Lompat ke konten utama

Terbuka untuk pengiriman

Program Bug Bounty 

Dapatkan hingga 1.000.000 USD dan tempat di papan peringkat dengan menemukan bug protokol, klien, dan kompiler bahasa yang memengaruhi jaringan Ethereum.

Kirimkan bug (opens in a new tab)Baca aturan
Lihat papan peringkat lengkap

Klien yang disertakan dalam bounty

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Dalam Cakupan

Program bug bounty kami mencakup ujung-ke-ujung: mulai dari keandalan protokol (seperti model konsensus rantai blok, protokol wire dan p2p, Bukti Kepemilikan (PoS), dll.) dan kepatuhan protokol/implementasi hingga keamanan jaringan dan integritas konsensus. Keamanan klien klasik serta keamanan primitif kriptografi juga merupakan bagian dari program ini. Semua pengungkapan bug dan pengiriman kerentanan harus dilakukan melalui formulir pengiriman bug (opens in a new tab) kami.

Bug spesifikasi

Spesifikasi Ethereum merinci dasar pemikiran desain untuk Lapisan Eksekusi dan Lapisan Konsensus.

Mungkin akan membantu jika Anda memeriksa anotasi berikut:

Jenis-jenis bug

  • Bug yang merusak keamanan/finalitas
  • Vektor penolakan layanan (DOS)
  • Inkonsistensi dalam asumsi, seperti situasi di mana validator yang jujur dapat dipotong
  • Inkonsistensi perhitungan atau parameter

Dokumen spesifikasi

Rantai suar (opens in a new tab)
Pilihan percabangan (opens in a new tab)
Kontrak deposit Solidity (opens in a new tab)
Jaringan peer-to-peer (opens in a new tab)

Bug klien

Klien menjalankan Jaringan Ethereum, dan mereka harus mengikuti logika yang ditetapkan dalam spesifikasi serta aman dari potensi serangan. Bug yang ingin kami temukan berkaitan dengan implementasi protokol.

Saat ini klien lapisan eksekusi (Besu, Erigon, Geth, Nethermind, dan Reth) dan klien lapisan konsensus (Lighthouse, Lodestar, Nimbus, Teku, dan Prysm) disertakan dalam Program Bug Bounty.

Jenis-jenis bug

  • Masalah ketidakpatuhan spesifikasi
  • Kerusakan tak terduga, RCE, atau kerentanan penolakan layanan (DOS)
  • Masalah apa pun yang menyebabkan perpecahan konsensus yang tidak dapat diperbaiki dari bagian jaringan lainnya

Tautan yang membantu

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Bug kompiler bahasa

Kompiler Solidity dan Vyper masuk dalam cakupan program bug bounty. Harap sertakan semua detail yang diperlukan untuk mereproduksi kerentanan seperti: Program input yang memicu bug, Versi kompiler yang terpengaruh, Versi EVM target, Kerangka kerja/IDE jika ada, Lingkungan eksekusi/klien EVM jika ada, dan Sistem operasi. Harap sertakan langkah-langkah untuk mereproduksi bug yang Anda temukan sedetail mungkin.

Solidity dan Vyper tidak memiliki jaminan keamanan terkait kompilasi input yang tidak tepercaya – dan kami tidak memberikan imbalan untuk kerusakan kompiler pada data yang dibuat secara berbahaya.

Tautan yang membantu

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Bug Kontrak Deposit

Spesifikasi dan kode sumber Kontrak Deposit Rantai suar adalah bagian dari program bug bounty.

Tautan yang membantu

Bug dependensi

Dependensi tertentu sangat penting agar Jaringan Ethereum dapat berfungsi, dan beberapa di antaranya telah ditambahkan ke program bug bounty. Saat ini, daftar dependensi yang disertakan dalam program bug bounty adalah C-KZG-4844 dan Go-KZG-4844.

Tautan yang membantu

Di luar cakupan

Hanya target yang tercantum di bawah dalam cakupan yang merupakan bagian dari Program Bug Bounty. Kerentanan yang TIDAK memenuhi syarat dalam program ini meliputi:

  • Bug infrastruktur—seperti halaman web, dns, email, dll.*
  • Bug kontrak ERC-20*
  • Bug Ethereum Naming Service (ENS) (dikelola oleh yayasan ENS)
  • Kerentanan yang mewajibkan pengguna untuk mengekspos API secara publik, seperti JSON-RPC atau API Beacon
  • EngineAPI dianggap tepercaya dan tidak dimaksudkan untuk diekspos secara publik
  • Kesalahan ketik
  • Pengujian
  • Serangan DoS peer tunggal dengan upaya tinggi (berkelanjutan, intensif CPU atau bandwidth, dan/atau mewajibkan lebih dari 1 paket atau transaksi onchain)
  • Setiap masalah yang diketahui publik (termasuk postingan forum, PR, masalah GitHub, commit, postingan blog, pesan Discord publik, dll.)
  • Apa pun yang saat ini tidak memiliki dampak langsung pada Mainnet Ethereum.

*Hal-hal ini tidak termasuk, namun, terkadang kami dapat membantu menghubungi pihak yang terdampak

Aturan pencarian bug

Program bug bounty adalah program imbalan eksperimental dan diskresioner untuk komunitas Ethereum kami yang aktif guna mendorong dan memberikan imbalan kepada mereka yang membantu meningkatkan platform. Ini bukan sebuah kompetisi. Anda harus tahu bahwa kami dapat membatalkan program ini kapan saja, dan penghargaan sepenuhnya merupakan kebijaksanaan panel bug bounty Yayasan Ethereum. Selain itu, kami tidak dapat memberikan penghargaan kepada individu yang berada dalam daftar sanksi atau yang berada di negara-negara dalam daftar sanksi (misalnya, Korea Utara, Iran, dll.). Hukum setempat mewajibkan kami untuk meminta bukti identitas Anda. Anda bertanggung jawab atas semua pajak. Semua penghargaan tunduk pada hukum yang berlaku. Terakhir, pengujian Anda tidak boleh melanggar hukum apa pun atau membahayakan data apa pun yang bukan milik Anda dan harus dilakukan di testnet yang berjalan secara lokal.

  1. 1Masalah tanpa POC atau yang telah dikirimkan oleh pengguna lain atau sudah diketahui oleh pengelola spesifikasi dan klien tidak memenuhi syarat untuk mendapatkan imbalan bounty.
  2. 2Pengungkapan publik atas suatu kerentanan atau pelaporannya ke pihak lain tanpa persetujuan sebelumnya membuatnya tidak memenuhi syarat untuk mendapatkan bounty.
  3. 3Karyawan dan kontraktor Yayasan Ethereum, penerima hibah Yayasan Ethereum, atau tim klien dalam cakupan program bounty dapat berpartisipasi dalam program ini hanya dalam pengumpulan poin dan tidak akan menerima imbalan uang.
  4. 4Program bounty Ethereum mempertimbangkan sejumlah variabel dalam menentukan imbalan. Penentuan kelayakan, skor, dan semua ketentuan yang terkait dengan penghargaan sepenuhnya merupakan kebijaksanaan mutlak dan final dari panel bug bounty Yayasan Ethereum.

Kualifikasi tingkat keparahan kerentanan

Tingkat keparahan dinilai berdasarkan kemampuan unik dari setiap kerentanan yang ditemukan untuk melakukan hal berikut:

Tingkat keparahan rendah
  • Pemotongan >0.01% validator
  • Secara trivial menyebabkan perpecahan jaringan yang memengaruhi >0.01% jaringan
  • Mampu melumpuhkan >0.01% jaringan dengan mengirimkan satu paket jaringan atau transaksi onchain
Tingkat keparahan sedang
  • Pemotongan >1% validator
  • Secara trivial menyebabkan perpecahan jaringan yang memengaruhi >5% jaringan
  • Mampu melumpuhkan >5% jaringan dengan mengirimkan satu paket jaringan atau transaksi onchain
Tingkat keparahan tinggi
  • Pemotongan >33% validator
  • Secara trivial menyebabkan perpecahan jaringan yang memengaruhi >33% jaringan
  • Mampu melumpuhkan >33% jaringan dengan mengirimkan satu transaksi onchain
Tingkat keparahan kritis
  • Pemotongan >50% validator
  • Mengeksploitasi EIP/spesifikasi atau bug klien untuk dengan mudah membuat ETH dalam jumlah tak terbatas yang difinalisasi oleh jaringan
  • Mencuri ETH dari semua EOA
  • Bakar ETH dari semua EOA
  • Melumpuhkan seluruh jaringan dengan mengirimkan satu transaksi onchain berbahaya yang pada akhirnya merusak semua klien

Kirimkan bug

Hingga 2.000 USD

Rendah

Hingga 2.000 USD

Hingga 1.000 poin

Kirimkan bug risiko rendah (opens in a new tab)
Hingga 10.000 USD

Menengah

Hingga 10.000 USD

Hingga 5.000 poin

Kirimkan bug risiko menengah (opens in a new tab)
Hingga 50.000 USD

Tinggi

Hingga 50.000 USD

Hingga 10.000 poin

Kirimkan bug risiko tinggi (opens in a new tab)
Hingga 1.000.000 USD

Kritis

Hingga 1.000.000 USD

Hingga 25.000 poin

Kirimkan bug risiko kritis (opens in a new tab)

Papan peringkat Bug Bounty Lapisan Eksekusi

Temukan bug lapisan eksekusi untuk ditambahkan ke papan peringkat ini

Papan peringkat Bug Bounty Lapisan Konsensus

Temukan bug lapisan konsensus untuk ditambahkan ke papan peringkat ini

Pertanyaan yang sering diajukan

Saat ini tidak ada tanggal akhir yang ditetapkan. Lihat blog Yayasan Ethereum (opens in a new tab) untuk berita terbaru.

Imbalan dibayarkan dalam bentuk ETH atau DAI setelah pengajuan divalidasi, biasanya beberapa hari kemudian. Hukum setempat mewajibkan kami untuk meminta bukti identitas Anda. Selain itu, kami akan membutuhkan alamat ETH Anda.

Kami dapat mendonasikan imbalan Anda ke organisasi amal mapan pilihan Anda.

Kami bertujuan untuk menanggapi pengajuan secepat mungkin. Karena peningkatan pengajuan AI, harap tunggu hingga satu minggu bagi kami untuk menanggapi pengajuan Anda.

Mengajukan secara anonim atau dengan nama samaran diperbolehkan, tetapi akan membuat Anda tidak memenuhi syarat untuk imbalan ETH/DAI. Agar memenuhi syarat untuk imbalan ETH/DAI, kami mewajibkan nama asli Anda dan bukti identitas Anda untuk dikirimkan, dienkripsi menggunakan PGP di situs web drop aman kami, kepada tim hukum kami di Yayasan Ethereum yang merupakan satu-satunya peninjau dokumentasi tersebut. Mendonasikan bounty Anda untuk amal tidak memerlukan identitas Anda.

Beri tahu kami jika Anda tidak ingin nama/nama panggilan Anda ditampilkan di papan peringkat.

Setiap kerentanan / masalah yang ditemukan diberi skor. Pemburu bounty diberi peringkat di papan peringkat kami berdasarkan total poin.