Program Bug Bounty Etherea | ⁦ethereum.org⁩

Klienti zahrnutí do odměn

V rozsahu

Náš program Bug Bounty pokrývá vše od začátku do konce: od spolehlivosti protokolů (jako je model konsensu blockchainu, síťové a p2p protokoly, důkaz podílem (PoS) atd.) a souladu protokolu/implementace až po bezpečnost sítě a integritu konsensu. Součástí programu je také klasická bezpečnost klientů a bezpečnost kryptografických primitiv. Všechna odhalení chyb a hlášení zranitelností musí být provedena prostřednictvím našeho formuláře pro nahlášení chyby (opens in a new tab).

Chyby ve specifikaci

Specifikace Etherea podrobně popisují zdůvodnění návrhu pro exekuční vrstvu a vrstvu konsensu.

Specifikace vrstvy konsensu
Specifikace exekuční vrstvy

Může být užitečné podívat se na následující anotace:

Typy chyb

Chyby narušující bezpečnost/finalitu
Vektory odepření služby (DOS)
Nesrovnalosti v předpokladech, jako jsou situace, kdy mohou být poctiví validátoři penalizováni
Nesrovnalosti ve výpočtech nebo parametrech

Dokumenty specifikace

Beacon chain

Volba forku

Depozitní kontrakt v Solidity

Peer-to-peer sítě

Chyby klientů

Klienti provozují síť Ethereum a musí dodržovat logiku stanovenou ve specifikaci a být zabezpečeni proti potenciálním útokům. Chyby, které chceme najít, se týkají implementace protokolu.

V současné době jsou do programu Bug Bounty zahrnuti klienti exekuční vrstvy (Besu, Erigon, Geth, Nethermind a Reth) a klienti vrstvy konsensu (Lighthouse, Lodestar, Nimbus, Teku a Prysm).

Typy chyb

Problémy s nedodržením specifikace
Neočekávané pády, RCE nebo zranitelnosti typu odepření služby (DOS)
Jakékoli problémy způsobující nenapravitelné rozdělení konsensu od zbytku sítě

Užitečné odkazy

Chyby kompilátoru jazyka

Kompilátory Solidity a Vyper jsou součástí programu Bug Bounty. Uveďte prosím všechny podrobnosti nezbytné k reprodukci zranitelnosti, jako jsou: vstupní program, který chybu spouští, dotčená verze kompilátoru, cílová verze EVM, framework/IDE (pokud je relevantní), exekuční prostředí/klient EVM (pokud je relevantní) a operační systém. Uveďte prosím co nejpodrobnější kroky k reprodukci nalezené chyby.

Solidity a Vyper neposkytují bezpečnostní záruky ohledně kompilace nedůvěryhodného vstupu – a neudělujeme odměny za pády kompilátoru na škodlivě vygenerovaných datech.

Užitečné odkazy

Solidity

Vyper

Chyby depozitního kontraktu

Specifikace a zdrojový kód depozitního kontraktu Beacon chainu jsou součástí programu Bug Bounty.

Užitečné odkazy

Specifikace depozitního kontraktu
Zdrojový kód depozitního kontraktu

Chyby závislostí

Určité závislosti jsou pro fungování sítě Ethereum klíčové a některé z nich byly přidány do programu Bug Bounty. V současné době jsou na seznamu závislostí zahrnutých do programu Bug Bounty C-KZG-4844 a Go-KZG-4844.

Užitečné odkazy

C-KZG-4844
Go-ETH-KZG

Mimo rozsah

Pouze cíle uvedené v rozsahu jsou součástí programu Bug Bounty. Zranitelnosti, které se do programu NEKVALIFIKUJÍ, zahrnují:

✕Chyby v infrastruktuře – jako jsou webové stránky, DNS, e-mail atd.^*
✕Chyby v ERC-20 kontraktech^*
✕Chyby v Ethereum Naming Service (ENS) (spravováno nadací ENS)
✕Zranitelnosti vyžadující, aby uživatel veřejně vystavil API, jako je JSON-RPC nebo Beacon API
✕EngineAPI je považováno za důvěryhodné a není určeno k veřejnému vystavení
✕Typografické chyby
✕Testy
✕Vysoce náročné (dlouhodobé, náročné na CPU nebo šířku pásma a/nebo vyžadující více než 1 paket nebo onchain transakci) DoS útoky na jednoho peera
✕Jakékoli veřejně známé problémy (zahrnuje příspěvky na fórech, PR, problémy na GitHubu, commity, příspěvky na blozích, veřejné zprávy na Discordu atd.)
✕Cokoli, co v současné době nemá přímý dopad na Ethereum Mainnet.

^*Tyto nejsou zahrnuty, nicméně někdy můžeme pomoci kontaktovat dotčené strany

Pravidla pro hledání chyb

Program Bug Bounty je experimentální a dobrovolný program odměn pro naši aktivní komunitu Etherea, který má povzbudit a odměnit ty, kteří pomáhají platformu vylepšovat. Nejedná se o soutěž. Měli byste vědět, že program můžeme kdykoli zrušit a odměny jsou výhradně na uvážení panelu Bug Bounty Nadace Ethereum. Kromě toho nemůžeme udělovat odměny jednotlivcům, kteří jsou na sankčních seznamech nebo kteří se nacházejí v zemích na sankčních seznamech (např. Severní Korea, Írán atd.). Místní zákony vyžadují, abychom vás požádali o prokázání totožnosti. Jste zodpovědní za všechny daně. Všechny odměny podléhají platným zákonům. Vaše testování nakonec nesmí porušovat žádný zákon ani ohrozit žádná data, která nejsou vaše, a musí probíhat na lokálně spuštěných testnetech.

1Problémy bez POC (Proof of Concept), problémy, které již nahlásil jiný uživatel, nebo problémy, které jsou již známé správcům specifikací a klientů, nemají nárok na odměnu.
2Veřejné odhalení zranitelnosti nebo její nahlášení jiným stranám bez předchozí dohody ruší nárok na odměnu.
3Zaměstnanci a dodavatelé Nadace Ethereum, příjemci grantů Nadace Ethereum nebo týmy klientů v rámci programu Bug Bounty se mohou programu zúčastnit pouze za účelem získávání bodů a neobdrží peněžní odměny.
4Program odměn Etherea zohledňuje při určování odměn řadu proměnných. Rozhodnutí o způsobilosti, skóre a všech podmínkách souvisejících s odměnou jsou výhradně a s konečnou platností na uvážení panelu Bug Bounty Nadace Ethereum.

Kvalifikace závažnosti zranitelností

Závažnost se posuzuje na základě jedinečné schopnosti každé objevené zranitelnosti způsobit následující:

Nízká závažnost

Penalizovat >0,01 % validátorů
Triviálně způsobit rozdělení sítě ovlivňující >0,01 % sítě
Být schopen vyřadit z provozu >0,01 % sítě odesláním jediného síťového paketu nebo onchain transakce

Střední závažnost

Penalizovat >1 % validátorů
Triviálně způsobit rozdělení sítě ovlivňující >5 % sítě
Být schopen vyřadit z provozu >5 % sítě odesláním jediného síťového paketu nebo onchain transakce

Vysoká závažnost

Penalizovat >33 % validátorů
Triviálně způsobit rozdělení sítě ovlivňující >33 % sítě
Být schopen vyřadit z provozu >33 % sítě odesláním jediné onchain transakce

Kritická závažnost

Penalizovat >50 % validátorů
Zneužít chybu v EIP/specifikaci nebo klientovi ke snadnému vytvoření nekonečného množství ETH, které je finalizováno sítí
Ukrást ETH ze všech EOA
Spálit ETH ze všech EOA
Vyřadit z provozu celou síť odesláním jediné škodlivé onchain transakce, která způsobí pád všech klientů

Nahlásit chybu

Až 2 000 USD

Nízké

Až 2 000 USD

Až 1 000 bodů

Nahlásit chybu s nízkým rizikem

Až 10 000 USD

Střední

Až 10 000 USD

Až 5 000 bodů

Nahlásit chybu se středním rizikem

Až 50 000 USD

Vysoké

Až 50 000 USD

Až 10 000 bodů

Nahlásit chybu s vysokým rizikem

Až 1 000 000 USD

Kritické

Až 1 000 000 USD

Až 25 000 bodů

Nahlásit chybu s kritickým rizikem

Často kladené dotazy

V současné době není stanoveno žádné datum ukončení. Nejnovější zprávy najdete na blogu Nadace Ethereum.

Odměny jsou vypláceny v ETH nebo DAI po ověření podání, obvykle o několik dní později. Místní zákony vyžadují, abychom vás požádali o doklad vaší totožnosti. Kromě toho budeme potřebovat vaši ETH adresu.

Vaši odměnu můžeme darovat zavedené charitativní organizaci podle vašeho výběru.

Snažíme se na podání odpovídat co nejrychleji. Vzhledem k nárůstu podání generovaných umělou inteligencí nám prosím dejte až týden na odpověď.

Anonymní podání nebo podání pod pseudonymem je v pořádku, ale ztratíte tím nárok na odměny v ETH/DAI. Abyste měli nárok na odměny v ETH/DAI, požadujeme, abyste zaslali své skutečné jméno a doklad totožnosti, zašifrované pomocí PGP na našem zabezpečeném webu, našemu právnímu týmu v Nadaci Ethereum, který je jediným recenzentem této dokumentace. Darování vaší odměny na charitu nevyžaduje vaši totožnost.

Dejte nám prosím vědět, pokud nechcete, aby se vaše jméno/přezdívka zobrazovala v žebříčku.

Každé nalezené zranitelnosti / problému je přiděleno skóre. Lovci odměn (bounty hunters) jsou v našem žebříčku hodnoceni podle celkového počtu bodů.

Program Bug Bounty