessed based on a discovered vulnerability's ability to do the following:
Low severity
- Slash >0.01% of validators
- Trivially cause network splits affecting >0.01% of the network
- Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
- Slash >1% of validators
- Trivially cause network splits affecting >5% of the network
- Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
- Slash >33% of validators
- Trivially cause network splits affecting >33% of the network
- Be able to bring down >33% of the network by sending a single network packet or an onchain transaction
Critical severity
- Slash >50% of validators
- Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
- Steal ETH from all EOAs
- Burn ETH from all EOAs
- Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients
Извън обхвата
Само обекти, които са изброени като попадащи в обхвата, са част от Програмата за награди за намиране на грешки. Това означава, че неща като нашата инфраструктура например – като уебстраници, DNS, имейли и др. – не са обхванати от програмата. Грешките в договорите ERC20 обичайно не са включени в обхвата на наградите. В такива случаи обаче можем да помогнем на засегнатите страни, като например автори или борси. ENS се поддържа от фондацията ENS и не влиза в обхвата на наградите.
- Infrastructure bugs—such as webpages, dns, email, etc.*
- ERC-20 contract bugs*
- Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
- Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
- Typographical errors
- Tests
- High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
- Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases
Докладвайте за грешка
Ще печелите награди за всяка валидна грешка, която намерите. Количеството на присъжданите награди ще е различно в зависимост от тежестта на грешката. Тежестта се изчислява въз основа на модела за оценка на риска OWASP и е базирана на отражението върху мрежата на Етереум и вероятността ѝ. Вижте OWASP метода
Фондация Етереум ще предоставя награди на базата на:
Качество на описанието: По-високи награди се изплащат, когато подадената информация е ясна и добре написана.
Качество на възпроизводимост: Трябва да бъде включено доказателство за концепция, за да отговаряте на условията за награди. Включете тест код, скриптове и подробни указания. Колкото е по-лесно за нас да възпроизведем и установим уязвимостта, толкова по-голяма ще е наградата.
Качество на фиксирането, ако е включено: По-високи награди се изплащат за подадена информация с ясно описание как да се реши проблемът.
Ниско
До 2000 USD
До 1000 точки
Трудност
- Ниско въздействие, средна вероятност
- Средно въздействие, ниска вероятност
Пример
Атакуващият може понякога да постави даден възел в състояние, което ще предизвика падането на една от всеки сто атестации, направени от валидатора
Средно
До 10 000 USD
До 5000 точки
Трудност
- Високо въздействие, ниска вероятност
- Средно въздействие, средна вероятност
- Ниско въздействие, висока вероятност
Пример
Атакуващият може успешно да проведе прикрити атаки на възли с peer-id с 4 водещи нулеви битове/4 leading zero bytes
Високо
До 50 000 USD
До 10 000 точки
Трудност
- Високо въздействие, средна вероятност
- Средно въздействие, висока вероятност
Пример
Един атакуващ може успешно да раздели големи части от мрежата и е банално атакуващият да задейства уязвимостта.
Критично важно
До 250000 USD
До 25 000 точки
Трудност
- Голямо въздействие, голяма вероятност
Пример
Един атакуващ може успешно да извърши дистанционно изпълнение на код в мажоритарен клиент и е банално атакуващи да задейства уязвимостта.
Правила при търсене на грешки
Програмата за награди за намиране на грешки е експериментална и наградите са по усмотрение за нашата активна общност на Етереум с цел поощряване и награда за тези, които помагат за усъвършенстване на платформата. Това не е състезание. Трябва да сте наясно, че може да спрем програмата по всяко време и наградите са единствено по преценка на комисията по откриване на грешки на Фондация Етереум. Също така не можем да даваме награди на хора, които са в списъци на санкционирани лица или които се намират в страни, включени в такива списъци (например Северна Корея, Иран и други). Местните закони ни задължават да поискаме доказателство за вашата самоличност. Всички данъци са ваша отговорност. Всички награди са подчинени на съответните закони. И накрая, тестовете, които правите, не трябва да нарушават никакви закони или да компрометират данни, които не са ваши, и трябва да се извършват на местни тестови мрежи.
- Проблеми без доказателство за концепция (POC), които вече са докладвани от друг потребител или са вече известни на поддържащите спецификация и клиенти, не подлежат на награди по програмата за търсене на грешки.
- Публичното оповестяване на дадена уязвимост я прави неприемлива за награда.
- Служители и изпълнители на Фондация Етереум или екипи, управляващи клиенти, който попадат в обхвата на програмата за награди могат да участват в програмата само с натрупване на точки и няма да получават парични награди.
- Програмата на Етереум за награди за намиране на грешки се съобразява с множество фактори при определяне на наградите. Определянето на допустимостта, резултата и всички условия, свързани с дадена награда, е по окончателна преценка единствено и само на комисията за търсене на грешки на Фондация Етереум.
Въпроси?
Пишете ни: bounty@ethereum.org