Ayúdenos a traducir esta página.

🌏

Está viendo esta página en inglés porque aún no la hemos traducido. Ayúdenos a traducir este contenido.

¡Aquí no hay ningún error!🐛

Esta página no se está traduciendo. Por ahora hemos dejado esta página en inglés.

Abierto para envíos

Recompensas de errores en la capa de consensos 🐛
Gane hasta $50.000 USD y un lugar en la tabla de clasificación por encontrar fallas en protocolos de capas de consenso y errores del cliente.

Clientes destacados en las recompensas

Errores válidos

Este programa de recompensa de errores se centra en encontrar errores en la especificación de la cadena de baliza de la capa de consenso principal y en las implementaciones de cliente de Lighthouse, Nimbus, Teku, Prysm y Lodestar.

📒

Especificación de errores de la cadena de baliza

La especificación de la cadena de baliza detalla los razonamientos de diseño y los cambios propuestos para Ethereum a través de la actualización de la cadena de baliza.

Lea la especificación completa
Execution Layer Specifications

Podría ser de ayuda revisar las siguientes anotaciones:

Tipos de errores

  • Errores de seguridad o errores de infracción de la finalidad
  • Denegación de vectores de servicio (DOS)
  • Inconsistencias en supuestos, como situaciones en las que se puede sancionar a validadores honestos.
  • Inconsistencias de cálculos o parámetros
💻

Errores en la capa de consenso del cliente

Los clientes ejecutarán la cadena de baliza una vez que se haya implementado la actualización. Ellos mismos necesitarán seguir la lógica establecida en la especificación y protegerse contra ataques potenciales. Los errores que queremos encontrar están relacionados con la implementación del protocolo.

Actualmente los errores en Lighthouse, Nimbus, Teku y Prysm se pueden comunicar con opción a recompensas completas. Lodestar también puede comunicarse, pero hasta que se hayan completado más auditorías, los puntos y las recompensas se limitan al 10 % (pago máximo es de 5.000 DAI). Se podrán añadir más clientes a medida que se vayan realizando auditorías y estén preparados para la producción.

Tipos de errores

  • Problemas de incumplimiento de especificaciones
  • Errores inesperados o vulnerabilidades en la negación del servicio (DOS)
  • Cualquier problema que cause divisiones irreparables en el consenso con respecto al resto de la red.

Enlaces útiles

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Enlaces útiles

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

No incluido

La fusión y las actualizaciones de la cadena de fragmentación aún se encuentran en desarrollo activo, por lo tanto, todavía no se incluyen como parte de este programa de recompensas.

Enviar un error

Por cada error que encuentre, obtendrá puntos de recompensa. Los errores de Lodestar están recibiendo actualmente el 10 % de los puntos enumerados a continuación, ya que se están realizando evaluaciones adicionales. Ethereum Foundation (EF) determina la gravedad mediante el método OWASP. Ver método OWASP

La Fundación Ethereum también concederá puntos basados en:

Calidad de la descripción: se pagan recompensas más altas por informes claros y bien escritos.

Calidad de la reproducción: incluya un código de prueba, scripts e instrucciones detalladas. Cuanto más fácil sea reproducir y verificar la vulnerabilidad, mayor será la recompensa.

Calidad de la solución, si se incluye: se pagan recompensas más altas por los envíos con una descripción clara de cómo solucionar el problema.

Hasta 2.000 DAI

Baja

Hasta 2.000 DAI

Hasta 1.000 puntos

Gravedad

  • Impacto bajo, probabilidad media
  • Impacto medio, probabilidad baja

Ejemplo

El atacante a veces puede poner un nodo en un estado que hace que invalide una de cada cien certificaciones hechas por un validador.
Enviar un error de riesgo bajo
Hasta 10.000 DAI

Medio

Hasta 10.000 DAI

Hasta 5.000 puntos

Gravedad

  • Impacto alto, probabilidad baja
  • Impacto medio, probabilidad media
  • Impacto bajo, probabilidad alta

Ejemplo

El atacante puede realizar con éxito ataques de eclipse en nodos con identificadores de pares que empiecen con 4 bytes en 0.
Enviar un error de riesgo medio
Hasta 20.000 DAI

Alto

Hasta 20.000 DAI

Hasta 10.000 puntos

Gravedad

  • Impacto alto, probabilidad media
  • Impacto medio, probabilidad alta

Ejemplo

Hay un error de consenso entre dos clientes, pero es difícil o poco práctico para el atacante desencadenar el evento.
Enviar un error de riesgo alto
Hasta 50.000 DAI

Crítico

Hasta 50.000 DAI

Hasta 25.000 puntos

Gravedad

  • Impacto alto, probabilidad alta

Ejemplo

Hay un error de consenso entre dos clientes, y es trivial para un atacante desencadenar el evento.
Enviar un error de riesgo crítico

Reglas de búsqueda de errores

El programa de recompensas por errores es un programa de recompensas experimental y facultativo para nuestra activa comunidad Ethereum, con el que alentar y recompensar a aquellos que contribuyen a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento y que los premios son criterio exclusivo del panel de recompensas por errores de Ethereum Foundation. Además, no podemos otorgar premios a personas que figuren en listas de sanciones, o que estén en países que figuren en listas de sanciones (por ejemplo, Corea del Norte, Irán, etc.). Usted es responsable de abonar sus impuestos. Los premios están sujetos a la ley fiscal aplicable. Por último, su prueba no debe infringir ninguna ley, ni comprometer ningún dato que no sea suyo.

  • Las incidencias que ya haya enviado otro usuario o que ya sean conocidas para los que mantienen las especificaciones y los clientes no generarán recompensas.
  • La divulgación pública de una vulnerabilidad la descarta para optar a una recompensa.
  • Los investigadores y empleados de los equipos de clientes de la capa de consenso de Ethereum Foundation no son elegibles para recibir recompensas.
  • El programa de recompensas de Ethereum tiene en cuenta numerosas variables a la hora de determinar las recompensas. Las definiciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan al criterio exclusivo del panel de recompensas por errores de Ethereum Foundation.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Preguntas más frecuentes

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

¿Tiene alguna pregunta?

Envíenos un correo electrónico: bounty@ethereum.org

✉️

¿Le ha resultado útil esta página?