Ajuda a traduir aquesta pàgina

🌏

Estàs veient aquest pàgina en anglès perquè encara no l'hem traduïda. Ajuda'ns a traduir aquest contingut.

No és cap error!🐛

No traduirem aquesta pàgina. De moment l'hem deixada en anglès a propòsit.

Procés d'enviament d'informes actiu

Recompenses d'errors en la capa de consens 🐛
Guanyeu fins a 50.000 dòlars i un lloc a la taula de classificació per trobar errors en la capa de consens del protocol i del client.

Clients destacats en les recompenses

Errors vàlids

Aquest programa de recompenses d'errors està pensat per trobar errors a la capa bàsica de consens de les especificacions de la cadena de balisa i en les implementacions de client de Prysm, Lighthouse i Teku.

📒

Els errors d'especificació de la cadena de balisa

L'especificació de la cadena de balisa detalla el disseny racional i els canvis proposats a la xarxa Ethereum mitjançant una actualització de la cadena de balisa.

Llegir totes les especificacions
Execution Layer Specifications

Tipus d'errors

  • Errors de seguretat o errors d'infracció de la finalitat
  • Vectors de denegació de servei (DOS)
  • Inconsistències en supòsits, per exemple situacions en què els validadors honestos poden ser sancionats
  • Inconsistències de càlculs o paràmetres
💻

Errors de client de capa de consens

Els clients executaran la cadena de balisa un cop les millores hagin estat implementades. Aquests necessitaran seguir la lògica exposada en les especificacions i assegurar-se contra atacs potencials. Els errors que volem trobar tenen a veure amb la implementació del protocol.

Actualment els errors de programa de Lighthouse, Nimbus, Teku i Prysm són aptes per a recompenses completes. Lodestar també és apropiat, però fins que no s'hagin completat més auditories els punts i les recompenses es limiten al 10% (l'abonament màxim és de 5.000 DAI). S'hi podràn afegir més clients a mesura que vagin completant auditories i estiguin llestos per a la producció.

Tipus d'errors

  • Problemes d'incompliment d'especificacions
  • Errors inesperats o vulnerabilitats de denegació de servei (DOS)
  • Qualsevol problema que causi divisions irreparables en el consens pel que fa a la resta de la xarxa

Enllaços útils

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Enllaços útils

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Excepcions

Les millores de la cadena de fragments i la fusió encara estan en desenvolupament actiu i, per tant, no formen part del programa de recompenses.

Enviar un error

Per cada error de programari que trobeu se us recompensarà amb punts. Els punts que guanyeu dependran de la severitat de l'error. Els errors de Lodestar es recompensen actualment amb el 10% dels punts llistats a sota, mentre que algunes auditories adicionals estan en camí de completar-se. La Fundació Ethereum (FE) determina la severitat utilitzant el mètode OWASP. Veure el mètode OWASP

La Fundació Ethereum també concedirà punts basats en:

Qualitat de la descripció: es paguen recompenses més altes per informes clars i ben escrits.

Qualitat de la reproducció: inclou codi de prova, scripts i instruccions detallades. Com més fàcil sigui reproduir i verificar la vulnerabilitat, major serà la recompensa.

Qualitat de la correcció, si s'hi inclou: es paguen recompenses més altes per informes que descriguin amb claredat com solucionar el problema.

Fins a 2000 DAI

Baix

Fins a 2000 DAI

Fins a 1000 punts

Gravetat

  • Impacte baix, probabilitat mitjana
  • Impacte mitjà, probabilitat baixa

Exemple

L'atacant de vegades pot posar un node en un estat que fa que invalidi un de cada cent certificats fets per un validador
Envieu un error de risc baix
Fins a 10.000 DAI

Mitjà

Fins a 10.000 DAI

Fins a 5000 punts

Gravetat

  • Impacte alt, probabilitat baixa
  • Impacte mitjà, probabilitat mitjana
  • Impacte baix, probabilitat alta

Exemple

Un atacant pot dur a terme amb èxit atacs d'eclipsi en nodes amb identificacions paritàries amb 4 bytes zero inicials
Envieu un error de risc mitjà
Fins a 20.000 DAI

Alt

Fins a 20.000 DAI

Fins a 10.000 punts

Gravetat

  • Impacte alt, probabilitat mitjana
  • Impacte mitjà, probabilitat alta

Exemple

Hi ha un error de consens entre dos clients, però és difícil o poc pràctic per a l'atacant activar l'esdeveniment.
Envieu un error de risc alt
Fins a 50.000 DAI

Crític

Fins a 50.000 DAI

Fins a 25.000 punts

Gravetat

  • Impacte alt, probabilitat alta

Exemple

Hi ha un error de consens entre dos clients i és trivial per a un atacant activar l'esdeveniment.
Envieu un error de risc crític

Normes per a la recerca d'errors

El programa de recompenses per errors és un programa de recompenses experimental i discrecional per a la nostra activa comunitat Ethereum, amb el qual encoratjar i recompensar aquells que contribueixen a millorar la plataforma. No és una competició. Heu de saber que podem cancel·lar el programa en qualsevol moment i que els premis queden a la total discreció del panell de recompenses d'errors de la Fundació Ethereum. A més, no podem atorgar premis a persones que figurin en llistes de sancions o que estiguin en països que figurin en llistes de sancions (per exemple, Corea del Nord, Iran, etc.). Sou responsables de tots els impostos. Tots els premis estan subjectes a la llei aplicable. Finalment, la vostra prova no ha d'infringir cap llei ni comprometre cap dada que no sigui vostra.

  • Les incidències que ja hagi enviat un altre usuari o que els clients i qui manté les especificacions ja coneguin no generaran recompenses.
  • La revelació pública d'una vulnerabilitat la fa inelegible per a una recompensa.
  • Els investigadors de la Fundació Ethereum i els empleats dels equips de clients de la capa de consens no poden rebre recompenses.
  • El programa de recompenses d'Ethereum té en compte nombroses variables a l'hora de determinar les recompenses. Les definicions d'elegibilitat, puntuació i tots els termes relacionats amb una recompensa resten a la discreció exclusiva del panell de recompenses per errors de la Fundació Ethereum.

Preguntes freqüents

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Teniu preguntes?

Envieu-nos un correu: bounty@ethereum.org

✉️

Was this page helpful?