Отворено за изпращане
Програма за награди за намиране на грешки
Спечелете до 250 000 щатски долара и място в класацията, като намирате грешки в протокола, клиентите и Solidity, които се отразяват на мрежата на Етереум.
Клиенти, споменати в изследванията
Попадащи в обхвата
Обхватът на нашата програма за награди за намиране на грешки е от край до край: от надеждността на протоколите (като консенсусния модел на блоковата верига, p2p протоколи, протоколи за трансфер, доказателство за залог и т.н.) и съответствието на протокола/внедряването до сигурността на мрежата и неприкосновеността на консенсуса. Класическата сигурност на клиентите, както и сигурността на криптографските методи, също са част от програмата. Ако имате съмнения, изпратете имейл на bounty@ethereum.org и ни попитайте.
Грешки в спецификациите
Спецификациите на Етереум описват подробно обосновката на дизайна за слоя на изпълнение и консенсусния слой.
Спецификации на слоя на изпълнение(opens in a new tab)
Може би е полезно да проверите следните бележки:
Видове грешки
- Грешки, засягащи безопасността/финализирането на блока
- Вектори за отказа на услуга/denial of service (DOS)
- Несъответствия при преценките, като случаи, при които честни валидатори могат да бъдат наказани и изхвърлени
- Несъответствия в изчисленията или параметрите
Грешки в клиента
Клиентите управляват мрежата на Етереум и трябва да следват логиката, заложена в спецификацията, и да се подсигурят срещу потенциални атаки. Грешките, които искаме да открием, са свързани с прилагането на протокола.
Към момента клиентите на слоя на изпълнение (Besu, Erigon, Geth и Nethermind) и клиентите на консенсусния слой (Lighthouse, Lodestar, Nimbus, Teku и Prysm) са включени в Програмата за награди за намиране на грешки. Може да бъдат добавени още клиенти, когато минат проверка и са готови за пускане.
Видове грешки
- Проблеми при несъответствие в спецификацията
- Уязвимости от типа на неочаквани сривове, RCE или отказ на услуги (DOS)
- Други проблеми, които причиняват непоправими отделяния на консенсусния слой от останалата част от мрежата
Грешки в Solidity
Вижте Solidity SECURITY.MD за повече подробности относно това какво влиза в обхвата.
Solidity не поддържа гаранции за сигурност по отношение на компилирането на ненадеждни входящи данни – също така не даваме награди за сривове на компилатора solc при злонамерено генерирани данни.
Полезни връзки
SECURITY.md(opens in a new tab)Грешки в договор за депозит
Спецификациите и изходният код на договора за депозит на Бийкън чейн са част от програмата за награди за намиране на грешки.
Извън обхвата
Само обекти, които са изброени като попадащи в обхвата, са част от Програмата за награди за намиране на грешки. Това означава, че неща като нашата инфраструктура например – като уебстраници, DNS, имейли и др. – не са обхванати от програмата. Грешките в договорите ERC20 обичайно не са включени в обхвата на наградите. В такива случаи обаче можем да помогнем на засегнатите страни, като например автори или борси. ENS се поддържа от фондацията ENS и не влиза в обхвата на наградите.
Докладвайте за грешка
Ще печелите награди за всяка валидна грешка, която намерите. Количеството на присъжданите награди ще е различно в зависимост от тежестта на грешката. Тежестта се изчислява въз основа на модела за оценка на риска OWASP и е базирана на отражението върху мрежата на Етереум и вероятността ѝ. Вижте OWASP метода(opens in a new tab)
Фондация Етереум ще предоставя награди на базата на:
Качество на описанието: По-високи награди се изплащат, когато подадената информация е ясна и добре написана.
Качество на възпроизводимост: Трябва да бъде включено доказателство за концепция, за да отговаряте на условията за награди. Включете тест код, скриптове и подробни указания. Колкото е по-лесно за нас да възпроизведем и установим уязвимостта, толкова по-голяма ще е наградата.
Качество на фиксирането, ако е включено: По-високи награди се изплащат за подадена информация с ясно описание как да се реши проблемът.
Ниско
До 2000 USD
До 1000 точки
Трудност
- Ниско въздействие, средна вероятност
- Средно въздействие, ниска вероятност
Пример
Средно
До 10 000 USD
До 5000 точки
Трудност
- Високо въздействие, ниска вероятност
- Средно въздействие, средна вероятност
- Ниско въздействие, висока вероятност
Пример
Високо
До 50 000 USD
До 10 000 точки
Трудност
- Високо въздействие, средна вероятност
- Средно въздействие, висока вероятност
Пример
Критично важно
До 250000 USD
До 25 000 точки
Трудност
- Голямо въздействие, голяма вероятност
Пример
Правила при търсене на грешки
Програмата за награди за намиране на грешки е експериментална и наградите са по усмотрение за нашата активна общност на Етереум с цел поощряване и награда за тези, които помагат за усъвършенстване на платформата. Това не е състезание. Трябва да сте наясно, че може да спрем програмата по всяко време и наградите са единствено по преценка на комисията по откриване на грешки на Фондация Етереум. Също така не можем да даваме награди на хора, които са в списъци на санкционирани лица или които се намират в страни, включени в такива списъци (например Северна Корея, Иран и други). Местните закони ни задължават да поискаме доказателство за вашата самоличност. Всички данъци са ваша отговорност. Всички награди са подчинени на съответните закони. И накрая, тестовете, които правите, не трябва да нарушават никакви закони или да компрометират данни, които не са ваши, и трябва да се извършват на местни тестови мрежи.
- Проблеми без доказателство за концепция (POC), които вече са докладвани от друг потребител или са вече известни на поддържащите спецификация и клиенти, не подлежат на награди по програмата за търсене на грешки.
- Публичното оповестяване на дадена уязвимост я прави неприемлива за награда.
- Служители и изпълнители на Фондация Етереум или екипи, управляващи клиенти, който попадат в обхвата на програмата за награди могат да участват в програмата само с натрупване на точки и няма да получават парични награди.
- Програмата на Етереум за награди за намиране на грешки се съобразява с множество фактори при определяне на наградите. Определянето на допустимостта, резултата и всички условия, свързани с дадена награда, е по окончателна преценка единствено и само на комисията за търсене на грешки на Фондация Етереум.
Класация за намиране на грешки в слоя на изпълнение
Открийте грешки в слоя на изпълнение, за да ви добавим в тази класация
- 3
- 12In place number 12 with 13000 pointsBob Conan13000 точки
- 14
- 20
- 31
- 38
- 45
- 50
- 52
Класация за намиране на грешки в консенсусния слой
Открийте грешки в консенсусния слой, за да ви добавим в тази класация
- 5In place number 5 with 10000 pointsscio10000 точки
- 15In place number 15 with 1750 pointsAkincibor1750 точки
Често задавани въпроси
Въпроси?
Пишете ни: bounty@ethereum.org(opens in a new tab)