Passer au contenu principal

Aider à traduire cette page

🌏

Cette page s'affiche en anglais car nous ne l'avons pas encore traduite. Aidez-nous à traduire son contenu.

Traduire la page

Aucun bogue ici !🐛

Cette page n'est pas traduite. Nous laissons volontairement cette page en anglais pour le moment.

Ouvert pour soumissions

Primes de bogues sur la couche de consensus 🐛
Gagnez jusqu'à 50 000 USD et une place dans le classement en trouvant des bogues dans le protocole Eth2 et dans le client.
Soumettre un bogueLire le règlement
1
protolambda GitHub avatar
protolambda
42400 points
🏆
2
guidovranken GitHub avatar
Guido Vranken
39350 points
🥈
3
holiman GitHub avatar
Martin Holst Swende
38000 points
🥉
4
samczsun GitHub avatar
Sam Sun
35000 points
5
chainsecurity GitHub avatar
ChainSecurity
21000 points
Voir le classement complet

Fonctionnalités « clients » donnant droit à des primes

Bogues valides

Ce programme de primes de bogue est axé sur la recherche de bogue dans la spécification de la chaîne phare de la couche de consensus et les implémentations des clients LightHouse, Nimbus, Teku et Prysm.

📒

Les bogues de spécification de la chaîne phare

La spécification de la chaîne phare détaille sa conception et propose des modifications à Ethereum via la mise à niveau de la chaîne phare.

Lire toutes les spécifications
Execution Layer Specifications

Il peut être utile de vérifier les annotations suivantes :

Types de bogues

  • Bogues de sécurité/détournant la finalité
  • Vecteurs de déni de service (DOS)
  • Les incohérences dans Les hypothèses, comme Les situations où des validateurs honnêtes peuvent être coupés
  • Incohérences de calcul ou de paramètre

Documents de spécification

Chaîne phare
Choix de fourche
Contrat de dépôt Solidity
Réseau P2P
💻

Bogues du client de la couche de consensus

Les clients se connecteront à la chaîne phare une fois la mise à niveau déployée. Les clients devront suivre la logique décrite dans la spécification et être sécurisés contre les attaques potentielles. Les bogues que nous voulons trouver sont liés à l'implémentation du protocole.

Les bogues actuels pour Lighthouse, Nimbus, Teku, et Prysm sont éligibles à toutes les primes en récompenses. Lodestar est également éligible, mais jusqu'à ce que d'autres audits aient été réalisés, les points et récompenses sont limités à 10 % (le paiement maximal est de 5 000 DAI). De nouveaux clients pourront être ajoutés au fur et à mesure s'ils complètent les audits et sont prets pour la production.

Types de bogues

  • Spécification de problèmes de non conformité
  • Des incidents inattendus ou des failles de déni de service (DOS)
  • Tout problème causant un consensus irréparable se sépare du reste du réseau

Liens utiles

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Liens utiles

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Non inclus

Les mises à jour de la fusion et de la chaîne de fragments sont toujours en cours de développement et ne sont donc pas encore incluses dans ce programme de primes.

Soumettre un bogue

Pour chaque bogue que vous touverez vous serez récompensés par des points. Les points que vous gagnez dépendent de la gravité du bogue. Les bogues Lodestar sont actuellement récompensés par 10 % des points énumérés ci-dessous, car des audits supplémentaires sont en cours d'être achevés. L'Ethereum Foundation (EF) détermine la gravité en utilisant la méthode OWASP. Voir la méthode OWASP

L'Ethereum Foundation (EF) attribuera également des points sur la base de :

Qualité de la description: des récompenses plus élevées sont payées pour les soumissions claires et bien écrites.

Qualité de reproductibilité: veuillez inclure le code de test, les scripts et les instructions détaillées. Plus il est facile pour nous de reproduire et de vérifier la vulnérabilité, plus la récompense est élevée.

Qualité de la résolution, si incluse : des récompenses plus importantes sont offertes pour les soumissions décrivant clairement la façon de résoudre le problème.

Jusqu'à 2 000 DAI

Faible

Jusqu'à 2 000 DAI

Jusqu'à 1 000 points

Gravité

  • Faible impact, probabilité moyenne
  • Impact modéré, probabilité faible

Exemple

Les attaquants peuvent parfois mettre un nœud dans un état qui l'amène à ne pas traiter une attestation sur cent faite par un validateur
Soumettre un bogue à risque faible
Jusqu'à 10 000 DAI

Modéré

Jusqu'à 10 000 DAI

Jusqu'à 5 000 points

Gravité

  • Impact élevé, probabilité faible
  • Impact moyen, probabilité moyenne
  • Impact faible, probabilité élevée

Exemple

L'attaquant peut mener avec succès des attaques éclairs sur des nœuds avec des identifiants de pairs commençant par 4 octets zéros
Soumettre un bogue à risque modéré
Jusqu'à 20 000 DAI

Élevé

Jusqu'à 20 000 DAI

Jusqu'à 10 000 points

Gravité

  • Impact élevé, probabilité moyenne
  • Impact moyen, probabilité élevée

Exemple

Il existe un bogue dans le consensus entre 2 clients, mais c'est difficile ou presque impossible pour un attaquant de le déclencher.
Soumettre un bogue à risque élevé
Jusqu'à 50 000 DAI

Critique

Jusqu'à 50 000 DAI

Jusqu'à 25 000 points

Gravité

  • Impact élevé, probabilité élevée

Exemple

Il existe un bogue de consensus entre deux clients, et il est facile pour un attaquant de déclencher l'événement.
Soumettre un bogue à risque critique

Règles pour la chasse aux bogues

Le programme de primes des bogues est expérimental et discrétionnaire, et est destiné à notre communauté active afin d'encourager et récompenser ceux qui aident à l'amélioration de la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme n'importe quand, et les primes sont attribuées à la discrétion du comité du programme de primes des bogues de l'Ethereum Foundation. De plus, nous ne pourrons pas attribuer de primes aux personnes qui sont sur la liste des personnes bannies ou faisant partie de pays étant sur la liste de pays bannis.(ex Corée du Nord, Iran, etc.). Vous êtes responsables pour les implications fiscales. Toutes les primes sont assujetties aux lois applicables. En conclusion, vos évaluations ne doivent pas violer de lois ou compromettre des données qui ne vous appartiennent pas.

  • Les problèmes qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus par les responsables des spécifications et du client ne sont pas éligibles pour des primes de récompenses.
  • La divulgation publique d'une vulnérabilité la rend inadmissible à une prime.
  • Les chercheurs d'Ethereum Foundation et les employés des équipes clientes de la couche de consensus ne sont pas admissibles à une récompense.
  • Le programme de primes d'Ethereum prend en compte plusieurs facteurs pour l'attribution des récompenses. Les conditions pour l'éligibilité, le pointage ainsi que les termes en lien avec l'attribution d'une récompense sont à la seule et entière discrétion du comité du programme de primes de l'Ethereum Foundation.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

1
holiman GitHub avatar
Martin Holst Swende
35500 points
🏆
2
samczsun GitHub avatar
Sam Sun
35000 points
🥈
3
guidovranken GitHub avatar
Guido Vranken
21750 points
🥉
4
chainsecurity GitHub avatar
ChainSecurity
21000 points
5
junorouse GitHub avatar
Juno Im
20500 points
6
uknowy GitHub avatar
Yoonho Kim (team Hithereum)
20000 points
7
johnyangk GitHub avatar
John Youngseok Yang (Software Platform Lab)
20000 points
8
peckshield GitHub avatar
PeckShield
17000 points
9
itsunixiknowthis GitHub avatar
ItsUnixIKnowThis
15000 points
10
catageek GitHub avatar
Bertrand Masius
15000 points
11
tintinweb GitHub avatar
Tin
12500 points
12
Ralph Pichler
12500 points
13
Bob Conan
12000 points
14
lukaszmatczak GitHub avatar
Łukasz Matczak
11000 points
15
Heilman/Marcus/Goldberg
10000 points
16
jonasnick GitHub avatar
Jonas Nick
10000 points
17
jtoman GitHub avatar
John Toman
10000 points
18
Sebastian Henningsen
8000 points
19
Dominic Brütsch
7500 points
20
HarryR GitHub avatar
Harry Roberts
5000 points
21
p- GitHub avatar
Peter Stöckli
5000 points
22
Dedaub GitHub avatar
Neville Grech
5000 points
23
EthHead GitHub avatar
EthHead
5000 points
24
axic GitHub avatar
Alex Beregszaszi
3500 points
25
SergioDemianLerner GitHub avatar
Sergio Demian Lerner
2500 points
26
danhper GitHub avatar
Daniel Perez
2500 points
27
yaronvel GitHub avatar
Yaron Velner
2000 points
28
whitj00 GitHub avatar
Whit Jackson
2000 points
29
Ming Chuan Lin
2000 points
30
melonport GitHub avatar
Melonport team
2000 points
31
maurelian GitHub avatar
Maurelian
2000 points
32
Cjentzsch GitHub avatar
Christoph Jentzsch
2000 points
33
hwanjo GitHub avatar
Hwanjo Heo
1500 points
34
DVPNET GitHub avatar
DVP (dvpnet.io)
1200 points
35
Vasily Vasiliev
1000 points
36
talko GitHub avatar
talko
1000 points
37
swaldman GitHub avatar
Steve Waldman
1000 points
38
ptk GitHub avatar
Panu Kekäläinen
1000 points
39
montyly GitHub avatar
Josselin Feist
1000 points
40
henrit GitHub avatar
Henrit
1000 points
41
BlameByte GitHub avatar
Marc Bartlett
1000 points
42
Barry Whitehat
1000 points
43
badmofo GitHub avatar
Lucas Ryan
1000 points
44
agroce GitHub avatar
Alex Groce
1000 points
45
n0thingness GitHub avatar
Daniel Briskin
750 points
46
daenamkim GitHub avatar
Daenam Kim
750 points
47
Myeongjae Lee
500 points
48
Marcin Noga (Cisco/Talos Security)
500 points
49
jazzybedi
500 points
50
feeker GitHub avatar
Feeker - 360 ESG Codesafe Team
500 points
51
ethernomad GitHub avatar
Jonathan Brown
500 points
52
davidmurdoch GitHub avatar
David Murdoch
500 points
53
wadeAlexC GitHub avatar
Alexander Wade
500 points
54
gitpusha GitHub avatar
Luis Schliesske
200 points

Questions fréquemment posées

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Des questions ?

Envoyez-nous un courriel : bounty@ethereum.org

✉️

Cette page vous a été utile ?