Pengiriman terbuka
Hadiah bug lapisan konsensus
Dapatkan hingga $50.000 USD dan posisi di papan peringkat dengan menemukan bug protokol lapisan konsensus dan klien.
Klien ditampilkan dalam bounty
Bug valid
Program hadiah bounty bug ini difokuskan untuk menemukan bug dalam spesifikasi Rantai Suar lapisan konsensus inti dan implementasi klien Lighthouse, Nimbus, Teku, Prysm, dan Lodestar.
Bug spesifikasi Rantai Suar
Spesifikasi Rantai Suar merinci alasan desain dan usulan perubahan pada Ethereum melalui peningkatan Rantai Suar.
Execution Layer Specifications
Akan sangat membantu untuk memeriksa keterangan di bawah ini:
Jenis-jenis bug
- Bug perusak finality/keamanan
- Vektor penolakan layanan (DOS)
- Inkonsistensi dalam asumsi, seperti situasi saat validator yang jujur dapat dipotong
- Inkonsistensi perhitungan atau parameter
Dokumen spesifikasi
Bug klien lapisan konsensus
Klien akan menjalankan Rantai Suar setelah peningkatan disebarkan. Klien harus mengikuti logika yang ditetapkan dalam spesifikasi dan aman dari segala potensi serangan. Bug yang ingin kita cari berhubungan dengan implementasi protokol.
Saat ini bug Lighthouse, Nimbus, Teku, dan Prysm memenuhi syarat sebagai hadiah bounty. Lodestar juga memenuhi syarat, tetapi sampai audit lebih lanjut telah diselesaikan, poin dan imbalannya dibatasi hingga 10% (pembayaran maksimum adalah 5.000 DAI). Banyak klien mungkin akan ditambahkan setelah mereka menyelesaikan audit dan siap diproduksi.
Jenis-jenis bug
- Masalah spesifikasi yang tidak sesuai
- Kerusakan tak terduga atau kerentanan denial of service (DOS)
- Masalah apa pun yang menyebabkan pemisahan konsensus yang tidak dapat diperbaiki dari seluruh jaringan
Language compiler bugs
The Solidity and Vyper compilers are in scope of the bug bounty program. Please include all details necessary to reproduce the vulnerability such as: Input program that triggers the bug, Compiler version affected, Target EVM version, Framework/IDE if applicable, EVM execution environment/client if applicable and Operating system, Please include steps to reproduce the bug you have found in as much detail as possible.
Solidity and Vyper does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the compiler on maliciously generated data.
Deposit Contract bugs
The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Tidak termasuk
Peningkatan penggabungan dan rantai shard masih dalam tahap pengembangan aktif dan dengan demikian belum dimasukkan sebagai bagian dari program hadiah bounty ini.
Kirimkan bug
Untuk setiap bug yang Anda temukan, Anda akan dihadiahi poin. Poin yang Anda dapatkan tergantung pada tingkat keparahan bug. Bug Lodestar saat ini dihadiahi 10% poin yang dirinci di bawah, karena audit tambahan sedang dalam proses penyelesaian. Yayasan Ethereum (EF) menentukan tingkat keparahan dengan mengggunakan metode OWASP. Lihat metode OWASP
EF juga akan memberikan poin berdasarkan:
Kualitas deskripsi: Imbalan yang lebih tinggi dibayarkan untuk kiriman yang jelas dan ditulis dengan baik.
Kualitas reproduktifitas: Harap sertakan kode pengujian, skrip, dan instruksi terperinci. Semakin mudah bagi kami untuk mereproduksi dan memverifikasi kerentanan, semakin tinggi imbalannya.
Kualitas perbaikan, jika disertakan: Imbalan yang lebih tinggi dibayarkan untuk pengiriman dengan deskripsi yang jelas tentang cara memperbaiki masalah.
Rendah
Hingga 2.000 DAI
Hingga 1.000 poin
Tingkat keparahan
- Dampak rendah, kemungkinan sedang
- Dampak sedang, kemungkinan rendah
Contoh
Sedang
Hingga 10.000 DAI
Hingga 5.000 poin
Tingkat keparahan
- Dampak tinggi, kemungkinan rendah
- Dampak sedang, kemungkinan sedang
- Dampak rendah, kemungkinan tinggi
Contoh
Tinggi
Hingga 20.000 DAI
Hingga 10.000 poin
Tingkat keparahan
- Dampak tinggi, kemungkinan sedang
- Dampak sedang, kemungkinan tinggi
Contoh
Kritis
Hingga 50.000 DAI
Hingga 25.000 poin
Tingkat keparahan
- Dampak tinggi, kemungkinan tinggi
Contoh
Aturan pemburuan bug
Program hadiah bounty bug adalah program eksperimental dan program imbalan diskresi untuk komunitas aktif Ethereum untuk mendorong dan menghadiahi siapa pun yang membantu pengembangan platform. Anda harus tahu bahwa kami dapat membatalkan program kapan pun, dan pemberian hadiah merupakan penilaian sepihak panel hadiah bounty bug Yayasan Ethereum. Selain itu, kami tidak dapat memberikan hadiah kepada individu yang termasuk dalam daftar sanksi atau tinggal di negara dalam daftar sanksi (contoh, Korea Utara, Iran, dll). Anda bertanggung jawab atas semua pajak. Semua hadiah tunduk pada hukum yang berlaku. Terakhir, pengujian Anda tidak boleh melanggar hukum apa pun dan membahayakan data yang bukan milik Anda.
- Masalah yang sudah dikirim oleh pengguna lain atau sudah diketahui pengelola spesifikasi dan klien tidak berhak untuk imbalan berupa hadiah bounty.
- Pengungkapan kerentanan ke publik menyebabkan hilangnya hak untuk hadiah bounty.
- Para peneliti Yayasan Ethereum dan staff dari tim klien lapisan konsensus tidak berhak atas imbalan.
- Program hadiah bounty Ethereum mempertimbangkan sejumlah variabel dalam menentukan hadiah. Penentuan kelayakan, skor, dan semua persyaratan yang terkait dengan penghargaan merupakan kebijakan tunggal dan final dari panel hadiah bounty bug Yayasan Ethereum.
Pertanyaan yang sering diajukan
Ada pertanyaan?
Kirimkan email kepada kami: bounty@ethereum.org