Passer au contenu principal

Aider à traduire cette page

🌏

Cette page s'affiche en anglais car nous ne l'avons pas encore traduite. Aidez-nous à traduire son contenu.

Traduire la page

Aucun bogue ici !🐛

Cette page n'est pas traduite. Nous laissons volontairement cette page en anglais pour le moment.

Ouvert pour soumissions

Programme de prime aux bogues 🐛
Gagnez jusqu'à 250 000 $ US, ainsi qu'une place sur le classement en identifiant des erreurs de protocole, de client et sur Solidity qui affectent le réseau Ethereum.
Soumettre un bogueLire le règlement
Voir le classement complet

Fonctionnalités « clients » donnant droit à des primes

Dans le champ d'application

Notre programme de traitement des bogues s'intéresse à tous les domaines : de la solidité des protocoles (comme le modèle de consensus de la blockchain, les relations entre les protocoles p2p, la preuve de travail, la preuve d'enjeu, etc.), comme à la conformité des protocoles/implémentations, ou encore la sécurité du réseau et l'intégrité du consensus. La sécurité classique des clients ainsi que la sécurité des cryptographies primitives font également partie du programme. En cas de doute, envoyez un e-mail à bounty@ethereum.org et demandez-nous.

📒

Bugs de spécifications

Les spécifications Ethereum détaillent les raisons de conception de la couche d'exécution et de consensus.

Spécifications de la couche de consensus
Spécifications de la couche d'exécution

Il peut être utile de vérifier les annotations suivantes :

Types de bogues

  • Bogues de sécurité/détournant la finalisation
  • Vecteurs de déni de service (DOS)
  • Les suppositions incohérentes, comme les situations où des validateurs honnêtes peuvent se faire exclure
  • Incohérences de calcul ou de paramètre

Documents de spécification

💻

Bugs clients

Les clients font fonctionner le réseau Ethereum, et ils doivent suivre la logique définie dans la spécification et être sécurisés contre les attaques potentielles. Les bugs que nous voulons trouver sont liés à l'implémentation du protocole.

Actuellement, les clients de la couche d'exécution (Besu, Erigon, Geth et Nethermind) et les clients de la couche de consensus (Lighthouse, Lodestar, Nimbus, Teku et Prysm) sont inclus dans le programme Prime aux bogues. De nouveaux clients peuvent être ajoutés au fur et à mesure qu'ils complètent les audits et se préparent à leur lancement.

Types de bogues

  • Spécification de problèmes de non conformité
  • Des incidents inattendus, RCE ou des failles de déni de service (DOS)
  • Tout problème causant un consensus irréparable se sépare du reste du réseau

Liens utiles

📖

Bugs Solidity

Consultez le fichier SECURITY.MD de Solidity pour plus de détails sur ce qui est inclus dans cette étendue.

Solidity ne dispose pas de garanties de sécurité concernant la compilation des entrées non fiables – et nous ne délivrons pas de récompenses pour les plantages du compilateur solc sur les données générées de manière malveillante.

Liens utiles

SECURITY.md
📜

Bugs du contrat de dépôt

Les spécifications et le code source du Contrat de dépôt de la Chaîne Phare font partie du programme de primes aux bogues.

Hors périmètre

Seules les objectifs listés et énumérés dans le champs d'application font partie du programme de récompenses par prime. Cela signifie que par exemple, notre infrastructure ; comme les pages web, les dns, les e-mails, etc., ne font pas partie du programme de primes. Les bugs en relation avec le contrat ERC20 ne sont généralement pas inclus dans le champ des primes. Cependant dans ce cas, nous pouvons aider les parties concernées, comme les auteurs ou les échanges. ENS est maintenu par la Fondation ENS et ne fait pas partie du programme de primes.

Soumettre un bogue

Pour chaque bogue valide que vous trouverez vous gagnerez des récompenses. La quantité de récompenses gagnées varie selon son importance. La gravité est calculée selon le modèle d'évaluation des risques OWASP basé sur l'impact sur le réseau Ethereum et la probabilité. Voir la méthode OWASP

L'EF fournira également des récompenses basées sur :

Qualité de la description: des récompenses plus élevées sont payées pour les soumissions claires et bien écrites.

Qualité de reproductibilité: Une preuve de concept (Proof Of Concept) doit être incluse pour être éligible à des récompenses. Veuillez inclure le code de test, les scripts et les instructions détaillées. Plus il est facile pour nous de reproduire et de vérifier la vulnérabilité, plus la récompense sera élevée.

Qualité de la résolution, si incluse : des récompenses plus importantes sont offertes pour les soumissions décrivant clairement la façon de résoudre le problème.

Jusqu'à 2.000 USD

Faible

Jusqu'à 2.000 USD

Jusqu'à 1 000 points


Gravité

  • Faible impact, probabilité moyenne
  • Impact modéré, probabilité faible

Exemple

Les attaquants peuvent parfois mettre un nœud dans un état qui l'amène à ne pas traiter une attestation sur cent faite par un validateur
Soumettre un bogue à risque faible
Jusqu'à 10.000 USD

Modéré

Jusqu'à 10.000 USD

Jusqu'à 5 000 points


Gravité

  • Impact élevé, probabilité faible
  • Impact moyen, probabilité moyenne
  • Impact faible, probabilité élevée

Exemple

L'attaquant peut mener avec succès des attaques éclairs sur des nœuds avec des identifiants de pairs commençant par 4 octets zéros
Soumettre un bogue à risque modéré
Jusqu'à 50.000 USD

Élevé

Jusqu'à 50.000 USD

Jusqu'à 10 000 points


Gravité

  • Impact élevé, probabilité moyenne
  • Impact moyen, probabilité élevée

Exemple

L'attaquant peut partitionner avec succès de grandes parties du réseau, et il est trivial pour un attaquant de déclencher la vulnérabilité
Soumettre un bogue à risque élevé
Jusqu'à 250.000 USD

Critique

Jusqu'à 250.000 USD

Jusqu'à 25 000 points


Gravité

  • Impact élevé, probabilité élevée

Exemple

L'attaquant peut exécuter du code à distance pour un client majoritaire, et il est trivial pour un attaquant de déclencher la vulnérabilité
Soumettre un bogue à risque critique

Règles pour la chasse aux bogues

Le programme de primes aux bogues est expérimental et discrétionnaire, et est destiné à notre communauté Ethereum active afin d'encourager et récompenser ceux qui aident à l'amélioration de la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme n'importe quand, et les primes sont attribuées à la discrétion du comité du programme de primes aux bogues de l'Ethereum Foundation. De plus, nous ne pourrons pas attribuer de primes aux personnes qui sont sur la liste des personnes bannies ou faisant partie de pays étant sur la liste de pays bannis (p. ex. Corée du Nord, Iran, etc.). La législation locale exige de notre part de demander la preuve de votre identité. Vous êtes responsables eu égard aux implications fiscales. Toutes les récompenses sont assujetties aux lois applicables. En conclusion, vos évaluations ne doivent pas violer de lois ou compromettre des données qui ne vous appartiennent pas et doivent être effectuées sur des réseaux de test en fonctionnement local.

  • Les problèmes sans preuve de concept ou qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus par les responsables des spécifications et des clients ne sont pas éligibles pour des récompenses.
  • La divulgation publique d'une vulnérabilité la rend inadmissible à une prime.
  • Les employés et les entrepreneurs de la Fondation Ethereum ou des équipes de clients dans le cadre du programme de primes ne peuvent participer au programme que dans le cadre de l’accumulation de points et ne recevront aucune récompense monétaire.
  • Le programme de primes d'Ethereum prend en compte plusieurs facteurs pour l'attribution des récompenses. Les conditions pour l'éligibilité, le pointage ainsi que les termes en lien avec l'attribution d'une récompense sont à la seule et entière discrétion du comité du programme de primes de l'Ethereum Foundation.

Classement des primes aux bogues de la couche d'exécution

Trouvez des bogues sur la couche d'exécution pour être ajouté à ce classement

Classement des Bug Bounty de la couche de consensus

Trouver des bogues de couche de consensus pour être ajouté à ce classement

Questions fréquemment posées

Des questions ?

Envoyez-nous un courriel : bounty@ethereum.org

✉️

Cette page vous a été utile ?