Ya puede enviar informes

Programa de recompensa de errores

Encuentre errores en protocolos, clientes y compiladores de lenguaje que afecten a la red de Ethereum y gane hasta 250.000 USD junto a una posición en el panel de clasificación.

Enviar un error Leer las normas

1
hGa (opens in a new tab)
In place number 1 with 67000 pointsMartin Holst Swende (See Github Profile) (opens in a new tab)
67000 puntos
2
rGa (opens in a new tab)
In place number 2 with 60000 pointsRevofusion (See Github Profile) (opens in a new tab)
60000 puntos
3
gGa (opens in a new tab)
In place number 3 with 53100 pointsGuido Vranken (See Github Profile) (opens in a new tab)
53100 puntos
4
pGa (opens in a new tab)
In place number 4 with 42400 pointsprotolambda (See Github Profile) (opens in a new tab)
42400 puntos
5
sGa (opens in a new tab)
In place number 5 with 35000 pointsSam Sun (See Github Profile) (opens in a new tab)
35000 puntos

Ver tablas de clasificación completas

Clientes destacados en las recompensas

En el ámbito

page-upgrades-bug-bounty-validity-desc

Errores de especificación

Las especificaciones de Ethereum detallan la justificación del diseño para la capa de ejecución y la capa de consenso.

Especificaciones de la capa de consenso
Especificaciones de la capa de ejecución

Podría ser de ayuda revisar las siguientes anotaciones:

Tipos de errores

Errores de seguridad o errores de infracción de la finalidad
Denegación de vectores de servicio (DOS)
Inconsistencias en supuestos, como situaciones en las que se puede sancionar a validadores honestos.
Inconsistencias de cálculos o parámetros

Documentos de especificaciones

Cadena de baliza

Opción de bifurcación

Contrato de depósito de Solidity

Redes entre pares

Errores del cliente

Los clientes ejecutan la red Ethereum y deben seguir la lógica establecida en la especificación y estar protegidos frente a posibles ataques. Los errores que nos interesan están relacionados con la implementación del protocolo.

Actualmente, los clientes de la capa de ejecución (Besu, Erigon, Geth, Nethermind y Reth) y los clientes de la capa de consenso (Lighthouse, Lodestar, Nimbus, Teku y Prysm) están incluidos en el Programa Bug Bounty. Es posible que se añadan más clientes a medida que completen las auditorías y estén listos para producción.

Tipos de errores

Problemas de incumplimiento de especificaciones
Errores inesperados, RCE o vulnerabilidades de negación del servicio (DOS)
Cualquier problema que cause divisiones irreparables en el consenso con respecto al resto de la red.

Enlaces útiles

Errores del compilador de lenguaje

Los compiladores Solidity y Vyper están dentro del alcance del programa de recompensas por errores. Incluya todos los detalles necesarios para reproducir la vulnerabilidad, como: programa de entrada que desencadena el error, versión del compilador afectada, versión de EVM de destino, marco/IDE si corresponde, entorno de ejecución/cliente de EVM si corresponde y sistema operativo. Incluya los pasos para reproducir el error que encontró con el mayor detalle posible.

Solidity y Vyper no ofrece garantías de seguridad con respecto a la compilación de entradas no fiables, como tampoco ofrecemos recompensas por fallos del compilador en datos generados maliciosamente.

Enlaces útiles

Solidity

Vyper

Errores del contrato de depósito

Las especificaciones y el código fuente del contrato de depósito de la cadena de baliza son parte del programa de recompensas por errores.

Enlaces útiles

Especificaciones del contrato de depósito.
Código fuente del contrato de depósito.

Errores de dependencia

Ciertas dependencias son indispensables para el funcionamiento de la Red de Ethereum. Algunas de ellas han sido agregadas al Programa Bug Bounty. Actualmente, la lista de dependencias incluidas en el Programa Bug Bounty son C-KZG-4844 y Go-KZG-4844.

Enlaces útiles

C-KZG-4844
Go-KZG-4844

Fuera de ámbito

Solo los objetivos indicados como dentro del alcance forman parte del Programa de Recompensa por Errores. Las vulnerabilidades que NO califican bajo el programa incluyen:

✕Errores de infraestructura—como páginas web, DNS, correo electrónico, etc.^*
✕Errores en contratos ERC-20^*
✕Errores de Ethereum Naming Service (ENS) (mantenido por la fundación ENS)
✕Vulnerabilidades que requieran que el usuario haya expuesto públicamente una API, como JSON-RPC o la Beacon API
✕Errores tipográficos
✕Pruebas
✕Ataques DoS de un solo par (que requieren mucho esfuerzo sostenido, con uso intensivo de CPU o ancho de banda, y/o más de un paquete o transacción onchain)
✕Cualquier problema públicamente conocido (incluye publicaciones en foros, PRs, issues en github, commits, publicaciones de blog, mensajes públicos en Discord, etc.)
✕Anything that does not currently have a direct impact on Ethereum mainnet.

^*Normalmente no se incluyen, pero podemos ayudar a contactar a las partes afectadas, como autores o exchanges, en tales casos

Reglas de búsqueda de errores

El programa de recompensas por errores es un programa de recompensas experimental y discrecional para nuestra comunidad activa de Ethereum con el fin de alentar y recompensar a quienes ayudan a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento, y que los premios quedan a discreción del panel de recompensas por errores de Ethereum Foundation. Además, no podemos otorgar premios a personas que estén en listas de sanciones o que se encuentren en países en listas de sanciones (p. ej., Corea del Norte, Irán, etc.). La legislación local nos obliga a solicitar una prueba de su identidad. Usted es responsable de todos los impuestos. Todos los premios están sujetos a la legislación aplicable. Por último, sus pruebas no deben infringir ninguna ley ni comprometer ningún dato que no sea suyo, y deben realizarse en redes de prueba locales.

1Los problemas sin un POC, que ya haya enviado otro usuario o que los mantenedores de especificaciones y clientes ya conozcan no son elegibles para recompensas.
2La divulgación pública de una vulnerabilidad o informar sobre ella a otras partes sin un acuerdo previo la hace inelegible para una recompensa.
3Empleados y contratistas de Ethereum Foundation o equipos de clientes en el ámbito del programa de recompensas pueden participar en el programa solo en la acumulación de puntos y no recibirán recompensas monetarias.
4El programa de recompensas de Ethereum tiene en cuenta numerosas variables a la hora de determinar las recompensas. Las definiciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan al criterio exclusivo del panel de recompensas por errores de Ethereum Foundation.

Criterios para evaluar la gravedad de la vulnerabilidad

La gravedad se evalúa en función de la capacidad de la vulnerabilidad descubierta para realizar lo siguiente:

Gravedad baja

Slash al >0,01 % de los validadores
Causar trivialmente divisiones en la red que afecten al >0,01 % de la red
Ser capaz de derribar al >0,01 % de la red enviando un solo paquete de red o una transacción onchain

Gravedad media

Slash al >1 % de los validadores
Causar trivialmente divisiones en la red que afecten al >5 % de la red
Ser capaz de derribar al >5 % de la red enviando un solo paquete de red o una transacción onchain

Gravedad alta

Slash al >33 % de los validadores
Causar trivialmente divisiones en la red que afecten al >33 % de la red
Ser capaz de derribar al >33 % de la red enviando un solo paquete de red o una transacción onchain

Gravedad crítica

Slash al >50 % de los validadores
Explotar un EIP/especificación o un bug en el cliente para crear fácilmente una cantidad infinita de ETH que la red considera como finalizada
Robar ETH de todas las EOAs
Destruir ETH de todas las EOAs
Derribar toda la red enviando una única transacción onchain maliciosa que provoque la caída de todos los clientes