Aperto alle segnalazioni
Programma Bug Bounty
Guadagna fino a $250.000 USD e un posto in classifica trovando bug nel protocollo, nei client e in Solidity che influenzano la rete Ethereum.
Client presenti nei bounty









In ambito
Il nostro programma bug bounty si estende end-to-end: dalla solidità dei protocolli (come il modello di consenso della blockchain, i protocolli via cavo e p2p, proof-of-stake, ecc.) e la conformità del protocollo/implementazione alla sicurezza della rete e all'integrità del consenso. Fanno parte del programma anche la classica sicurezza del client nonché la sicurezza dei primitivi crittografici. In caso di dubbi, invia un'email a bounty@ethereum.org.
Bug delle specifiche
Le Specifiche di Ethereum descrivono in dettaglio la logica progettuale per il Livello di Esecuzione e il Livello di Consenso.
Specifiche del Livello di Esecuzione(opens in a new tab)
Può essere utile consultare le seguenti annotazioni:
Tipi di bug
- Bug di sicurezza/compromissione della finalità
- Vettori denial of service (DOS)
- Incongruenze nelle ipotesi, come situazioni in cui validatori onesti possono essere espulsi
- Incongruenze di calcolo o dei parametri
Bug del client
I client eseguiranno la Rete Ethereum e dovranno seguire la logica stabilita nella specifica ed essere al sicuro da potenziali attacchi. I bug che vogliamo trovare sono legati all'implementazione del protocollo.
Attualmente, i client del livello di esecuzione (Besu, Erigon, Geth e Nethermind) e del livello di consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) sono inclusi nel Programma di Bug Bounty. Più client potrebbero essere aggiunti al completamento dei controlli e diventare pronti per la produzione.
Tipi di bug
- Problemi di non-conformità della specifica
- Crash imprevisti, RCE o vulnerabilità di tipo denial of service (DOS)
- Ogni questione che causa una divisione del consenso dal resto della rete
Bug di Solidity
Vedi SECURITY.MD di Solidity per ulteriori dettagli su cos'è incluso in questo ambito.
Solidity non possiede garanzie di sicurezza relative alla compilazione di input non attendibili e noi non forniamo ricompense per i crash del compilatore solc su dati generati in modo maligno.
Link utili
SECURITY.md(opens in a new tab)Bug del Contratto di Deposito
Le specifiche e il codice sorgente del contratto di deposito della Beacon Chain sono parte del programma di caccia ai bug.
Fuori ambito
Solo gli obiettivi elencati come 'In ambito' sono parte del Programma Bug Bounty. Questo significa che, ad esempio, la nostra infrastruttura – come pagine web, dns, email, ecc. – non rientra nell'ambito del bug bounty. I bug del contratto ERC20 non sono tipicamente inclusi nell'ambito del bug bounty. Tuttavia, in questi casi possiamo aiutare a contattare le parti colpite, come autori o borse. ENS è mantenuto dalla fondazione ENS e non rientra nell'ambito del bug bounty.
Segnala un bug
Per ogni bug valido che trovi, riceverai delle ricompense. La quantità di ricompense riconosciute varierà in base alla Gravità. La gravità è calcolata secondo il modello di valutazione dei rischi OWASP, basato sull'Impatto sulla Rete Ethereum e sul Probabilità. Visualizza metodo OWASP(opens in a new tab)
La EF fornirà anche ricompense in base a:
Qualità della descrizione: Le ricompense più elevate sono pagate per le comunicazioni chiare e ben scritte.
Qualità della riproducibilità: Per essere idonei a ricevere ricompense occorre includere una proof of concept (POC). Si prega di includere il codice di test, script e istruzioni dettagliate. Più facile sarà per noi riprodurre e verificare la vulnerabilità, maggiore sarà la ricompensa.
Qualità della correzione, se inclusa: sono riconosciute ricompense più elevate per l'inoltro di chiare descrizioni su come correggere il problema.
Basso
Fino a 2.000 USD
Fino a 1.000 punti
Gravità
- Impatto basso, probabilità media
- Impatto medio, probabilità bassa
Esempio
Medio
Fino a 10.000 USD
Fino a 5.000 punti
Gravità
- Impatto alto, probabilità bassa
- Impatto medio, probabilità media
- Impatto basso, probabilità alta
Esempio
Alto
Fino a 50.000 USD
Fino a 10.000 punti
Gravità
- Impatto alto, probabilità media
- Impatto medio, alta probabilità
Esempio
Critico
Fino a 250.000 USD
Fino a 25.000 punti
Gravità
- Impatto alto, alta probabilità
Esempio
Regole per la ricerca di bug
Il programma bug bounty è un programma di ricompense sperimentale e discrezionale per la nostra comunità attiva di Ethereum per incoraggiare e premiare coloro che stanno aiutando a migliorare la piattaforma. Non è una competizione. Dovresti sapere che possiamo annullare il programma in qualsiasi momento e i premi sono a esclusiva discrezione del pannello di ricompense dei bug dell'Ethereum Foundation. Inoltre, non siamo in grado di emettere riconoscimenti a persone che sono negli elenchi delle sanzioni o che si trovano in paesi negli elenchi delle sanzioni (ad es. Corea del Nord, Iran, ecc.). Le leggi locali ci impongono di chiedere una prova della tua identità. Sei responsabile di tutte le tasse. Tutti i premi sono soggetti alla legge applicabile. Infine, i tuoi test non devono violare alcuna legge o compromettere dati che non sono tuoi e devono aver luogo su testnet locali in esecuzione.
- I problemi senza una POC già inviati da un altro utente o già noti ai responsabili della manutenzione delle specifiche e dei client non verranno considerati ai fini delle ricompense del bounty.
- La divulgazione al pubblico di una vulnerabilità la rende inammissibile al bounty.
- Dipendenti e professionisti della Ethereum Foundation o dei team del client nell'ambito del programma bounty possono partecipare al programma solo nella maturazione di punti e non riceveranno ricompense finanziarie.
- Il programma bounty Ethereum prende in considerazione un certo numero di variabili per determinare le ricompense. Le decisioni in materia di ammissibilità, punteggio e tutti i termini relativi a una ricompensa sono a sola discrezione finale della commissione bug bounty della Ethereum Foundation.
Classifica delle ricompense per i bug sul livello di esecuzione
Trova i bug del livello di esecuzione per esser aggiunto a questa classifica
- 11In place number 11 with 13000 pointsBob Conan13000 punti
- 13
- 19
- 30
- 36
- 43
- 48
- 50
Classifica delle ricompense per i bug sul livello di consenso
Trova i bug del livello di consenso per esser aggiunto a questa classifica
- 5In place number 5 with 10000 pointsscio10000 punti
- 15In place number 15 with 1750 pointsAkincibor1750 punti
Domande frequenti
Domande?
Scrivici: bounty@ethereum.org(opens in a new tab)