Ouvert pour soumissions
Programme de prime aux bogues
Gagnez jusqu'à 250 000 USD, ainsi qu'une place sur le classement en identifiant des erreurs de protocole, de client et sur Solidity qui affectent le réseau Ethereum.
Fonctionnalités « clients » donnant droit à des primes
Dans le champ d'application
Notre programme de traitement des bogues s'intéresse à tous les domaines : de la solidité des protocoles (comme le modèle de consensus de la blockchain, les relations entre les protocoles p2p, la preuve d'enjeu, etc.), à la conformité des protocoles/implémentations, ou encore la sécurité du réseau et l'intégrité du consensus. La sécurité classique des clients ainsi que la sécurité des cryptographies primitives font également partie du programme. En cas de doute, envoyez un e-mail à bounty@ethereum.org et interrogez-nous.
Bugs de spécifications
Les spécifications Ethereum détaillent les raisons de conception de la couche d'exécution et de la couche de consensus.
Spécifications de la couche d'exécution(opens in a new tab)
Il peut être utile de vérifier les annotations suivantes :
Types de bogues
- Bogues de sécurité/détournant la finalisation
- Vecteurs de déni de service (DOS)
- Les suppositions incohérentes, comme les situations où des validateurs honnêtes peuvent se faire exclure
- Incohérences de calcul ou de paramètre
Bugs clients
Les clients font fonctionner le réseau Ethereum, et ils doivent suivre la logique définie dans la spécification et être sécurisés contre les attaques potentielles. Les bugs que nous voulons trouver sont liés à l'implémentation du protocole.
Actuellement, les clients de la couche d'exécution (Besu, Erigon, Geth et Nethermind) et les clients de la couche de consensus (Lighthouse, Lodestar, Nimbus, Teku et Prysm) sont inclus dans le programme Prime aux bogues. De nouveaux clients peuvent être ajoutés au fur et à mesure qu'ils complètent les audits et se préparent à leur lancement.
Types de bogues
- Spécification de problèmes de non conformité
- Des incidents inattendus, RCE ou des failles de déni de service (DOS)
- Tout problème causant un consensus irréparable se sépare du reste du réseau
Bugs Solidity
Consultez le fichier SECURITY.MD de Solidity pour plus de détails sur ce qui est inclus dans cette étendue.
Solidity ne dispose pas de garanties de sécurité concernant la compilation des entrées non fiables – et nous ne délivrons pas de récompenses pour les plantages du compilateur solc sur les données générées de manière malveillante.
Liens utiles
SECURITY.md(opens in a new tab)Bugs du contrat de dépôt
Les spécifications et le code source du Contrat de dépôt de la Chaîne Phare font partie du programme de primes aux bogues.
Hors périmètre
Seules les cibles listées dans le champ d'application font partie du programme Bug Bounty. Cela signifie que, par exemple, notre infrastructure, telle que les pages web, les DNS, le courrier électronique, etc. ne fait pas partie du champ d'application du programme de primes. Les bugs des contrats ERC20 ne sont généralement pas inclus dans le champ d'application du programme de primes. Cependant, nous pouvons aider à contacter les parties concernées, comme les auteurs ou les échanges dans de tels cas. ENS est maintenu par la fondation ENS, et ne fait pas partie du champ d'application de la prime. Les vulnérabilités nécessitant que l'utilisateur ait publiquement exposé une API, telle que JSON-RPC ou l'API Beacon, ne font pas partie du champ d'application du programme de primes aux bugs.
Soumettre un bogue
Pour chaque bogue valide que vous trouverez vous gagnerez des récompenses. La quantité de récompenses gagnées varie selon son importance. La gravité est calculée selon le modèle d'évaluation des risques OWASP basé sur l'impact sur le réseau Ethereum et la probabilité. Voir la méthode OWASP(opens in a new tab)
L'EF fournira également des récompenses basées sur :
Qualité de la description: des récompenses plus élevées sont payées pour les soumissions claires et bien écrites.
Qualité de reproductibilité: Une preuve de concept (Proof Of Concept) doit être incluse pour être éligible à des récompenses. Veuillez inclure le code de test, les scripts et les instructions détaillées. Plus il est facile pour nous de reproduire et de vérifier la vulnérabilité, plus la récompense sera élevée.
Qualité de la résolution, si incluse : des récompenses plus importantes sont offertes pour les soumissions décrivant clairement la façon de résoudre le problème.
Faible
Jusqu'à 2 000 USD
Jusqu'à 1 000 points
Gravité
- Faible impact, probabilité moyenne
- Impact modéré, probabilité faible
Exemple
Moyen
Jusqu'à 10.000 USD
Jusqu'à 5 000 points
Gravité
- Impact élevé, probabilité faible
- Impact moyen, probabilité moyenne
- Impact faible, probabilité élevée
Exemple
Élevé
Jusqu'à 50.000 USD
Jusqu'à 10 000 points
Gravité
- Impact élevé, probabilité moyenne
- Impact moyen, probabilité élevée
Exemple
Critique
Jusqu'à 250.000 USD
Jusqu'à 25 000 points
Gravité
- Impact élevé, probabilité élevée
Exemple
Règles pour la chasse aux bogues
Le programme de primes aux bogues est expérimental et discrétionnaire, et est destiné à notre communauté Ethereum active afin d'encourager et récompenser ceux qui aident à l'amélioration de la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme n'importe quand, et les primes sont attribuées à la discrétion du comité du programme de primes aux bogues de l'Ethereum Foundation. De plus, nous ne pourrons pas attribuer de primes aux personnes qui sont sur la liste des personnes bannies ou faisant partie de pays étant sur la liste de pays bannis (p. ex. Corée du Nord, Iran, etc.). La législation locale exige de notre part de demander la preuve de votre identité. Vous êtes responsables eu égard aux implications fiscales. Toutes les récompenses sont assujetties aux lois applicables. En conclusion, vos évaluations ne doivent pas violer de lois ou compromettre des données qui ne vous appartiennent pas et doivent être effectuées sur des réseaux de test en fonctionnement local.
- Les problèmes sans preuve de concept ou qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus par les responsables des spécifications et des clients ne sont pas éligibles pour des récompenses.
- La divulgation publique d'une vulnérabilité la rend inadmissible à une prime.
- Les employés et les entrepreneurs de la Fondation Ethereum ou des équipes de clients dans le cadre du programme de primes ne peuvent participer au programme que dans le cadre de l’accumulation de points et ne recevront aucune récompense monétaire.
- Le programme de primes d'Ethereum prend en compte plusieurs facteurs pour l'attribution des récompenses. Les conditions pour l'éligibilité, le pointage ainsi que les termes en lien avec l'attribution d'une récompense sont à la seule et ultime discrétion du comité du programme de primes de l'Ethereum Foundation.
Classement des primes aux bogues de la couche d'exécution
Trouvez des bogues sur la couche d'exécution pour être ajouté à ce classement
- 3In place number 3 with 31000 pointsnrv (@nervoir)31000 points
- 12In place number 12 with 13000 pointsBob Conan13000 points
- 14In place number 14 with 12500 pointsRalph Pichler12500 points
- 16
- 19
- 20
- 31
- 38
- 45
- 50
- 52In place number 52 with 500 pointsjazzybedi500 points
Classement des primes aux bogues de la couche de consensus
Trouver des bogues de couche de consensus pour être ajouté à ce classement
- 5In place number 5 with 10000 pointsscio10000 points
- 15In place number 15 with 1750 pointsAkincibor1750 points
Questions fréquemment posées
Des questions ?
Envoyez-nous un courriel : bounty@ethereum.org(opens in a new tab)