Cette page s'affiche en anglais car nous ne l'avons pas encore traduite. Aidez-nous à traduire son contenu.
Cette page n'est pas traduite. Nous laissons volontairement cette page en anglais pour le moment.
Ouvert pour soumissions
Fonctionnalités « clients » donnant droit à des primes
Notre programme de traitement des bogues s'intéresse à tous les domaines : de la solidité des protocoles (comme le modèle de consensus de la blockchain, les relations entre les protocoles p2p, la preuve de travail, la preuve d'enjeu, etc.), comme à la conformité des protocoles/implémentations, ou encore la sécurité du réseau et l'intégrité du consensus. La sécurité classique des clients ainsi que la sécurité des cryptographies primitives font également partie du programme. En cas de doute, envoyez un e-mail à bounty@ethereum.org et demandez-nous.
Les spécifications Ethereum détaillent les raisons de conception de la couche d'exécution et de consensus.
Il peut être utile de vérifier les annotations suivantes :
Les clients font fonctionner le réseau Ethereum, et ils doivent suivre la logique définie dans la spécification et être sécurisés contre les attaques potentielles. Les bugs que nous voulons trouver sont liés à l'implémentation du protocole.
Actuellement, les clients de la couche d'exécution (Besu, Erigon, Geth et Nethermind) et les clients de la couche de consensus (Lighthouse, Lodestar, Nimbus, Teku et Prysm) sont inclus dans le programme Prime aux bogues. De nouveaux clients peuvent être ajoutés au fur et à mesure qu'ils complètent les audits et se préparent à leur lancement.
Consultez le fichier SECURITY.MD de Solidity pour plus de détails sur ce qui est inclus dans cette étendue.
Solidity ne dispose pas de garanties de sécurité concernant la compilation des entrées non fiables – et nous ne délivrons pas de récompenses pour les plantages du compilateur solc sur les données générées de manière malveillante.
Les spécifications et le code source du Contrat de dépôt de la Chaîne Phare font partie du programme de primes aux bogues.
Seules les objectifs listés et énumérés dans le champs d'application font partie du programme de récompenses par prime. Cela signifie que par exemple, notre infrastructure ; comme les pages web, les dns, les e-mails, etc., ne font pas partie du programme de primes. Les bugs en relation avec le contrat ERC20 ne sont généralement pas inclus dans le champ des primes. Cependant dans ce cas, nous pouvons aider les parties concernées, comme les auteurs ou les échanges. ENS est maintenu par la Fondation ENS et ne fait pas partie du programme de primes.
Pour chaque bogue valide que vous trouverez vous gagnerez des récompenses. La quantité de récompenses gagnées varie selon son importance. La gravité est calculée selon le modèle d'évaluation des risques OWASP basé sur l'impact sur le réseau Ethereum et la probabilité. Voir la méthode OWASP
L'EF fournira également des récompenses basées sur :
Qualité de la description: des récompenses plus élevées sont payées pour les soumissions claires et bien écrites.
Qualité de reproductibilité: Une preuve de concept (Proof Of Concept) doit être incluse pour être éligible à des récompenses. Veuillez inclure le code de test, les scripts et les instructions détaillées. Plus il est facile pour nous de reproduire et de vérifier la vulnérabilité, plus la récompense sera élevée.
Qualité de la résolution, si incluse : des récompenses plus importantes sont offertes pour les soumissions décrivant clairement la façon de résoudre le problème.
Jusqu'à 2.000 USD
Jusqu'à 1 000 points
Gravité
Exemple
Jusqu'à 10.000 USD
Jusqu'à 5 000 points
Gravité
Exemple
Jusqu'à 50.000 USD
Jusqu'à 10 000 points
Gravité
Exemple
Jusqu'à 250.000 USD
Jusqu'à 25 000 points
Gravité
Exemple
Le programme de primes aux bogues est expérimental et discrétionnaire, et est destiné à notre communauté Ethereum active afin d'encourager et récompenser ceux qui aident à l'amélioration de la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme n'importe quand, et les primes sont attribuées à la discrétion du comité du programme de primes aux bogues de l'Ethereum Foundation. De plus, nous ne pourrons pas attribuer de primes aux personnes qui sont sur la liste des personnes bannies ou faisant partie de pays étant sur la liste de pays bannis (p. ex. Corée du Nord, Iran, etc.). La législation locale exige de notre part de demander la preuve de votre identité. Vous êtes responsables eu égard aux implications fiscales. Toutes les récompenses sont assujetties aux lois applicables. En conclusion, vos évaluations ne doivent pas violer de lois ou compromettre des données qui ne vous appartiennent pas et doivent être effectuées sur des réseaux de test en fonctionnement local.
Trouvez des bogues sur la couche d'exécution pour être ajouté à ce classement
Trouver des bogues de couche de consensus pour être ajouté à ce classement
Envoyez-nous un courriel : bounty@ethereum.org