Ouvert pour soumissions
Fonctionnalités « clients » donnant droit à des primes









Bogues valides
Ce programme de primes de bogue est axé sur la recherche de bogue dans la spécification de la chaîne phare de la couche de consensus et les implémentations des clients LightHouse, Nimbus, Teku et Prysm.
Les bogues de spécification de la chaîne phare
La spécification de la chaîne phare détaille sa conception et propose des modifications à Ethereum via la mise à niveau de la chaîne phare.
Execution Layer Specifications
Il peut être utile de vérifier les annotations suivantes :
Types de bogues
- Bogues de sécurité/détournant la finalité
- Vecteurs de déni de service (DOS)
- Les incohérences dans Les hypothèses, comme Les situations où des validateurs honnêtes peuvent être coupés
- Incohérences de calcul ou de paramètre
Documents de spécification
Bogues du client de la couche de consensus
Les clients se connecteront à la chaîne phare une fois la mise à niveau déployée. Les clients devront suivre la logique décrite dans la spécification et être sécurisés contre les attaques potentielles. Les bogues que nous voulons trouver sont liés à l'implémentation du protocole.
Les bogues actuels pour Lighthouse, Nimbus, Teku, et Prysm sont éligibles à toutes les primes en récompenses. Lodestar est également éligible, mais jusqu'à ce que d'autres audits aient été réalisés, les points et récompenses sont limités à 10 % (le paiement maximal est de 5 000 DAI). De nouveaux clients pourront être ajoutés au fur et à mesure s'ils complètent les audits et sont prets pour la production.
Types de bogues
- Spécification de problèmes de non conformité
- Des incidents inattendus ou des failles de déni de service (DOS)
- Tout problème causant un consensus irréparable se sépare du reste du réseau
Solidity bugs
See the Solidity SECURITY.MD for more details about what is included in this scope.
Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.
Liens utiles
SECURITY.mdDeposit Contract bugs
The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
Non inclus
Les mises à jour de la fusion et de la chaîne de fragments sont toujours en cours de développement et ne sont donc pas encore incluses dans ce programme de primes.
Soumettre un bogue
Pour chaque bogue que vous touverez vous serez récompensés par des points. Les points que vous gagnez dépendent de la gravité du bogue. Les bogues Lodestar sont actuellement récompensés par 10 % des points énumérés ci-dessous, car des audits supplémentaires sont en cours d'être achevés. L'Ethereum Foundation (EF) détermine la gravité en utilisant la méthode OWASP. Voir la méthode OWASP
L'Ethereum Foundation (EF) attribuera également des points sur la base de :
Qualité de la description: des récompenses plus élevées sont payées pour les soumissions claires et bien écrites.
Qualité de reproductibilité: veuillez inclure le code de test, les scripts et les instructions détaillées. Plus il est facile pour nous de reproduire et de vérifier la vulnérabilité, plus la récompense est élevée.
Qualité de la résolution, si incluse : des récompenses plus importantes sont offertes pour les soumissions décrivant clairement la façon de résoudre le problème.
Faible
Jusqu'à 2 000 DAI
Jusqu'à 1 000 points
Gravité
- Faible impact, probabilité moyenne
- Impact modéré, probabilité faible
Exemple
Modéré
Jusqu'à 10 000 DAI
Jusqu'à 5 000 points
Gravité
- Impact élevé, probabilité faible
- Impact moyen, probabilité moyenne
- Impact faible, probabilité élevée
Exemple
Élevé
Jusqu'à 20 000 DAI
Jusqu'à 10 000 points
Gravité
- Impact élevé, probabilité moyenne
- Impact moyen, probabilité élevée
Exemple
Critique
Jusqu'à 50 000 DAI
Jusqu'à 25 000 points
Gravité
- Impact élevé, probabilité élevée
Exemple
Règles pour la chasse aux bogues
Le programme de primes des bogues est expérimental et discrétionnaire, et est destiné à notre communauté active afin d'encourager et récompenser ceux qui aident à l'amélioration de la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme n'importe quand, et les primes sont attribuées à la discrétion du comité du programme de primes des bogues de l'Ethereum Foundation. De plus, nous ne pourrons pas attribuer de primes aux personnes qui sont sur la liste des personnes bannies ou faisant partie de pays étant sur la liste de pays bannis.(ex Corée du Nord, Iran, etc.). Vous êtes responsables pour les implications fiscales. Toutes les primes sont assujetties aux lois applicables. En conclusion, vos évaluations ne doivent pas violer de lois ou compromettre des données qui ne vous appartiennent pas.
- Les problèmes qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus par les responsables des spécifications et du client ne sont pas éligibles pour des primes de récompenses.
- La divulgation publique d'une vulnérabilité la rend inadmissible à une prime.
- Les chercheurs d'Ethereum Foundation et les employés des équipes clientes de la couche de consensus ne sont pas admissibles à une récompense.
- Le programme de primes d'Ethereum prend en compte plusieurs facteurs pour l'attribution des récompenses. Les conditions pour l'éligibilité, le pointage ainsi que les termes en lien avec l'attribution d'une récompense sont à la seule et entière discrétion du comité du programme de primes de l'Ethereum Foundation.
Execution Layer Bug Bounty leaderboard
Find execution layer bugs to get added to this leaderboard


















































Classement de chasse aux bogues
Trouver des bogues de couche de consensus pour être ajouté à ce classement














Questions fréquemment posées
What should a good vulnerability submission look like?
See a real example of a quality vulnerability submission.
Is the bug bounty program is time limited?
No.
How are bounties paid out?
Rewards are paid out in ETH or DAI.
Can I donate my reward to charity?
Yes!
I reported an issue / vulnerability but have not received a response!
Please allow a few days for someone to respond to your submission.
I want to be anonymous / I do not want my name on the leader board.
You can do this, but it might make you ineligble for rewards.
What are the points in the leaderboard?
Every found vulnerability / issue is assigned a score
Do you have a PGP key?
Yes. Expand for details.
Des questions ?
Envoyez-nous un courriel : bounty@ethereum.org