Ethereum-Bug-Bounty-Programm | ⁦ethereum.org⁩

Im Bug-Bounty-Programm enthaltene Clients

Im Geltungsbereich

Unser Bug-Bounty-Programm erstreckt sich von Anfang bis Ende: von der Solidität der Protokolle (wie dem Blockchain-Konsensmodell, den Wire- und Peer-to-Peer-Protokollen, Proof-of-Stake usw.) und der Protokoll-/Implementierungskonformität bis hin zur Netzwerksicherheit und Konsensintegrität. Klassische Client-Sicherheit sowie die Sicherheit kryptografischer Primitive sind ebenfalls Teil des Programms. Alle Bug-Offenlegungen und Schwachstellenmeldungen müssen über unser Bug-Meldeformular (opens in a new tab) erfolgen.

Spezifikations-Bugs

Die Ethereum-Spezifikationen detaillieren die Entwurfsprinzipien für die Ausführungsschicht und die Konsensschicht.

Spezifikationen der Konsensschicht
Spezifikationen der Ausführungsschicht

Es könnte hilfreich sein, sich die folgenden Anmerkungen anzusehen:

Arten von Bugs

Bugs, die die Sicherheit/Endgültigkeit brechen
Denial-of-Service-Vektoren (DOS)
Inkonsistenzen in Annahmen, wie Situationen, in denen ehrliche Validatoren einem Slashing unterzogen werden können
Berechnungs- oder Parameterinkonsistenzen

Spezifikationsdokumente

Beacon Chain

Fork-Auswahl

Solidity-Einzahlungsvertrag

Peer-to-Peer-Netzwerk

Client-Bugs

Clients betreiben das Ethereum-Netzwerk und müssen der in der Spezifikation festgelegten Logik folgen sowie sicher gegen potenzielle Angriffe sein. Die Bugs, die wir finden möchten, beziehen sich auf die Implementierung des Protokolls.

Derzeit sind Clients der Ausführungsschicht (Besu, Erigon, Geth, Nethermind und Reth) und Clients der Konsensschicht (Lighthouse, Lodestar, Nimbus, Teku und Prysm) im Bug-Bounty-Programm enthalten.

Arten von Bugs

Probleme bei der Einhaltung der Spezifikation
Unerwartete Abstürze, RCE- oder Denial-of-Service-Schwachstellen (DOS)
Jegliche Probleme, die irreparable Konsens-Splits vom Rest des Netzwerks verursachen

Hilfreiche Links

Sprach-Compiler-Bugs

Die Compiler für Solidity und Vyper fallen in den Geltungsbereich des Bug-Bounty-Programms. Bitte fügen Sie alle Details bei, die zur Reproduktion der Schwachstelle erforderlich sind, wie z. B.: Eingabeprogramm, das den Bug auslöst, betroffene Compiler-Version, Ziel-EVM-Version, Framework/IDE (falls zutreffend), EVM-Ausführungsumgebung/Client (falls zutreffend) und Betriebssystem. Bitte geben Sie die Schritte zur Reproduktion des gefundenen Bugs so detailliert wie möglich an.

Solidity und Vyper bieten keine Sicherheitsgarantien bezüglich der Kompilierung nicht vertrauenswürdiger Eingaben – und wir vergeben keine Belohnungen für Abstürze des Compilers bei böswillig generierten Daten.

Hilfreiche Links

Solidity

Vyper

Einzahlungsvertrag-Bugs

Die Spezifikationen und der Quellcode des Beacon Chain-Einzahlungsvertrags sind Teil des Bug-Bounty-Programms.

Hilfreiche Links

Spezifikationen des Einzahlungsvertrags
Quellcode des Einzahlungsvertrags

Abhängigkeits-Bugs

Bestimmte Abhängigkeiten sind für das Funktionieren des Ethereum-Netzwerks entscheidend, und einige davon wurden in das Bug-Bounty-Programm aufgenommen. Derzeit umfasst die Liste der im Bug-Bounty-Programm enthaltenen Abhängigkeiten C-KZG-4844 und Go-KZG-4844.

Hilfreiche Links

C-KZG-4844
Go-ETH-KZG

Nicht im Geltungsbereich

Nur die unter „Im Geltungsbereich“ aufgeführten Ziele sind Teil des Bug-Bounty-Programms. Schwachstellen, die sich NICHT für das Programm qualifizieren, umfassen:

✕Infrastruktur-Bugs – wie Webseiten, DNS, E-Mail usw.^*
✕ERC-20-Vertrags-Bugs^*
✕Ethereum Naming Service (ENS)-Bugs (gepflegt von der ENS Foundation)
✕Schwachstellen, die erfordern, dass der Benutzer eine API öffentlich zugänglich gemacht hat, wie z. B. JSON-RPC oder die Beacon-API
✕EngineAPI gilt als vertrauenswürdig und ist nicht dafür gedacht, öffentlich zugänglich gemacht zu werden
✕Tippfehler
✕Tests
✕Aufwendige (anhaltende, CPU- oder bandbreitenintensive und/oder mehr als 1 Paket oder Onchain-Transaktion erfordernde) Single-Peer-DoS-Angriffe
✕Alle öffentlich bekannten Probleme (einschließlich Forenbeiträge, PRs, GitHub-Issues, Commits, Blogbeiträge, öffentliche Discord-Nachrichten usw.)
✕Alles, was derzeit keine direkten Auswirkungen auf das Ethereum Mainnet hat.

^*Diese sind nicht inbegriffen, wir können jedoch manchmal dabei helfen, betroffene Parteien zu kontaktieren

Regeln für die Bug-Suche

Das Bug-Bounty-Programm ist ein experimentelles und freiwilliges Belohnungsprogramm für unsere aktive Ethereum-Community, um diejenigen zu ermutigen und zu belohnen, die zur Verbesserung der Plattform beitragen. Es ist kein Wettbewerb. Sie sollten wissen, dass wir das Programm jederzeit abbrechen können und die Vergabe von Belohnungen im alleinigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation liegt. Darüber hinaus können wir keine Belohnungen an Personen vergeben, die auf Sanktionslisten stehen oder sich in Ländern befinden, die auf Sanktionslisten stehen (z. B. Nordkorea, Iran usw.). Lokale Gesetze verlangen von uns, einen Identitätsnachweis anzufordern. Sie sind für alle Steuern verantwortlich. Alle Belohnungen unterliegen dem geltenden Recht. Schließlich dürfen Ihre Tests nicht gegen Gesetze verstoßen oder Daten gefährden, die nicht Ihnen gehören, und müssen auf lokal ausgeführten Testnets stattfinden.

1Probleme ohne einen POC (Proof of Concept) oder solche, die bereits von einem anderen Benutzer eingereicht wurden oder den Spezifikations- und Client-Betreuern bereits bekannt sind, haben keinen Anspruch auf Bug-Bounty-Belohnungen.
2Die öffentliche Offenlegung einer Schwachstelle oder die Meldung an Dritte ohne vorherige Zustimmung führt zum Ausschluss von einer Belohnung.
3Mitarbeiter und Auftragnehmer der Ethereum Foundation, Stipendiaten der Ethereum Foundation oder Client-Teams, die in den Geltungsbereich des Bug-Bounty-Programms fallen, dürfen nur zum Sammeln von Punkten am Programm teilnehmen und erhalten keine finanziellen Belohnungen.
4Das Ethereum-Bug-Bounty-Programm berücksichtigt bei der Festlegung von Belohnungen eine Reihe von Variablen. Die Bestimmung der Berechtigung, der Punktzahl und aller Bedingungen im Zusammenhang mit einer Belohnung liegt im alleinigen und endgültigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation.

Einstufung des Schweregrads von Schwachstellen

Der Schweregrad wird basierend auf der spezifischen Fähigkeit jeder entdeckten Schwachstelle bewertet, Folgendes zu tun:

Niedriger Schweregrad

Slashing von >0,01 % der Validatoren
Triviales Verursachen von Netzwerk-Splits, die >0,01 % des Netzwerks betreffen
In der Lage sein, >0,01 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Onchain-Transaktion lahmzulegen

Mittlerer Schweregrad

Slashing von >1 % der Validatoren
Triviales Verursachen von Netzwerk-Splits, die >5 % des Netzwerks betreffen
In der Lage sein, >5 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Onchain-Transaktion lahmzulegen

Hoher Schweregrad

Slashing von >33 % der Validatoren
Triviales Verursachen von Netzwerk-Splits, die >33 % des Netzwerks betreffen
In der Lage sein, >33 % des Netzwerks durch das Senden einer einzigen Onchain-Transaktion lahmzulegen

Kritischer Schweregrad

Slashing von >50 % der Validatoren
Ausnutzen eines EIPs/Spezifikations- oder Client-Bugs, um auf einfache Weise eine unendliche Menge an ETH zu erstellen, die durch das Netzwerk endgültig gemacht wird
ETH stehlen von allen EOAs
ETH verbrennen von allen EOAs
Das gesamte Netzwerk lahmlegen durch das Senden einer einzigen bösartigen Onchain-Transaktion, die zum Absturz aller Clients führt

Einen Bug melden

Bis zu 2.000 USD

Gering

Bis zu 2.000 USD

Bis zu 1.000 Punkte

Bug mit geringem Risiko melden

Bis zu 10.000 USD

Mittel

Bis zu 10.000 USD

Bis zu 5.000 Punkte

Bug mit mittlerem Risiko melden

Bis zu 50.000 USD

Hoch

Bis zu 50.000 USD

Bis zu 10.000 Punkte

Bug mit hohem Risiko melden

Bis zu 1.000.000 USD

Kritisch

Bis zu 1.000.000 USD

Bis zu 25.000 Punkte

Bug mit kritischem Risiko melden

Häufig gestellte Fragen

Derzeit ist kein Enddatum festgelegt. Siehe den Blog der Ethereum Foundation für die neuesten Nachrichten.

Belohnungen werden in ETH oder DAI ausgezahlt, nachdem die Einreichung validiert wurde, normalerweise ein paar Tage später. Lokale Gesetze verlangen von uns, einen Identitätsnachweis anzufordern. Zusätzlich benötigen wir deine ETH-Adresse.

Wir können deine Belohnung an eine anerkannte wohltätige Organisation deiner Wahl spenden.

Wir bemühen uns, so schnell wie möglich auf Einreichungen zu antworten. Aufgrund der Zunahme von KI-Einreichungen kann es jedoch bis zu einer Woche dauern, bis wir auf deine Einreichung antworten.

Eine anonyme Einreichung oder die Verwendung eines Pseudonyms ist in Ordnung, schließt dich jedoch von ETH/DAI-Belohnungen aus. Um für ETH/DAI-Belohnungen in Frage zu kommen, benötigen wir deinen echten Namen und einen Identitätsnachweis. Diese müssen mit PGP verschlüsselt über unsere sichere Drop-Website an das Rechtsteam der Ethereum Foundation gesendet werden, welches als einziges die Dokumentation überprüft. Wenn du deine Prämie an eine wohltätige Organisation spendest, ist kein Identitätsnachweis erforderlich.

Bitte lass uns wissen, falls du nicht möchtest, dass dein Name/Spitzname auf der Bestenliste angezeigt wird.

Jeder gefundenen Schwachstelle / jedem Problem wird eine Punktzahl zugewiesen. Bug-Bounty-Jäger werden auf unserer Bestenliste nach Gesamtpunktzahl eingestuft.

Bug-Bounty-Programm