Vai al contenuto principale

Aiuta a tradurre questa pagina

🌏

Stai visualizzando questa pagina in inglese perché non l'abbiamo ancora tradotta. Aiutaci a tradurre il contenuto.

Traduci la pagina

Nessun bug qui!🐛

Questa pagina non è stata tradotta. Per il momento, è stata intenzionalmente lasciata in inglese.

Aperto alle segnalazioni

Programma Bug Bounty 🐛
Guadagna fino a $250.000 USD e un posto in classifica trovando bug nel protocollo, nei client e in Solidity che influenzano la rete Ethereum.
Segnala un bugLeggi le regole
Vedi le classifiche complete

Client presenti nei bounty

In ambito

Il nostro programma bug bounty si estende end-to-end: dalla solidità dei protocolli (come il modello di consenso della blockchain, i protocolli via cavo e p2p, proof-of-stake, ecc.) e la conformità del protocollo/implementazione alla sicurezza della rete e all'integrità del consenso. Fanno parte del programma anche la classica sicurezza del client nonché la sicurezza dei primitivi crittografici. In caso di dubbi, invia un'email a bounty@ethereum.org.

📒

Bug delle specifiche

Le Specifiche di Ethereum descrivono in dettaglio la logica progettuale per il Livello di Esecuzione e il Livello di Consenso.

Specifiche del Livello di Consenso
Specifiche del Livello di Esecuzione

Può essere utile consultare le seguenti annotazioni:

Tipi di bug

  • Bug di sicurezza/compromissione della finalità
  • Vettori denial of service (DOS)
  • Incongruenze nelle ipotesi, come situazioni in cui validatori onesti possono essere espulsi
  • Incongruenze di calcolo o dei parametri

Documenti di specifica

💻

Bug del client

I client eseguiranno la Rete Ethereum e dovranno seguire la logica stabilita nella specifica ed essere al sicuro da potenziali attacchi. I bug che vogliamo trovare sono legati all'implementazione del protocollo.

Attualmente, i client del livello di esecuzione (Besu, Erigon, Geth e Nethermind) e del livello di consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) sono inclusi nel Programma di Bug Bounty. Più client potrebbero essere aggiunti al completamento dei controlli e diventare pronti per la produzione.

Tipi di bug

  • Problemi di non-conformità della specifica
  • Crash imprevisti, RCE o vulnerabilità di tipo denial of service (DOS)
  • Ogni questione che causa una divisione del consenso dal resto della rete

Link utili

📖

Bug di Solidity

Vedi SECURITY.MD di Solidity per ulteriori dettagli su cos'è incluso in questo ambito.

Solidity non possiede garanzie di sicurezza relative alla compilazione di input non attendibili e noi non forniamo ricompense per i crash del compilatore solc su dati generati in modo maligno.

Link utili

SECURITY.md
📜

Bug del Contratto di Deposito

Le specifiche e il codice sorgente del Contratto di Deposito della Beacon Chain sono parte del programma bug bounty.

Fuori ambito

Solo gli obiettivi elencati come 'In ambito' sono parte del Programma Bug Bounty. Questo significa che, ad esempio, la nostra infrastruttura – come pagine web, dns, email, ecc. – non rientra nell'ambito del bug bounty. I bug del contratto ERC20 non sono tipicamente inclusi nell'ambito del bug bounty. Tuttavia, in questi casi possiamo aiutare a contattare le parti colpite, come autori o borse. ENS è mantenuto dalla fondazione ENS e non rientra nell'ambito del bug bounty.

Segnala un bug

Per ogni bug valido che trovi, riceverai delle ricompense. La quantità di ricompense riconosciute varierà in base alla Gravità. La gravità è calcolata secondo il modello di valutazione dei rischi OWASP, basato sull'Impatto sulla Rete Ethereum e sul Probabilità. Visualizza metodo OWASP

La EF fornirà anche ricompense in base a:

Qualità della descrizione: Le ricompense più elevate sono pagate per le comunicazioni chiare e ben scritte.

Qualità della riproducibilità: Per essere idonei a ricevere ricompense occorre includere una proof of concept (POC). Si prega di includere il codice di test, script e istruzioni dettagliate. Più facile sarà per noi riprodurre e verificare la vulnerabilità, maggiore sarà la ricompensa.

Qualità della correzione, se inclusa: sono riconosciute ricompense più elevate per l'inoltro di chiare descrizioni su come correggere il problema.

Fino a 2.000 USD

Basso

Fino a 2.000 USD

Fino a 1.000 punti


Gravità

  • Impatto basso, probabilità media
  • Impatto medio, probabilità bassa

Esempio

Un utente malintenzionato potrebbe impostare un nodo su uno stato che faccia fallire una su cento attestazioni eseguite da un validatore
Segnala bug a rischio basso
Fino a 10.000 USD

Medio

Fino a 10.000 USD

Fino a 5.000 punti


Gravità

  • Impatto alto, probabilità bassa
  • Impatto medio, probabilità media
  • Impatto basso, probabilità alta

Esempio

Un utente malintenzionato può condurre con successo attacchi eclipse su nodi con Id peer aventi byte a 4 zeri iniziali
Segnala bug a rischio medio
Fino a 50.000 USD

Alto

Fino a 50.000 USD

Fino a 10.000 punti


Gravità

  • Impatto alto, probabilità media
  • Impatto medio, alta probabilità

Esempio

Gli utenti malintenzionati possono eseguire correttamente la partizione di grandi parti della rete, ed è banale che un utente malintezionato inneschi la vulnerabilità
Invia bug a rischio alto
Fino a 250.000 USD

Critico

Fino a 250.000 USD

Fino a 25.000 punti


Gravità

  • Impatto alto, alta probabilità

Esempio

L'utente malintenzionato può condurre con successo l'esecuzione del codice da remoto in un client di maggioranza ed è banale che un utente malintenzionato inneschi la vulnerabilità
Invia bug a rischio critico

Regole per la ricerca di bug

Il programma bug bounty è un programma di ricompense sperimentale e discrezionale per la nostra comunità attiva di Ethereum per incoraggiare e premiare coloro che stanno aiutando a migliorare la piattaforma. Non è una competizione. Dovresti sapere che possiamo annullare il programma in qualsiasi momento e i premi sono a esclusiva discrezione del pannello di ricompense dei bug dell'Ethereum Foundation. Inoltre, non siamo in grado di emettere riconoscimenti a persone che sono negli elenchi delle sanzioni o che si trovano in paesi negli elenchi delle sanzioni (ad es. Corea del Nord, Iran, ecc.). Le leggi locali ci impongono di chiedere una prova della tua identità. Sei responsabile di tutte le tasse. Tutti i premi sono soggetti alla legge applicabile. Infine, i tuoi test non devono violare alcuna legge o compromettere dati che non sono tuoi e devono aver luogo su testnet locali in esecuzione.

  • I problemi senza una POC già inviati da un altro utente o già noti ai responsabili della manutenzione delle specifiche e dei client non verranno considerati ai fini delle ricompense del bounty.
  • La divulgazione al pubblico di una vulnerabilità la rende inammissibile al bounty.
  • Dipendenti e professionisti della Ethereum Foundation o dei team del client nell'ambito del programma bounty possono partecipare al programma solo nella maturazione di punti e non riceveranno ricompense finanziarie.
  • Il programma bounty Ethereum prende in considerazione un certo numero di variabili per determinare le ricompense. Le decisioni in materia di ammissibilità, punteggio e tutti i termini relativi a una ricompensa sono a sola discrezione finale della commissione bug bounty della Ethereum Foundation.

Classifica delle ricompense per i bug sul livello di esecuzione

Trova i bug del livello di esecuzione per esser aggiunto a questa classifica

Classifica delle ricompense per i bug sul livello di consenso

Trova i bug del livello di consenso per esser aggiunto a questa classifica

Domande frequenti

Domande?

Scrivici: bounty@ethereum.org

✉️

Questa pagina è stata utile?