Прeскачане към основното съдържание

Отворено за изпращане

Програма за награди за намиране на грешки

Спечелете до 250 000 щатски долара и място в класацията, като намирате грешки в протокола, клиентите и Solidity, които се отразяват на мрежата на Етереум.

Докладвайте за грешка(opens in a new tab)Прочетете правилата
Вижте целите класации

Клиенти, споменати в изследванията

Попадащи в обхвата

Обхватът на нашата програма за награди за намиране на грешки е от край до край: от надеждността на протоколите (като консенсусния модел на блоковата верига, p2p протоколи, протоколи за трансфер, доказателство за залог и т.н.) и съответствието на протокола/внедряването до сигурността на мрежата и неприкосновеността на консенсуса. Класическата сигурност на клиентите, както и сигурността на криптографските методи, също са част от програмата. Ако имате съмнения, изпратете имейл на bounty@ethereum.org и ни попитайте.

Грешки в спецификациите

Спецификациите на Етереум описват подробно обосновката на дизайна за слоя на изпълнение и консенсусния слой.

Спецификации на консенсусния слой(opens in a new tab)
Спецификации на слоя на изпълнение(opens in a new tab)

Видове грешки

  • Грешки, засягащи безопасността/финализирането на блока
  • Вектори за отказа на услуга/denial of service (DOS)
  • Несъответствия при преценките, като случаи, при които честни валидатори могат да бъдат наказани и изхвърлени
  • Несъответствия в изчисленията или параметрите

Грешки в клиента

Клиентите управляват мрежата на Етереум и трябва да следват логиката, заложена в спецификацията, и да се подсигурят срещу потенциални атаки. Грешките, които искаме да открием, са свързани с прилагането на протокола.

Към момента клиентите на слоя на изпълнение (Besu, Erigon, Geth и Nethermind) и клиентите на консенсусния слой (Lighthouse, Lodestar, Nimbus, Teku и Prysm) са включени в Програмата за награди за намиране на грешки. Може да бъдат добавени още клиенти, когато минат проверка и са готови за пускане.

Видове грешки

  • Проблеми при несъответствие в спецификацията
  • Уязвимости от типа на неочаквани сривове, RCE или отказ на услуги (DOS)
  • Други проблеми, които причиняват непоправими отделяния на консенсусния слой от останалата част от мрежата

Грешки в Solidity

Вижте Solidity SECURITY.MD за повече подробности относно това какво влиза в обхвата.

Solidity не поддържа гаранции за сигурност по отношение на компилирането на ненадеждни входящи данни – също така не даваме награди за сривове на компилатора solc при злонамерено генерирани данни.

Грешки в договор за депозит

Спецификациите и изходният код на договора за депозит на Бийкън чейн са част от програмата за награди за намиране на грешки.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

Извън обхвата

Само обекти, които са изброени като попадащи в обхвата, са част от Програмата за награди за намиране на грешки. Това означава, че неща като нашата инфраструктура например – като уебстраници, DNS, имейли и др. – не са обхванати от програмата. Грешките в договорите ERC20 обичайно не са включени в обхвата на наградите. В такива случаи обаче можем да помогнем на засегнатите страни, като например автори или борси. ENS се поддържа от фондацията ENS и не влиза в обхвата на наградите.

Докладвайте за грешка

Ще печелите награди за всяка валидна грешка, която намерите. Количеството на присъжданите награди ще е различно в зависимост от тежестта на грешката. Тежестта се изчислява въз основа на модела за оценка на риска OWASP и е базирана на отражението върху мрежата на Етереум и вероятността ѝ. Вижте OWASP метода(opens in a new tab)

Фондация Етереум ще предоставя награди на базата на:

Качество на описанието: По-високи награди се изплащат, когато подадената информация е ясна и добре написана.

Качество на възпроизводимост: Трябва да бъде включено доказателство за концепция, за да отговаряте на условията за награди. Включете тест код, скриптове и подробни указания. Колкото е по-лесно за нас да възпроизведем и установим уязвимостта, толкова по-голяма ще е наградата.

Качество на фиксирането, ако е включено: По-високи награди се изплащат за подадена информация с ясно описание как да се реши проблемът.

До 2000 USD

Ниско

До 2000 USD

До 1000 точки

Трудност

  • Ниско въздействие, средна вероятност
  • Средно въздействие, ниска вероятност

Пример

Атакуващият може понякога да постави даден възел в състояние, което ще предизвика падането на една от всеки сто атестации, направени от валидатора
Докладвайте за грешка с нисък риск(opens in a new tab)
До 10 000 USD

Средно

До 10 000 USD

До 5000 точки

Трудност

  • Високо въздействие, ниска вероятност
  • Средно въздействие, средна вероятност
  • Ниско въздействие, висока вероятност

Пример

Атакуващият може успешно да проведе прикрити атаки на възли с peer-id с 4 водещи нулеви битове/4 leading zero bytes
Докладвайте за грешка със среден риск(opens in a new tab)
До 50 000 USD

Високо

До 50 000 USD

До 10 000 точки

Трудност

  • Високо въздействие, средна вероятност
  • Средно въздействие, висока вероятност

Пример

Един атакуващ може успешно да раздели големи части от мрежата и е банално атакуващият да задейства уязвимостта.
Докладвайте за грешка с висок риск(opens in a new tab)
До 250000 USD

Критично важно

До 250000 USD

До 25 000 точки

Трудност

  • Голямо въздействие, голяма вероятност

Пример

Един атакуващ може успешно да извърши дистанционно изпълнение на код в мажоритарен клиент и е банално атакуващи да задейства уязвимостта.
Докладвайте за грешка с критичен риск(opens in a new tab)

Правила при търсене на грешки

Програмата за награди за намиране на грешки е експериментална и наградите са по усмотрение за нашата активна общност на Етереум с цел поощряване и награда за тези, които помагат за усъвършенстване на платформата. Това не е състезание. Трябва да сте наясно, че може да спрем програмата по всяко време и наградите са единствено по преценка на комисията по откриване на грешки на Фондация Етереум. Също така не можем да даваме награди на хора, които са в списъци на санкционирани лица или които се намират в страни, включени в такива списъци (например Северна Корея, Иран и други). Местните закони ни задължават да поискаме доказателство за вашата самоличност. Всички данъци са ваша отговорност. Всички награди са подчинени на съответните закони. И накрая, тестовете, които правите, не трябва да нарушават никакви закони или да компрометират данни, които не са ваши, и трябва да се извършват на местни тестови мрежи.

  • Проблеми без доказателство за концепция (POC), които вече са докладвани от друг потребител или са вече известни на поддържащите спецификация и клиенти, не подлежат на награди по програмата за търсене на грешки.
  • Публичното оповестяване на дадена уязвимост я прави неприемлива за награда.
  • Служители и изпълнители на Фондация Етереум или екипи, управляващи клиенти, който попадат в обхвата на програмата за награди могат да участват в програмата само с натрупване на точки и няма да получават парични награди.
  • Програмата на Етереум за награди за намиране на грешки се съобразява с множество фактори при определяне на наградите. Определянето на допустимостта, резултата и всички условия, свързани с дадена награда, е по окончателна преценка единствено и само на комисията за търсене на грешки на Фондация Етереум.

Класация за намиране на грешки в слоя на изпълнение

Открийте грешки в слоя на изпълнение, за да ви добавим в тази класация

Класация за намиране на грешки в консенсусния слой

Открийте грешки в консенсусния слой, за да ви добавим в тази класация

Често задавани въпроси

Въпроси?

Пишете ни: bounty@ethereum.org(opens in a new tab)

Полезна ли бе тази страница?