Preskoči na glavni sadržaj

Otvoreno za prijave

Program nagrađivanja za pogreške 🐛

Zaradite i do 250.000 USD i mjesto na ljestvici pronalaskom pogrešaka protokola, klijenta i programskog jezika Solidity koje utječu na mrežu Ethereuma.

Pošaljite pogrešku(opens in a new tab)Pročitajte pravila
  • 1
    In place number 1 with 46100 pointsGuido Vranken (See Github Profile)(opens in a new tab)
    46100 bodovi
    🏆
  • 2
    In place number 2 with 42400 pointsprotolambda (See Github Profile)(opens in a new tab)
    42400 bodovi
    🥈
  • 3
    In place number 3 with 40000 pointsMartin Holst Swende (See Github Profile)(opens in a new tab)
    40000 bodovi
    🥉
  • 4
    In place number 4 with 35000 pointsSam Sun (See Github Profile)(opens in a new tab)
    35000 bodovi
  • 5
    In place number 5 with 23500 pointsChainSecurity (See Github Profile)(opens in a new tab)
    23500 bodovi
Pogledajte cijelu ljestvicu

Klijenti uključeni u nagrađivanje

U obimu programa

Naš program nagrađivanja za pogreške pokriva cjelokupni raspon, od kraja do kraja: od jasnih protokola (npr. model konsenzusa lanca blokova, protokole prijenosa i p2p, dokaz uloga itd.) i sukladnosti protokola/implementacije do mrežne sigurnosti i intergriteta konsenzusa. Dio programa su i klasična sigurnost klijenta kao i sigurnost kriptografskih primitiva. Ako niste sigurni, pošaljiite e-poštu s pitanjem na bounty@ethereum.org.

📒

Pogreške specifikacije

Specifikacije Ethereuma objašnjavaju logiku dizajna sloja za izvršavanje i sloja konsenzusa.

Specifikacije sloja konsenzusa(opens in a new tab)
Specifikacije sloja za izvršavanje(opens in a new tab)

Bilo bi korisno provjeriti sljedeće napomene:

Vrste pogrešaka

  • Pogreške u sigurnosti / prekidanju konačnosti
  • Vektori uskraćivanja usluge (DOS)
  • Nedosljednosti u pretpostavkama, poput situacija u kojima se mogu degradirati pošteni validatori
  • Izračun ili nedosljednosti parametara

Dokumentacija sa specifikacijama

Beacon Chain(opens in a new tab)
Izbor izdvajanja koda Fork(opens in a new tab)
Programski kôd Solidity za ugovor o depozitu(opens in a new tab)
Umrežavanje ravnopravnih osoba(opens in a new tab)
💻

Pogreške klijenta

Klijenti pokreću mrežu Ethereuma i moraju slijediti logiku navedenu u specifikaciji da bi bili sigurni od potencijalnih napada. Poreške koje želimo pronaći povezane su s implementacijom protokola.

Trenutačno su u programu nagrađivanja za pogreške uključeni klijenti za sloj za izvršavanje (Besu, Erigon, Geth i Nethermind) i sloj konsenzusa (Lighthouse, Lodestar, Nimbus, Teku i Prysm). Nove klijente ćemo dodati nakon što se dovrši njihov pregled i kada postanu spremni za produkciju.

Vrste pogrešaka

  • Problemi neusklađenosti specifikacije
  • Ranjivosti neočekivanih padova, udaljenog pokretanja koda (RCE) ili uskraćivanja usluge (DOS)
  • Bilo koji problemi koji uzrokuju nepopravljivi konsenzus odvajaju se od ostatka mreže

Korisne poveznice

Besu(opens in a new tab)
Erigon(opens in a new tab)
Geth(opens in a new tab)
Lighthouse(opens in a new tab)
Lodestar(opens in a new tab)
Nimbus(opens in a new tab)
Nethermind(opens in a new tab)
Prysm(opens in a new tab)
Teku(opens in a new tab)
📖

Pogreške programskog jezika Solidity

Pogledajte Solidity SECURITY.MD za više pojedinosti o tome što je uključeno u obim programa.

Programski jezik Solidity ne pruža jamstvo sigurnosti za kompilaciju nepouzdanih unosa – ne nagrađujemo za padove kompilatora solc na zlonamjerno generiranim podacima.

Korisne poveznice

SECURITY.md(opens in a new tab)
📜

Pogreške ugovora o depozitu

Specifikacije i izvorni kôd ugovora o depozitu u nadogradnji Beacon Chain dio su programa nagrađivanja za pogreške.

Korisne poveznice

Deposit Contract Specifications(opens in a new tab)
Deposit Contract Source Code(opens in a new tab)

Van obima

Samo se ciljevi navedeni u obimu dio programa nagrađivanja za pogreške. To znači da npr. infrastruktura (kao web-stranice, DNS, e-pošta itd.) nije u sklopu programa. Pogreške ERC20 ugovora obično nisu u obimu programa. Međutim, u tim slučajevima možemo pomoći da se o njima obavijeste dionici, npr autori. ENS održava fondacija ENS i nije dio programa nagrađivanja.

Pošaljite pogrešku

Za svaku pronađenu pogrešku dobivate nagradu. Količina nagrada ovisi o težini. Težina se računa temeljem modela ocjenjivanja rizika OWASP, utjecaja na mrežu Ethereum i vjerojatnosti ponavljanja. Pogledajte metodu OWASP(opens in a new tab)

EF će također nagrađivati na temelju:

Kvaliteta opisa: veće nagrade isplaćuju se za jasne, dobro napisane prijave.

Kvaliteta ponovljivosti: da bi prijava bila podobna za nagradu, mora biti uključen dokaz koncepta (POC). U prijavu dodajte testni kôd, skriptu i detaljne upute. Što lakše ponovimo i potvrdimo problem to je veća nagrada.

Količine ispravki, ako je uključeno: veće nagrade dodjeljuju se prijavama s jasnim uputama kako riješiti pogrešku.

Do 2000 USD

Nisko

Do 2000 USD

Do 1000 bodova

Ozbiljnost

  • Nizak utjecaj, srednja vjerojatnost
  • Srednji utjecaj, mala vjerojatnost

Primjer

Napadač ponekad može staviti čvor u stanje zbog kojeg će jedna od sto ovjera koje je izvršio validator biti ispuštena
Prijavite pogrešku niskog rizika(opens in a new tab)
Do 10.000 USD

Srednje

Do 10.000 USD

Do 5000 bodova

Ozbiljnost

  • Visok utjecaj, mala vjerojatnost
  • Srednji utjecaj, srednja vjerojatnost
  • Nizak utjecaj, visoka vjerojatnost

Primjer

Napadač može uspješno izvoditi skrivene napade na čvorove s peer-id-ovima s 4 vodeća nulta bajta
Prijavite pogrešku srednjeg rizika(opens in a new tab)
Do 50.000 USD

Visoko

Do 50.000 USD

Do 10.000 bodova

Ozbiljnost

  • Visok utjecaj, srednja vjerojatnost
  • Srednji utjecaj, visoka vjerojatnost

Primjer

Napadač uspješno može izdvojiti veliki dio mreže i vrlo je jednostavno za napadača da aktivira ranjivost
Prijavite pogrešku visokog rizika(opens in a new tab)
Do 250.000 USD

Kritično

Do 250.000 USD

Do 25.000 bodova

Ozbiljnost

  • Veliki utjecaj, velika vjerojatnost

Primjer

Napadač uspješno može udaljeno pokrenuti izvršavanje programskog koda u većini klijenata i vrlo je jednostavno za napadača da aktivira ranjivost
Prijavite pogrešku kritičnog rizika(opens in a new tab)

Pravila lova na pogreške

Program nagrađivanja za pogreške eksperimentalni je i diskrecijski program nagrađivanja za aktivnu Ethereumovu zajednicu kojim potičemo i nagrađujemo pojedince koji nam pomažu da poboljšamo platformu. To nije natjecanje. Program u svakom trenutku možemo otkazati, a nagrade se dodjeljuju prema nagođenju panela za nagrađivanja za pogreške fondacije Ethereum. Nadalje, ne možemo dodijeliti nagrade pojedincima koji se nalaze na popisu sankcija ili koji su stanovnici država na popisu sankcija (npr. Sjeverna Koreja, Iran itd.). Lokalni zakoni zahtijevaju od nas da od vas tražimo dokaz o identitetu. Svi porezi su vaša odgovornost. Sve nagrade podliježu primjenjivim zakonima. I konačno, vaše testiranje ne smije kršiti zakon ili ugrožavati podatke koji nisu vaše vlasništvo te se mora odvijati na lokalno testnim mrežama.

  • Problemi bez dokaza koncepta ili koje je već poslao drugi korisnik ili su već poznati osobama koje održavaju specifikacije i klijente ne ispunjavaju uvjete za nagrade.
  • Javno otkrivanje ranjivosti čini je neprihvatljivom za nagradu.
  • Zaposlenici i podugovaratelji fondacije Ethereum ili timovi za razvoj klijenata u sklopu programa nagrađivanja mogu sudjelovati u programu samo kroz prirast bodova i oni neće dobivati novčane nagrade.
  • Ethereum program nagrađivanja uzima u obzir brojne varijable u određivanju nagrada. Određivanje prihvatljivosti, rezultat i svi uvjeti koji se odnose na nagradu isključivo su odluka odbora za nagrade za lov na pogreške zaklade Ethereum.

Ljestvica programa nagrađivanja za pogreške u sloju za izvršavanje

Pronađite pogreške u sloju za izvršavanje da bismo vas dodali na ovu ljestvicu

  • 1
    In place number 1 with 37500 pointsMartin Holst Swende (See Github Profile)(opens in a new tab)
    37500 bodovi
    🏆
  • 2
    In place number 2 with 35000 pointsSam Sun (See Github Profile)(opens in a new tab)
    35000 bodovi
    🥈
  • 3
    In place number 3 with 28250 pointsGuido Vranken (See Github Profile)(opens in a new tab)
    28250 bodovi
    🥉
  • 4
    In place number 4 with 23500 pointsChainSecurity (See Github Profile)(opens in a new tab)
    23500 bodovi
  • 5
    In place number 5 with 20500 pointsJuno Im (See Github Profile)(opens in a new tab)
    20500 bodovi
  • 6
    In place number 6 with 20000 pointsYoonho Kim (team Hithereum) (See Github Profile)(opens in a new tab)
    20000 bodovi
  • 7
    In place number 7 with 20000 pointsJohn Youngseok Yang (Software Platform Lab) (See Github Profile)(opens in a new tab)
    20000 bodovi
  • 8
    In place number 8 with 17000 pointsPeckShield (See Github Profile)(opens in a new tab)
    17000 bodovi
  • 9
    In place number 9 with 15000 pointsItsUnixIKnowThis (See Github Profile)(opens in a new tab)
    15000 bodovi
  • 10
    In place number 10 with 15000 pointsBertrand Masius (See Github Profile)(opens in a new tab)
    15000 bodovi
  • 11
    In place number 11 with 13000 pointsBob Conan
    13000 bodovi
  • 12
    In place number 12 with 12500 pointsTin (See Github Profile)(opens in a new tab)
    12500 bodovi
  • 13
    In place number 13 with 12500 pointsRalph Pichler
    12500 bodovi
  • 14
    In place number 14 with 11000 pointsŁukasz Matczak (See Github Profile)(opens in a new tab)
    11000 bodovi
  • 15
    In place number 15 with 10000 pointsHeilman/Marcus/Goldberg
    10000 bodovi
  • 16
    In place number 16 with 10000 pointsJonas Nick (See Github Profile)(opens in a new tab)
    10000 bodovi
  • 17
    In place number 17 with 10000 pointsJohn Toman (See Github Profile)(opens in a new tab)
    10000 bodovi
  • 18
    In place number 18 with 8000 pointsSebastian Henningsen
    8000 bodovi
  • 19
    In place number 19 with 7500 pointsDominic Brütsch
    7500 bodovi
  • 20
    In place number 20 with 5000 pointsHarry Roberts (See Github Profile)(opens in a new tab)
    5000 bodovi
  • 21
    In place number 21 with 5000 pointsPeter Stöckli (See Github Profile)(opens in a new tab)
    5000 bodovi
  • 22
    In place number 22 with 5000 pointsNeville Grech (See Github Profile)(opens in a new tab)
    5000 bodovi
  • 23
    In place number 23 with 5000 pointsEthHead (See Github Profile)(opens in a new tab)
    5000 bodovi
  • 24
    In place number 24 with 5000 pointsiosiro (See Github Profile)(opens in a new tab)
    5000 bodovi
  • 25
    In place number 25 with 3500 pointsAlex Beregszaszi (See Github Profile)(opens in a new tab)
    3500 bodovi
  • 26
    In place number 26 with 2500 pointsSergio Demian Lerner (See Github Profile)(opens in a new tab)
    2500 bodovi
  • 27
    In place number 27 with 2500 pointsDaniel Perez (See Github Profile)(opens in a new tab)
    2500 bodovi
  • 28
    In place number 28 with 2000 pointsYaron Velner (See Github Profile)(opens in a new tab)
    2000 bodovi
  • 29
    In place number 29 with 2000 pointsWhit Jackson (See Github Profile)(opens in a new tab)
    2000 bodovi
  • 30
    In place number 30 with 2000 pointsMing Chuan Lin
    2000 bodovi
  • 31
    In place number 31 with 2000 pointsMelonport team (See Github Profile)(opens in a new tab)
    2000 bodovi
  • 32
    In place number 32 with 2000 pointsMaurelian (See Github Profile)(opens in a new tab)
    2000 bodovi
  • 33
    In place number 33 with 2000 pointsChristoph Jentzsch (See Github Profile)(opens in a new tab)
    2000 bodovi
  • 34
    In place number 34 with 1500 pointsHwanjo Heo (See Github Profile)(opens in a new tab)
    1500 bodovi
  • 35
    In place number 35 with 1200 pointsDVP (dvpnet.io) (See Github Profile)(opens in a new tab)
    1200 bodovi
  • 36
    In place number 36 with 1000 pointsVasily Vasiliev
    1000 bodovi
  • 37
    In place number 37 with 1000 pointstalko (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 38
    In place number 38 with 1000 pointsSteve Waldman (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 39
    In place number 39 with 1000 pointsPanu Kekäläinen (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 40
    In place number 40 with 1000 pointsJosselin Feist (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 41
    In place number 41 with 1000 pointsHenrit (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 42
    In place number 42 with 1000 pointsMarc Bartlett (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 43
    In place number 43 with 1000 pointsBarry Whitehat
    1000 bodovi
  • 44
    In place number 44 with 1000 pointsLucas Ryan (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 45
    In place number 45 with 1000 pointsAlex Groce (See Github Profile)(opens in a new tab)
    1000 bodovi
  • 46
    In place number 46 with 750 pointsDaniel Briskin (See Github Profile)(opens in a new tab)
    750 bodovi
  • 47
    In place number 47 with 750 pointsDaenam Kim (See Github Profile)(opens in a new tab)
    750 bodovi
  • 48
    In place number 48 with 500 pointsMyeongjae Lee
    500 bodovi
  • 49
    In place number 49 with 500 pointsMarcin Noga (Cisco/Talos Security)
    500 bodovi
  • 50
    In place number 50 with 500 pointsjazzybedi
    500 bodovi
  • 51
    In place number 51 with 500 pointsFeeker - 360 ESG Codesafe Team (See Github Profile)(opens in a new tab)
    500 bodovi
  • 52
    In place number 52 with 500 pointsJonathan Brown (See Github Profile)(opens in a new tab)
    500 bodovi
  • 53
    In place number 53 with 500 pointsDavid Murdoch (See Github Profile)(opens in a new tab)
    500 bodovi
  • 54
    In place number 54 with 500 pointsAlexander Wade (See Github Profile)(opens in a new tab)
    500 bodovi
  • 55
    In place number 55 with 200 pointsLuis Schliesske (See Github Profile)(opens in a new tab)
    200 bodovi

Ljestvica programa nagrađivanja za pogreške u sloju konsenzusa

Pronađite pogreške u sloju konsenzusa da bismo vas dodali na ovu ljestvicu

  • 1
    In place number 1 with 42400 pointsprotolambda (See Github Profile)(opens in a new tab)
    42400 bodovi
    🏆
  • 2
    In place number 2 with 19650 pointsQuan Thoi Minh Nguyen (See Github Profile)(opens in a new tab)
    19650 bodovi
    🥈
  • 3
    In place number 3 with 18700 pointsJonny Rhea (See Github Profile)(opens in a new tab)
    18700 bodovi
    🥉
  • 4
    In place number 4 with 17850 pointsGuido Vranken (See Github Profile)(opens in a new tab)
    17850 bodovi
  • 5
    In place number 5 with 10000 pointsscio
    10000 bodovi
  • 6
    In place number 6 with 9000 pointsGrandine team (See Github Profile)(opens in a new tab)
    9000 bodovi
  • 7
    In place number 7 with 6000 pointsOnur Kılıç (See Github Profile)(opens in a new tab)
    6000 bodovi
  • 8
    In place number 8 with 5000 pointsAntoine Toulme (See Github Profile)(opens in a new tab)
    5000 bodovi
  • 9
    In place number 9 with 5000 pointsVulnerabilityX (See Github Profile)(opens in a new tab)
    5000 bodovi
  • 10
    In place number 10 with 4000 pointsAntonio Sanso (See Github Profile)(opens in a new tab)
    4000 bodovi
  • 11
    In place number 11 with 2850 pointsItsUnixIKnowThis (See Github Profile)(opens in a new tab)
    2850 bodovi
  • 12
    In place number 12 with 2500 pointsAlexander Sadovskyi (See Github Profile)(opens in a new tab)
    2500 bodovi
  • 13
    In place number 13 with 2500 pointstintin (See Github Profile)(opens in a new tab)
    2500 bodovi
  • 14
    In place number 14 with 2500 pointsMartin Holst Swende (See Github Profile)(opens in a new tab)
    2500 bodovi
  • 15
    In place number 15 with 1750 pointsAkincibor
    1750 bodovi
  • 16
    In place number 16 with 200 pointsJim McDonald (See Github Profile)(opens in a new tab)
    200 bodovi

Često postavljana pitanja

Pitanja?

Pošaljite nam poruku e-pošte: bounty@ethereum.org(opens in a new tab)

✉️

Je li ova stranica bila korisna?