Ir al contenido principal

Ayúdenos a traducir esta página.

🌏

Está viendo esta página en inglés porque aún no la hemos traducido. Ayúdenos a traducir este contenido.

Traducir la página

¡Aquí no hay ningún error!🐛

Esta página no se está traduciendo. Por ahora hemos dejado esta página en inglés.

Abierto para envíos

Recompensas de errores en la capa de consensos 🐛
Gane hasta $50.000 USD y un lugar en la tabla de clasificación por encontrar fallas en protocolos de capas de consenso y errores del cliente.
Enviar un errorLeer las normas
Ver tabla de clasificación completa

Clientes destacados en las recompensas

Errores válidos

Este programa de recompensa de errores se centra en encontrar errores en la especificación de la cadena de baliza de la capa de consenso principal y en las implementaciones de cliente de Lighthouse, Nimbus, Teku, Prysm y Lodestar.

📒

Especificación de errores de la cadena de baliza

La especificación de la cadena de baliza detalla los razonamientos de diseño y los cambios propuestos para Ethereum a través de la actualización de la cadena de baliza.

Lea la especificación completa
Execution Layer Specifications

Podría ser de ayuda revisar las siguientes anotaciones:

Tipos de errores

  • Errores de seguridad o errores de infracción de la finalidad
  • Denegación de vectores de servicio (DOS)
  • Inconsistencias en supuestos, como situaciones en las que se puede sancionar a validadores honestos.
  • Inconsistencias de cálculos o parámetros

Documentos de especificaciones

💻

Errores en la capa de consenso del cliente

Los clientes ejecutarán la cadena de baliza una vez que se haya implementado la actualización. Ellos mismos necesitarán seguir la lógica establecida en la especificación y protegerse contra ataques potenciales. Los errores que queremos encontrar están relacionados con la implementación del protocolo.

Actualmente los errores en Lighthouse, Nimbus, Teku y Prysm se pueden comunicar con opción a recompensas completas. Lodestar también puede comunicarse, pero hasta que se hayan completado más auditorías, los puntos y las recompensas se limitan al 10 % (pago máximo es de 5.000 DAI). Se podrán añadir más clientes a medida que se vayan realizando auditorías y estén preparados para la producción.

Tipos de errores

  • Problemas de incumplimiento de especificaciones
  • Errores inesperados o vulnerabilidades en la negación del servicio (DOS)
  • Cualquier problema que cause divisiones irreparables en el consenso con respecto al resto de la red.

Enlaces útiles

📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Enlaces útiles

SECURITY.md
📜

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

No incluido

La fusión y las actualizaciones de la cadena de fragmentación aún se encuentran en desarrollo activo, por lo tanto, todavía no se incluyen como parte de este programa de recompensas.

Enviar un error

Por cada error que encuentre, obtendrá puntos de recompensa. Los errores de Lodestar están recibiendo actualmente el 10 % de los puntos enumerados a continuación, ya que se están realizando evaluaciones adicionales. Ethereum Foundation (EF) determina la gravedad mediante el método OWASP. Ver método OWASP

La Fundación Ethereum también concederá puntos basados en:

Calidad de la descripción: se pagan recompensas más altas por informes claros y bien escritos.

Calidad de la reproducción: incluya un código de prueba, scripts e instrucciones detalladas. Cuanto más fácil sea reproducir y verificar la vulnerabilidad, mayor será la recompensa.

Calidad de la solución, si se incluye: se pagan recompensas más altas por los envíos con una descripción clara de cómo solucionar el problema.

Hasta 2.000 DAI

Baja

Hasta 2.000 DAI

Hasta 1.000 puntos

Gravedad

  • Impacto bajo, probabilidad media
  • Impacto medio, probabilidad baja

Ejemplo

El atacante a veces puede poner un nodo en un estado que hace que invalide una de cada cien certificaciones hechas por un validador.
Enviar un error de riesgo bajo
Hasta 10.000 DAI

Medio

Hasta 10.000 DAI

Hasta 5.000 puntos

Gravedad

  • Impacto alto, probabilidad baja
  • Impacto medio, probabilidad media
  • Impacto bajo, probabilidad alta

Ejemplo

El atacante puede realizar con éxito ataques de eclipse en nodos con identificadores de pares que empiecen con 4 bytes en 0.
Enviar un error de riesgo medio
Hasta 20.000 DAI

Alto

Hasta 20.000 DAI

Hasta 10.000 puntos

Gravedad

  • Impacto alto, probabilidad media
  • Impacto medio, probabilidad alta

Ejemplo

Hay un error de consenso entre dos clientes, pero es difícil o poco práctico para el atacante desencadenar el evento.
Enviar un error de riesgo alto
Hasta 50.000 DAI

Crítico

Hasta 50.000 DAI

Hasta 25.000 puntos

Gravedad

  • Impacto alto, probabilidad alta

Ejemplo

Hay un error de consenso entre dos clientes, y es trivial para un atacante desencadenar el evento.
Enviar un error de riesgo crítico

Reglas de búsqueda de errores

El programa de recompensas por errores es un programa de recompensas experimental y facultativo para nuestra activa comunidad Ethereum, con el que alentar y recompensar a aquellos que contribuyen a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento y que los premios son criterio exclusivo del panel de recompensas por errores de Ethereum Foundation. Además, no podemos otorgar premios a personas que figuren en listas de sanciones, o que estén en países que figuren en listas de sanciones (por ejemplo, Corea del Norte, Irán, etc.). Usted es responsable de abonar sus impuestos. Los premios están sujetos a la ley fiscal aplicable. Por último, su prueba no debe infringir ninguna ley, ni comprometer ningún dato que no sea suyo.

  • Las incidencias que ya haya enviado otro usuario o que ya sean conocidas para los que mantienen las especificaciones y los clientes no generarán recompensas.
  • La divulgación pública de una vulnerabilidad la descarta para optar a una recompensa.
  • Los investigadores y empleados de los equipos de clientes de la capa de consenso de Ethereum Foundation no son elegibles para recibir recompensas.
  • El programa de recompensas de Ethereum tiene en cuenta numerosas variables a la hora de determinar las recompensas. Las definiciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan al criterio exclusivo del panel de recompensas por errores de Ethereum Foundation.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Tabla de clasificación de búsqueda de errores

Encuentre errores en la capa de consenso para añadirlos a esta tabla de clasificación

Preguntas más frecuentes

¿Tiene alguna pregunta?

Envíenos un correo electrónico: bounty@ethereum.org

✉️

¿Le ha resultado útil esta página?