Ouvert pour soumissions
Programme de prime aux bogues
Gagnez jusqu'à 250 000 USD et une place sur le tableau des meilleurs en trouvant des bugs de protocole, de client et de compilateur de langage affectant le réseau Ethereum.
Fonctionnalités « clients » donnant droit à des primes
Dans le champ d'application
Notre programme de chasse aux bogues (bug bounty) couvre l'ensemble du processus : de la solidité des protocoles (tels que le modèle de consensus de la blockchain, les protocoles wire et p2p, la preuve d'enjeu, etc.) et de la conformité du protocole/de l'implémentation à la sécurité du réseau et à l'intégrité du consensus. La sécurité classique des clients ainsi que la sécurité des primitives cryptographiques font également partie du programme. En cas de doute, envoyez un email à bounty@ethereum.org et demandez-nous. Vous pouvez également soumettre une divulgation/vulnérabilité directement à bounty@ethereum.org, auquel cas nous vous demandons de crypter le message à l'aide de notre clé PGP
Bugs de spécifications
Les spécifications Ethereum détaillent les raisons de conception de la couche d'exécution et de la couche de consensus.
Spécifications de la couche d'exécution
Il peut être utile de vérifier les annotations suivantes :
Types de bogues
- Bogues de sécurité/détournant la finalisation
- Vecteurs de déni de service (DOS)
- Les suppositions incohérentes, comme les situations où des validateurs honnêtes peuvent se faire exclure
- Incohérences de calcul ou de paramètre
Documents de spécification
Bugs clients
Les clients font fonctionner le réseau Ethereum, et ils doivent suivre la logique définie dans la spécification et être sécurisés contre les attaques potentielles. Les bugs que nous voulons trouver sont liés à l'implémentation du protocole.
Actuellement, les clients de la couche d'exécution (Besu, Erigon, Geth, Nethermind et Reth) et les clients de la couche de consensus (Lighthouse, Lodestar, Nimbus, Teku et Prysm) sont inclus dans le programme de Bug Bounty. D'autres clients pourront être ajoutés au fur et à mesure que les audits seront terminés et qu'ils seront prêts pour la production.
Types de bogues
- Spécification de problèmes de non conformité
- Des incidents inattendus, RCE ou des failles de déni de service (DOS)
- Tout problème causant un consensus irréparable se sépare du reste du réseau
Bugs de compilateur de langage
Les compilateurs Solidity et Vyper sont inclus dans le programme de primes aux bugs. Veuillez fournir tous les détails nécessaires pour reproduire la vulnérabilité, tels que : le programme d'entrée qui déclenche le bug, la version du compilateur concernée, la version de l'EVM cible, le framework/IDE si applicable, l'environnement d'exécution/client de l'EVM si applicable, ainsi que le système d'exploitation. Incluez des étapes aussi détaillées que possible pour reproduire le bug que vous avez trouvé.
Solidity et Viper ne disposent pas de garanties de sécurité concernant la compilation des entrées non fiables – et nous ne délivrons pas de récompenses pour les plantages du compilateur sur les données générées de manière malveillante.
Bugs du contrat de dépôt
Les spécifications et le code source du Contrat de dépôt de la Chaîne Phare font partie du programme de primes aux bogues.
Bugs de dépendance
Certaines dépendances sont cruciales pour le fonctionnement du réseau Ethereum, et certaines d'entre elles ont été ajoutées au programme de bug bounty. Actuellement, la liste des dépendances incluses dans le programme de bug bounty est constituée de C-KZG-4844 et Go-KZG-4844.
Hors périmètre
Seules les cibles listées dans le champ d'application font partie du programme Bug Bounty. Cela signifie que, par exemple, notre infrastructure, telle que les pages web, les DNS, le courrier électronique, etc. ne fait pas partie du champ d'application du programme de primes. Les bugs des contrats ERC20 ne sont généralement pas inclus dans le champ d'application du programme de primes. Cependant, nous pouvons aider à contacter les parties concernées, comme les auteurs ou les échanges dans de tels cas. ENS est maintenu par la fondation ENS, et ne fait pas partie du champ d'application de la prime. Les vulnérabilités nécessitant que l'utilisateur ait publiquement exposé une API, telle que JSON-RPC ou l'API Beacon, ne font pas partie du champ d'application du programme de primes aux bugs.
Soumettre un bogue
Pour chaque bogue valide que vous trouverez vous gagnerez des récompenses. La quantité de récompenses gagnées varie selon son importance. La gravité est calculée selon le modèle d'évaluation des risques OWASP basé sur l'impact sur le réseau Ethereum et la probabilité. Voir la méthode OWASP
L'EF fournira également des récompenses basées sur :
Qualité de la description: des récompenses plus élevées sont payées pour les soumissions claires et bien écrites.
Qualité de reproductibilité: Une preuve de concept (Proof Of Concept) doit être incluse pour être éligible à des récompenses. Veuillez inclure le code de test, les scripts et les instructions détaillées. Plus il est facile pour nous de reproduire et de vérifier la vulnérabilité, plus la récompense sera élevée.
Qualité de la résolution, si incluse : des récompenses plus importantes sont offertes pour les soumissions décrivant clairement la façon de résoudre le problème.
Faible
Jusqu'à 2 000 USD
Jusqu'à 1 000 points
Gravité
- Faible impact, probabilité moyenne
- Impact modéré, probabilité faible
Exemple
Moyen
Jusqu'à 10.000 USD
Jusqu'à 5 000 points
Gravité
- Impact élevé, probabilité faible
- Impact moyen, probabilité moyenne
- Impact faible, probabilité élevée
Exemple
Élevé
Jusqu'à 50.000 USD
Jusqu'à 10 000 points
Gravité
- Impact élevé, probabilité moyenne
- Impact moyen, probabilité élevée
Exemple
Critique
Jusqu'à 250.000 USD
Jusqu'à 25 000 points
Gravité
- Impact élevé, probabilité élevée
Exemple
Règles pour la chasse aux bogues
Le programme de primes aux bogues est expérimental et discrétionnaire, et est destiné à notre communauté Ethereum active afin d'encourager et récompenser ceux qui aident à l'amélioration de la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme n'importe quand, et les primes sont attribuées à la discrétion du comité du programme de primes aux bogues de l'Ethereum Foundation. De plus, nous ne pourrons pas attribuer de primes aux personnes qui sont sur la liste des personnes bannies ou faisant partie de pays étant sur la liste de pays bannis (p. ex. Corée du Nord, Iran, etc.). La législation locale exige de notre part de demander la preuve de votre identité. Vous êtes responsables eu égard aux implications fiscales. Toutes les récompenses sont assujetties aux lois applicables. En conclusion, vos évaluations ne doivent pas violer de lois ou compromettre des données qui ne vous appartiennent pas et doivent être effectuées sur des réseaux de test en fonctionnement local.
- Les problèmes sans preuve de concept ou qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus par les responsables des spécifications et des clients ne sont pas éligibles pour des récompenses.
- La divulgation publique d'une vulnérabilité ou son signalement à des tiers sans accord préalable la rend inéligible aux primes.
- Les employés et les entrepreneurs de la Fondation Ethereum ou des équipes de clients dans le cadre du programme de primes ne peuvent participer au programme que dans le cadre de l’accumulation de points et ne recevront aucune récompense monétaire.
- Le programme de primes d'Ethereum prend en compte plusieurs facteurs pour l'attribution des récompenses. Les conditions pour l'éligibilité, le pointage ainsi que les termes en lien avec l'attribution d'une récompense sont à la seule et ultime discrétion du comité du programme de primes de l'Ethereum Foundation.
Des questions ?
Envoyez-nous un courriel : bounty@ethereum.org