受け付け中
バグ報奨プログラム
イーサリアムネットワークに悪影響を与えるプロトコル、クライアント、Solidityのバグを発見して、最大25万ドルを獲得し、リーダーボードに名前を載せましょう。
報奨金があるクライアント
対象範囲
私たちのバグ報奨金プログラムは、プロトコルの健全性(ブロックチェーンのコンセンサスモデル、ワイヤーやピアツーピアプロトコル、プルーフ・オブ・ステークなど)やプロトコル/実装のコンプライアンスからネットワークセキュリティやコンセンサスの完全性まで、エンドツーエンドを対象としています。典型的なクライアントのセキュリティや、暗号論的プリミティブのセキュリティもプログラムの一部です。疑問点がある場合は、bounty@ethereum.orgまでメールにてお問い合わせください。バグの開示および脆弱性を直接bounty@ethereum.org(opens in a new tab)に提出することができます。この場合、私たちのPGPキー(opens in a new tab)を使ってメッセージを暗号化することをお願いしています。
仕様のバグ
イーサリアムの仕様には、実行レイヤとコンセンサスレイヤの設計根拠が詳述されています。
実行レイヤ仕様(opens in a new tab)
以下の注釈を確認すると役に立つかもしれません。
バグの種類
- 安全性/ファイナリティ・ブレイクバグ
- サービス拒否(DOS)ベクトル
- 誠実なバリデータがスラッシングされる状況など、前提条件における矛盾
- 計算またはパラメータの不一致
クライアントのバグ
クライアントはイーサリアムネットワークを実行し、仕様に定められたロジックに従い、潜在的な攻撃から保護する必要があります。探し出したいバグは、プロトコルの実装に関連するものです。
現在、実行レイヤークライアント(Besu、Erigon、Geth、Nethermind)とコンセンサスレイヤークライアント(Lighthouse、Lodestar、Nimbus、Teku、Prysm)がバグ報償金プログラムに含まれています。 監査が終わり本番環境へのリリースができるようになると、他のクライアントも追加される場合があります。また最近では、c-kzg-4844(opens in a new tab)とgo-kzg-4844(opens in a new tab)もバグ報奨金プログラムに含まれています。
バグの種類
- 仕様不適合の問題
- 予期しないクラッシュ、RCEまたはサービス拒否(DOS)攻撃の脆弱性
- ネットワークに対して修復できないコンセンサスの分裂を引き起こす問題
Solidityのバグ
このスコープに含まれることの詳細については、Solidity SECURITY.MDを参照してください。
Solidityは、信頼されていない入力のコンパイルに関してセキュリティを保証しません。Solcコンパイラが悪意を持って生成されたデータでクラッシュした場合には報酬は支払われません。
デポジットコントラクトのバグ
ビーコンチェーンのデポジットコントラクトの仕様とソースコードは、バグ報奨金プログラムの対象です。
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
対象範囲外
バグ報奨金プログラムの対象となるのは、「対象範囲」に記載されているもののみです。つまり、例えばウェブページ、DNS、メールなどのインフラは報奨の対象外となります。ERC20コントラクトのバグは、通常、報奨の対象には含まれません。ただし、そのような場合、イーサリアム・ファウンデーションは、作者や取引所など、影響を受ける関係者への働きかけを支援します。ENSはENSファウンデーションによって管理されており、報酬範囲には含まれていません。JSON-RPCや Beacon APIなどの公開する必要があるAPIの脆弱性は、バグ報奨金プログラムの対象外です。
バグを投稿
有効なバグを発見するごとに、報酬を獲得することができます。獲得できる報酬料は、深刻度によって異なります。深刻度は、イーサリアムネットワークへの影響度と可能性に基づくOWASPリスク評価モデルに従って計算されます。 OWASPメソッドを表示(opens in a new tab)
また、EFは以下に基づいて報酬を付与します。
記述の質: 明瞭で良く書かれた投稿には、より高い報酬が支払われます。
再現性の質: 報酬の対象となるには、POC (Proof of Concept) を含める必要があります。テストコード、スクリプト、詳細な手順を添付してください。脆弱性の再現と検証が容易であればあるほど、報酬は高くなります。
修正の品質(修正が含まれている場合): 問題の解決方法を明確に記述したものに対して、より高い報酬が支払われます。
低
最大2,000米ドル
最大1,000ポイント
重大度
- 影響度: 低、可能性: 中
- 影響度: 中、可能性: 低
例
Medium
最大10,000米ドル
最大5,000ポイント
重大度
- 影響度: 高、可能性: 低
- 影響度: 中、可能性: 中
- 影響度: 低、可能性: 高
例
高
最大50,000米ドル
最大10,000ポイント
重大度
- 影響度: 高、可能性: 中
- 影響度: 中、可能性: 高
例
重大
最大250,000米ドル
最大25,000ポイント
重大度
- 影響度: 高、可能性: 高
例
バグハンティングのルール
バグ報奨金プログラムは、アクティブなイーサリアムコミュニティの実験的で裁量的な報酬プログラムで、プラットフォーム改善の支援者を奨励し、報酬を付与するものです。これは競争ではありません。コミュニティはいつでもプログラムをキャンセルする権利を有し、報酬はイーサリアム・ファウンデーションバグ報奨金パネルの独自の裁量により決められます。加えて、制裁対象者または制裁対象国(北朝鮮、イランなど)の個人に対して、報酬を出すことはできません。現地の法律により、身元の証明を求めることが義務付けられています。税金はすべて、プログラムの参加者が負担するものとし、報酬は適用法の対象となります。最後に、テストはすべての適用法に準拠して行う必要があり、自分自身のものではないデータを侵害せずに、ローカルで実行するテストネット上でテストする必要があります。
- POCがない問題、すでに他のユーザーによって提出されている問題、または仕様やクライアント管理者が既知のバグは、報酬の対象にはなりません。
- 事前に合意を得ないで脆弱性を公開したり、他の当事者に報告した場合は、報奨金の対象外となります。
- 報奨金プログラム主催者内にあるイーサリアム・ファウンデーションまたはクライアントチームの従業員および委託者は、ポイントが付与されるプログラムのみに参加することができ、金銭的な報酬を受け取ることはありません。
- イーサリアム報奨金プログラムは、報酬を決定する際に数点を考慮します。 資格、スコア、報酬に関するすべての条件の決定は、イーサリアム・ファウンデーションバグ報奨金パネルの独自かつ最終的な裁量に委ねられています。
実行レイヤーのバグ報奨金リーダーボード
実行レイヤーのバグを見つけてリーダーボードに入賞
- 12
- 14
- 53
コンセンサスレイヤのバグ報奨金リーダーボード
コンセンサスレイヤーのバグを見つけてリーダーボードに入賞
- 5In place number 5 with 10000 pointsscio10000 ポイント
- 15
よくある質問
質問がありますか?
メールでのお問い合わせ: bounty@ethereum.org(opens in a new tab)