Ir al contenido principal

Ya puede enviar informes

Programa de recompensa de errores

Encuentre un protocolo, cliente y errores de Solidity que afecten a la red Ethereum y gane hasta 250.000 USD, además de un lugar en el tablero de clasificación.

Enviar un error(opens in a new tab)Leer las normas
Ver tablas de clasificación completas

Clientes destacados en las recompensas

En el ámbito

Nuestro programa de recompensas por errores abarca de principio a fin: desde la solidez de los protocolos (como el modelo de consenso de cadena de bloques, los protocolos alámbricos y p2p, la prueba de participación, etc.) y el cumplimiento del protocolo/implementación hasta la seguridad de la red y la integridad del consenso. La seguridad clásica del cliente, así como la seguridad de las primitivas criptográficas también forman parte del programa. En caso de duda, envíe un correo electrónico a bounty@ethereum.org y pregúntenos.

Errores de especificación

Las especificaciones de Ethereum detallan la justificación del diseño para la capa de ejecución y la capa de consenso.

Especificaciones de la capa de consenso(opens in a new tab)
Especificaciones de la capa de ejecución(opens in a new tab)

Podría ser de ayuda revisar las siguientes anotaciones:

Tipos de errores

  • Errores de seguridad o errores de infracción de la finalidad
  • Denegación de vectores de servicio (DOS)
  • Inconsistencias en supuestos, como situaciones en las que se puede sancionar a validadores honestos.
  • Inconsistencias de cálculos o parámetros

Documentos de especificaciones

Errores del cliente

Los clientes ejecutan la red Ethereum y deben seguir la lógica establecida en la especificación y estar protegidos frente a posibles ataques. Los errores que nos interesan están relacionados con la implementación del protocolo.

Currently execution layer clients (Besu, Erigon, Geth and Nethermind) and consensus layer clients (Lighthouse, Lodestar, Nimbus, Teku and Prysm) are included in the Bug Bounty Program. More clients may be added as they complete audits and become production ready. Currently, c-kzg-4844(opens in a new tab) and go-kzg-4844(opens in a new tab) are also included in the bug bounty program.

Tipos de errores

  • Problemas de incumplimiento de especificaciones
  • Errores inesperados, RCE o vulnerabilidades de negación del servicio (DOS)
  • Cualquier problema que cause divisiones irreparables en el consenso con respecto al resto de la red.

Errores de solidez

Consulte el archivo SECURITY.MD de Solidity para obtener más detalles sobre lo que se incluye en este alcance.

Solidity no ofrece garantías de seguridad con respecto a la compilación de entradas que no son de confianza, ni tampoco otorgamos recompensas por errores del compilador solc en datos generados de manera malintencionada.

Errores del contrato de depósito

Las especificaciones y el código fuente del contrato de depósito de la cadena de baliza son parte del programa de recompensas por errores.

Fuera de ámbito

Solo los objetivos enumerados bajo el alcance del ámbito forman parte del programa de recompensas por errores. Lo que significa que, por ejemplo, nuestra infraestructura, como páginas web, DNS o correos electrónicos no están incluidos en el ámbito de las recompensas. Los errores de contrato ERC20 tampoco están incluidos en el ámbito de la recompensa. No obstante, podemos ayudarle a llegar a las partes afectadas, como autores o intercambios en estos casos. Del mantenimiento de ENS se encarga la fundación ENS y no forma parte del ámbito de recompensas. Las vulnerabilidades requieren que el usuario haya expuesto públicamente una API, como JSON-RPC o la API de baliza, que queda fuera del ámbito del programa de recompensas de errores.

Enviar un error

Por cada error válido que encuentre, obtendrá recompensas. La cantidad de recompensas que se otorguen variará dependiendo del grado de gravedad. La gravedad se calcula según el modelo de calificación de riesgo OWASP basado en el impacto en la red de Ethereum y en la probabilidad. Ver método OWASP(opens in a new tab)

La EF también proporcionará recompensas basadas en:

Calidad de la descripción: se pagan recompensas más altas por informes claros y bien escritos.

Calidad de la reproducción: debe incluirse una prueba de concepto (POC) para poder optar a los premios. Por favor incluya el código de prueba, scripts e instrucciones detalladas. Cuanto más fácil nos resulte reproducir y verificar la vulnerabilidad, mayor será la recompensa.

Calidad de la solución, si se incluye: se pagan recompensas más altas por los envíos con una descripción clara de cómo solucionar el problema.

Hasta 2.000 USD

Baja

Hasta 2.000 USD

Hasta 1.000 puntos


Gravedad

  • Impacto bajo, probabilidad media
  • Impacto medio, probabilidad baja

Ejemplo

El atacante a veces puede poner un nodo en un estado que hace que invalide una de cada cien certificaciones hechas por un validador.
Enviar un error de riesgo bajo(opens in a new tab)
Hasta 10.000 USD

Medio

Hasta 10.000 USD

Hasta 5.000 puntos


Gravedad

  • Impacto alto, probabilidad baja
  • Impacto medio, probabilidad media
  • Impacto bajo, probabilidad alta

Ejemplo

El atacante puede realizar con éxito ataques de eclipse en nodos con identificadores de pares que empiecen con 4 bytes en 0.
Enviar un error de riesgo medio(opens in a new tab)
Hasta 50.000 USD

Alto

Hasta 50.000 USD

Hasta 10.000 puntos


Gravedad

  • Impacto alto, probabilidad media
  • Impacto medio, probabilidad alta

Ejemplo

El atacante puede dividir con éxito grandes partes de la red, y es insignificante para un atacante activar la vulnerabilidad.
Enviar un error de riesgo alto(opens in a new tab)
Hasta 250,000 USD

Crítico

Hasta 250,000 USD

Hasta 25.000 puntos


Gravedad

  • Impacto alto, probabilidad alta

Ejemplo

El atacante puede realizar con éxito la ejecución remota de código en un cliente mayoritario, y es insignificante que un atacante desencadene la vulnerabilidad
Enviar un error de riesgo crítico(opens in a new tab)

Reglas de búsqueda de errores

El programa de recompensas por errores es un programa de recompensas experimental y discrecional para nuestra comunidad activa de Ethereum con el fin de alentar y recompensar a quienes ayudan a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento, y los premios quedan a discreción del panel de recompensas por errores de Ethereum Foundation. Además, no podemos otorgar premios a personas que están en listas de sanciones, o que se encuentran en países en listas de sanciones (por ejemplo, Corea del Norte, Irán, etc.). La legislación local nos obliga a solicitar una prueba de su identidad. Usted es responsable del tributo de todos los impuestos. Todos los premios están sujetos a la ley aplicable. Por último, su prueba no debe infringir ninguna ley ni hacer referencia a ningún dato que no sea suyo y debe realizarse en redes de prueba locales en ejecución.

  • Los problemas sin un POC, que ya haya enviado otro usuario o que los mantenedores de especificaciones y clientes ya conozcan no son elegibles para recompensas.
  • La divulgación pública de una vulnerabilidad la descarta para optar a una recompensa.
  • Empleados y contratistas de Ethereum Foundation o equipos de clientes en el ámbito del programa de recompensas pueden participar en el programa solo en la acumulación de puntos y no recibirán recompensas monetarias.
  • El programa de recompensas de Ethereum tiene en cuenta numerosas variables a la hora de determinar las recompensas. Las definiciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan al criterio exclusivo del panel de recompensas por errores de Ethereum Foundation.

Tabla de recompensa de errores de la capa de ejecución

Encuentre errores en la capa de ejecución para agregarlos a esta tabla de clasificación

Tabla de recompensa de errores de la capa de consenso

Encuentre errores en la capa de consenso para añadirlos a esta tabla de clasificación

Preguntas más frecuentes

¿Tiene alguna pregunta?

Envíenos un correo electrónico: bounty@ethereum.org(opens in a new tab)

¿Le ha resultado útil esta página?