Stai visualizzando questa pagina in inglese perché non l'abbiamo ancora tradotta. Aiutaci a tradurre il contenuto.
Questa pagina non è stata tradotta. Per il momento, è stata intenzionalmente lasciata in inglese.
Aperto alle segnalazioni
Client presenti nei bounty
Il nostro programma bug bounty si estende end-to-end: dalla solidità dei protocolli (come il modello di consenso della blockchain, i protocolli via cavo e p2p, proof-of-stake, ecc.) e la conformità del protocollo/implementazione alla sicurezza della rete e all'integrità del consenso. Fanno parte del programma anche la classica sicurezza del client nonché la sicurezza dei primitivi crittografici. In caso di dubbi, invia un'email a bounty@ethereum.org.
Le Specifiche di Ethereum descrivono in dettaglio la logica progettuale per il Livello di Esecuzione e il Livello di Consenso.
Può essere utile consultare le seguenti annotazioni:
I client eseguiranno la Rete Ethereum e dovranno seguire la logica stabilita nella specifica ed essere al sicuro da potenziali attacchi. I bug che vogliamo trovare sono legati all'implementazione del protocollo.
Attualmente, i client del livello di esecuzione (Besu, Erigon, Geth e Nethermind) e del livello di consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) sono inclusi nel Programma di Bug Bounty. Più client potrebbero essere aggiunti al completamento dei controlli e diventare pronti per la produzione.
Vedi SECURITY.MD di Solidity per ulteriori dettagli su cos'è incluso in questo ambito.
Solidity non possiede garanzie di sicurezza relative alla compilazione di input non attendibili e noi non forniamo ricompense per i crash del compilatore solc su dati generati in modo maligno.
Le specifiche e il codice sorgente del Contratto di Deposito della Beacon Chain sono parte del programma bug bounty.
Solo gli obiettivi elencati come 'In ambito' sono parte del Programma Bug Bounty. Questo significa che, ad esempio, la nostra infrastruttura – come pagine web, dns, email, ecc. – non rientra nell'ambito del bug bounty. I bug del contratto ERC20 non sono tipicamente inclusi nell'ambito del bug bounty. Tuttavia, in questi casi possiamo aiutare a contattare le parti colpite, come autori o borse. ENS è mantenuto dalla fondazione ENS e non rientra nell'ambito del bug bounty.
Per ogni bug valido che trovi, riceverai delle ricompense. La quantità di ricompense riconosciute varierà in base alla Gravità. La gravità è calcolata secondo il modello di valutazione dei rischi OWASP, basato sull'Impatto sulla Rete Ethereum e sul Probabilità. Visualizza metodo OWASP
La EF fornirà anche ricompense in base a:
Qualità della descrizione: Le ricompense più elevate sono pagate per le comunicazioni chiare e ben scritte.
Qualità della riproducibilità: Per essere idonei a ricevere ricompense occorre includere una proof of concept (POC). Si prega di includere il codice di test, script e istruzioni dettagliate. Più facile sarà per noi riprodurre e verificare la vulnerabilità, maggiore sarà la ricompensa.
Qualità della correzione, se inclusa: sono riconosciute ricompense più elevate per l'inoltro di chiare descrizioni su come correggere il problema.
Fino a 2.000 USD
Fino a 1.000 punti
Gravità
Esempio
Fino a 10.000 USD
Fino a 5.000 punti
Gravità
Esempio
Fino a 50.000 USD
Fino a 10.000 punti
Gravità
Esempio
Fino a 250.000 USD
Fino a 25.000 punti
Gravità
Esempio
Il programma bug bounty è un programma di ricompense sperimentale e discrezionale per la nostra comunità attiva di Ethereum per incoraggiare e premiare coloro che stanno aiutando a migliorare la piattaforma. Non è una competizione. Dovresti sapere che possiamo annullare il programma in qualsiasi momento e i premi sono a esclusiva discrezione del pannello di ricompense dei bug dell'Ethereum Foundation. Inoltre, non siamo in grado di emettere riconoscimenti a persone che sono negli elenchi delle sanzioni o che si trovano in paesi negli elenchi delle sanzioni (ad es. Corea del Nord, Iran, ecc.). Le leggi locali ci impongono di chiedere una prova della tua identità. Sei responsabile di tutte le tasse. Tutti i premi sono soggetti alla legge applicabile. Infine, i tuoi test non devono violare alcuna legge o compromettere dati che non sono tuoi e devono aver luogo su testnet locali in esecuzione.
Trova i bug del livello di esecuzione per esser aggiunto a questa classifica
Trova i bug del livello di consenso per esser aggiunto a questa classifica
Scrivici: bounty@ethereum.org