Aperto alle segnalazioni
Client presenti nei bounty
Bug validi
Questo programma di caccia ai bug è concentrato sull'individuazione dei bug nella specifica della Beacon Chain del livello di consenso principale e nelle implementazioni del client di Lighthouse, Nimbus, Teku, Prysm e Lodestar.
I bug della specifica della Beacon Chain
La specifica della Beacon Chain illustra la logica della progettazione e le modifiche proposte a Ethereum tramite l'aggiornamento della Beacon Chain.
Execution Layer Specifications
Può essere utile consultare le seguenti annotazioni:
Tipi di bug
- Bug di sicurezza/compromissione della finalità
- Vettori denial of service (DOS)
- Incongruenze nelle ipotesi, come situazioni in cui validatori onesti possono essere espulsi
- Incongruenze di calcolo o dei parametri
Documenti di specifica
Bug del client del livello di consenso
I client eseguiranno la Beacon Chain una volta distribuito l'aggiornamento. I client dovranno seguire la logica data nella specifica ed esser sicuri contro gli attacchi potenziali. I bug che vogliamo trovare sono correlati all'implementazione del protocollo.
Attualmente i bug Lighthouse, Nimbus, Teku e Prysm sono idonei per le ricompense complete. Anche Lodestar è idoneo ma, fino a quando non saranno completati ulteriori audit, i punti e le ricompense sono limitati al 10% (il pagamento massimo è di 5.000 DAI). Altri client possono essere aggiunti man mano che completano gli audit e diventano pronti per la produzione.
Tipi di bug
- Problemi di non-conformità della specifica
- Crash imprevisti o vulnerabilità di tipo denial of service (DOS)
- Ogni questione che causa una divisione del consenso dal resto della rete
Solidity bugs
See the Solidity SECURITY.MD for more details about what is included in this scope.
Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.
Link utili
SECURITY.md
Deposit Contract bugs
The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
Non incluso
La fusione e gli aggiornamenti delle shard chain sono ancora in fase di sviluppo attivo, quindi non sono inclusi nell'ambito di questo programma di ricompense.
Segnala un bug
Per ogni bug che trovi, otterrai dei punti a titolo di ricompensa. I punti che ottieni dipendono dalla gravità del bug. I bug Lodestar sono correntemente ricompensati con il 10% dei punti elencati sotto, mentre i controlli aggiuntivi sono in corso di completamento. Ethereum Foundation (EF) determina la gravità usando il metodo OWASP. Visualizza metodo OWASP
La Ethereum Foundation assegnerà inoltre punti in base a:
Qualità della descrizione: Le ricompense più elevate sono pagate per le comunicazioni chiare e ben scritte.
Qualità della riproducibilità: Si prega di includere il codice di test, script e istruzioni dettagliate. Più facile sarà per noi riprodurre e verificare la vulnerabilità, maggiore sarà la ricompensa.
Qualità della correzione, se inclusa: sono riconosciute ricompense più elevate per l'inoltro di chiare descrizioni su come correggere il problema.
Basso
Fino a 2.000 DAI
Fino a 1.000 punti
Gravità
- Impatto basso, probabilità media
- Impatto medio, probabilità bassa
Esempio
Medio
Fino a 10.000 DAI
Fino a 5.000 punti
Gravità
- Impatto alto, probabilità bassa
- Impatto medio, probabilità media
- Impatto basso, probabilità alta
Esempio
Alto
Fino a 20.000 DAI
Fino a 10.000 punti
Gravità
- Impatto alto, probabilità media
- Impatto medio, alta probabilità
Esempio
Critico
Fino a 50.000 DAI
Fino a 25.000 punti
Gravità
- Impatto alto, alta probabilità
Esempio
Regole per la ricerca di bug
Il programma bug bounty è un programma di ricompense sperimentale e discrezionale rivolto alla nostra community Ethereum attiva, per incoraggiare e premiare coloro che contribuiscono a migliorare la piattaforma. Non è una gara. È importante sapere che potremmo annullare il programma in qualsiasi momento e le ricompense sono a sola discrezione della commissione di bug bounty della Ethereum Foundation. Inoltre, non possiamo assegnare ricompense a chi è incluso nelle liste di sanzioni o si trova in paesi presenti nelle liste di sanzioni (ad esempio Corea del Nord, Iran ecc.). L'utente è responsabile di tutte le imposte applicabili. Tutte le ricompense sono soggette alla legge applicabile. Infine, il test non deve violare alcuna legge o compromettere dati non di proprietà dell'utente.
- Problemi già inviati da un altro utente o già noti ai responsabili della manutenzione delle specifiche e dei client non verranno considerati ai fini delle ricompense del bounty.
- La divulgazione al pubblico di una vulnerabilità la rende inammissibile al bounty.
- Ricercatori della Ethereum Foundation e dipendenti dei team del client del livello di consenso non sono idonei per le ricompense.
- Il programma bounty Ethereum prende in considerazione un certo numero di variabili per determinare le ricompense. Le decisioni in materia di ammissibilità, punteggio e tutti i termini relativi a una ricompensa sono a sola discrezione finale della commissione bug bounty della Ethereum Foundation.
Execution Layer Bug Bounty leaderboard
Find execution layer bugs to get added to this leaderboard
Classifica della ricerca di bug
Trova i bug del livello di consenso per esser aggiunto a questa classifica
Domande frequenti
What should a good vulnerability submission look like?
See a real example of a quality vulnerability submission.
Is the bug bounty program is time limited?
No.
How are bounties paid out?
Rewards are paid out in ETH or DAI.
Can I donate my reward to charity?
Yes!
I reported an issue / vulnerability but have not received a response!
Please allow a few days for someone to respond to your submission.
I want to be anonymous / I do not want my name on the leader board.
You can do this, but it might make you ineligble for rewards.
What are the points in the leaderboard?
Every found vulnerability / issue is assigned a score
Do you have a PGP key?
Yes. Expand for details.
Domande?
Scrivici: bounty@ethereum.org
