Ya puede enviar informes
Programa de recompensa de errores
Encuentre un protocolo, cliente y errores de Solidity que afecten a la red Ethereum y gane hasta 250.000 USD, además de un lugar en el tablero de clasificación.
Clientes destacados en las recompensas
En el ámbito
Nuestro Programa Bug Bounty es muy amplio: desde la solidez de los protocolos (como el modelo de consenso de la cadena de bloques, los protocolos de cable y p2p, prueba de participación, etc.) y el cumplimiento de los protocolos/implementaciones hasta la seguridad de la red y la integridad del consenso. La seguridad clásica del cliente, así como la seguridad de los primitivos criptográficos, también forman parte del programa. En caso de duda, envíe un correo electrónico a bounty@ethereum.org y pregúntenos. También puede enviar una divulgación/vulnerabilidad directamente a bounty@ethereum.org(opens in a new tab), en cuyo caso le solicitamos que encripte el mensaje utilizando nuestra Clave PGP(opens in a new tab).
Errores de especificación
Las especificaciones de Ethereum detallan la justificación del diseño para la capa de ejecución y la capa de consenso.
Especificaciones de la capa de ejecución(opens in a new tab)
Podría ser de ayuda revisar las siguientes anotaciones:
Tipos de errores
- Errores de seguridad o errores de infracción de la finalidad
- Denegación de vectores de servicio (DOS)
- Inconsistencias en supuestos, como situaciones en las que se puede sancionar a validadores honestos.
- Inconsistencias de cálculos o parámetros
Errores del cliente
Los clientes ejecutan la red Ethereum y deben seguir la lógica establecida en la especificación y estar protegidos frente a posibles ataques. Los errores que nos interesan están relacionados con la implementación del protocolo.
Actualmente, los clientes de la capa de ejecución (Besu, Erigon, Geth, Nethermind y Reth) y los clientes de la capa de consenso (Lighthouse, Lodestar, Nimbus, Teku y Prysm) están incluidos en el Programa Bug Bounty. Es posible que se añadan más clientes a medida que completen las auditorías y estén listos para producción.
Tipos de errores
- Problemas de incumplimiento de especificaciones
- Errores inesperados, RCE o vulnerabilidades de negación del servicio (DOS)
- Cualquier problema que cause divisiones irreparables en el consenso con respecto al resto de la red.
Errores de solidez
Consulte el archivo SECURITY.MD de Solidity para obtener más detalles sobre lo que se incluye en este alcance.
Solidity no ofrece garantías de seguridad con respecto a la compilación de entradas que no son de confianza, ni tampoco otorgamos recompensas por errores del compilador solc en datos generados de manera malintencionada.
Enlaces útiles
Errores del contrato de depósito
Las especificaciones y el código fuente del contrato de depósito de la cadena de baliza son parte del programa de recompensas por errores.
Errores de dependencia
Ciertas dependencias son indispensables para el funcionamiento de la Red de Ethereum. Algunas de ellas han sido agregadas al Programa Bug Bounty. Actualmente, la lista de dependencias incluidas en el Programa Bug Bounty son C-KZG-4844 y Go-KZG-4844.
Fuera de ámbito
Solo los objetivos enumerados bajo el alcance del ámbito forman parte del programa de recompensas por errores. Lo que significa que, por ejemplo, nuestra infraestructura, como páginas web, DNS o correos electrónicos no están incluidos en el ámbito de las recompensas. Los errores de contrato ERC20 tampoco están incluidos en el ámbito de la recompensa. No obstante, podemos ayudarle a llegar a las partes afectadas, como autores o intercambios en estos casos. Del mantenimiento de ENS se encarga la fundación ENS y no forma parte del ámbito de recompensas. Las vulnerabilidades requieren que el usuario haya expuesto públicamente una API, como JSON-RPC o la API de baliza, que queda fuera del ámbito del programa de recompensas de errores.
Enviar un error
Por cada error válido que encuentre, obtendrá recompensas. La cantidad de recompensas que se otorguen variará dependiendo del grado de gravedad. La gravedad se calcula según el modelo de calificación de riesgo OWASP basado en el impacto en la red de Ethereum y en la probabilidad. Ver método OWASP(opens in a new tab)
La EF también proporcionará recompensas basadas en:
Calidad de la descripción: se pagan recompensas más altas por informes claros y bien escritos.
Calidad de la reproducción: debe incluirse una prueba de concepto (POC) para poder optar a los premios. Por favor incluya el código de prueba, scripts e instrucciones detalladas. Cuanto más fácil nos resulte reproducir y verificar la vulnerabilidad, mayor será la recompensa.
Calidad de la solución, si se incluye: se pagan recompensas más altas por los envíos con una descripción clara de cómo solucionar el problema.
Baja
Hasta 2.000 USD
Hasta 1.000 puntos
Gravedad
- Impacto bajo, probabilidad media
- Impacto medio, probabilidad baja
Ejemplo
Medio
Hasta 10.000 USD
Hasta 5.000 puntos
Gravedad
- Impacto alto, probabilidad baja
- Impacto medio, probabilidad media
- Impacto bajo, probabilidad alta
Ejemplo
Alto
Hasta 50.000 USD
Hasta 10.000 puntos
Gravedad
- Impacto alto, probabilidad media
- Impacto medio, probabilidad alta
Ejemplo
Crítico
Hasta 250,000 USD
Hasta 25.000 puntos
Gravedad
- Impacto alto, probabilidad alta
Ejemplo
Reglas de búsqueda de errores
El programa de recompensas por errores es un programa de recompensas experimental y discrecional para nuestra comunidad activa de Ethereum con el fin de alentar y recompensar a quienes ayudan a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento, y los premios quedan a discreción del panel de recompensas por errores de Ethereum Foundation. Además, no podemos otorgar premios a personas que están en listas de sanciones, o que se encuentran en países en listas de sanciones (por ejemplo, Corea del Norte, Irán, etc.). La legislación local nos obliga a solicitar una prueba de su identidad. Usted es responsable del tributo de todos los impuestos. Todos los premios están sujetos a la ley aplicable. Por último, su prueba no debe infringir ninguna ley ni hacer referencia a ningún dato que no sea suyo y debe realizarse en redes de prueba locales en ejecución.
- Los problemas sin un POC, que ya haya enviado otro usuario o que los mantenedores de especificaciones y clientes ya conozcan no son elegibles para recompensas.
- La divulgación pública de una vulnerabilidad o informar sobre ella a otras partes sin un acuerdo previo la hace inelegible para una recompensa.
- Empleados y contratistas de Ethereum Foundation o equipos de clientes en el ámbito del programa de recompensas pueden participar en el programa solo en la acumulación de puntos y no recibirán recompensas monetarias.
- El programa de recompensas de Ethereum tiene en cuenta numerosas variables a la hora de determinar las recompensas. Las definiciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan al criterio exclusivo del panel de recompensas por errores de Ethereum Foundation.
Tabla de recompensa de errores de la capa de ejecución
Encuentre errores en la capa de ejecución para agregarlos a esta tabla de clasificación
- 4In place number 4 with 31000 pointsnrv (@nervoir)31000 puntos
- 12In place number 12 with 13000 pointsBob Conan13000 puntos
- 14In place number 14 with 12500 pointsRalph Pichler12500 puntos
- 16
- 19
- 20
- 32
- 39
- 46
- 51
- 53In place number 53 with 500 pointsjazzybedi500 puntos
Tabla de recompensa de errores de la capa de consenso
Encuentre errores en la capa de consenso para añadirlos a esta tabla de clasificación
- 5In place number 5 with 10000 pointsscio10000 puntos
- 16In place number 16 with 1750 pointsAkincibor1750 puntos
Preguntas más frecuentes
¿Tiene alguna pregunta?
Envíenos un correo electrónico: bounty@ethereum.org(opens in a new tab)