メインコンテンツへスキップ

受け付け中

バグ報奨プログラム

イーサリアムネットワークに悪影響を与えるプロトコル、クライアント、Solidityのバグを発見して、最大25万ドルを獲得し、リーダーボードに名前を載せましょう。

バグを投稿(opens in a new tab)ルールを読む
リーダーボードをすべて表示

報奨金があるクライアント

対象範囲

私たちのバグ報奨金プログラムは、プロトコルの健全性(ブロックチェーンのコンセンサスモデル、ワイヤーやピアツーピアプロトコル、プルーフ・オブ・ステークなど)やプロトコル/実装のコンプライアンスからネットワークセキュリティやコンセンサスの完全性まで、エンドツーエンドを対象としています。典型的なクライアントのセキュリティや、暗号論的プリミティブのセキュリティもプログラムの一部です。疑問点がある場合は、bounty@ethereum.orgまでメールにてお問い合わせください。バグの開示および脆弱性を直接bounty@ethereum.org(opens in a new tab)に提出することができます。この場合、私たちのPGPキー(opens in a new tab)を使ってメッセージを暗号化することをお願いしています。

仕様のバグ

イーサリアムの仕様には、実行レイヤとコンセンサスレイヤの設計根拠が詳述されています。

コンセンサスレイヤ仕様(opens in a new tab)
実行レイヤ仕様(opens in a new tab)

バグの種類

  • 安全性/ファイナリティ・ブレイクバグ
  • サービス拒否(DOS)ベクトル
  • 誠実なバリデータがスラッシングされる状況など、前提条件における矛盾
  • 計算またはパラメータの不一致

クライアントのバグ

クライアントはイーサリアムネットワークを実行し、仕様に定められたロジックに従い、潜在的な攻撃から保護する必要があります。探し出したいバグは、プロトコルの実装に関連するものです。

現在、実行レイヤクライアント (Besu、Erigon、Geth、Nethermind、Reth) およびコンセンサスレイヤクライアント (Lighthouse、Lodestar、Nimbus、Teku、Prysm) がバグ報奨金プログラムに含まれています。監査が完了し、プロダクションレディの状態になれば、さらに多くのクライアントが追加される可能性があります。

バグの種類

  • 仕様不適合の問題
  • 予期しないクラッシュ、RCEまたはサービス拒否(DOS)攻撃の脆弱性
  • ネットワークに対して修復できないコンセンサスの分裂を引き起こす問題

Solidityのバグ

このスコープに含まれることの詳細については、Solidity SECURITY.MDを参照してください。

Solidityは、信頼されていない入力のコンパイルに関してセキュリティを保証しません。Solcコンパイラが悪意を持って生成されたデータでクラッシュした場合には報酬は支払われません。

デポジットコントラクトのバグ

ビーコンチェーンのデポジットコントラクトの仕様とソースコードは、バグ報奨金プログラムの対象です。

依存関係のバグ

特定の依存関係はイーサリアムネットワークの機能にとって重要であり、その一部はバグ報奨金プログラムに追加されています。現在、バグ報奨金プログラムに含まれている依存関係のリストには、C-KZG-4844およびGo-KZG-4844が含まれています。

対象範囲外

バグ報奨金プログラムの対象となるのは、「対象範囲」に記載されているもののみです。つまり、例えばウェブページ、DNS、メールなどのインフラは報奨の対象外となります。ERC20コントラクトのバグは、通常、報奨の対象には含まれません。ただし、そのような場合、イーサリアム・ファウンデーションは、作者や取引所など、影響を受ける関係者への働きかけを支援します。ENSはENSファウンデーションによって管理されており、報酬範囲には含まれていません。JSON-RPCや Beacon APIなどの公開する必要があるAPIの脆弱性は、バグ報奨金プログラムの対象外です。

バグを投稿

有効なバグを発見するごとに、報酬を獲得することができます。獲得できる報酬料は、深刻度によって異なります。深刻度は、イーサリアムネットワークへの影響度と可能性に基づくOWASPリスク評価モデルに従って計算されます。 OWASPメソッドを表示(opens in a new tab)

また、EFは以下に基づいて報酬を付与します。

記述の質: 明瞭で良く書かれた投稿には、より高い報酬が支払われます。

再現性の質: 報酬の対象となるには、POC (Proof of Concept) を含める必要があります。テストコード、スクリプト、詳細な手順を添付してください。脆弱性の再現と検証が容易であればあるほど、報酬は高くなります。

修正の品質(修正が含まれている場合): 問題の解決方法を明確に記述したものに対して、より高い報酬が支払われます。

最大2,000米ドル

最大2,000米ドル

最大1,000ポイント

重大度

  • 影響度: 低、可能性: 中
  • 影響度: 中、可能性: 低

バリデータの100件のアテステーションごとに、攻撃者が1件ドロップさせる状態にすることができる脆弱性
低リスクのバグを送信(opens in a new tab)
最大10,000米ドル

Medium

最大10,000米ドル

最大5,000ポイント

重大度

  • 影響度: 高、可能性: 低
  • 影響度: 中、可能性: 中
  • 影響度: 低、可能性: 高

攻撃者が4バイト先頭のゼロを持つピアIDを持つノードに対してエクリプス攻撃を成功させることができる脆弱性
中リスクのバグを送信(opens in a new tab)
最大50,000米ドル

最大50,000米ドル

最大10,000ポイント

重大度

  • 影響度: 高、可能性: 中
  • 影響度: 中、可能性: 高

攻撃者がネットワークの大部分をパーティションでき、脆弱性を容易に引き起こせる。
高リスクのバグを送信(opens in a new tab)
最大250,000米ドル

重大

最大250,000米ドル

最大25,000ポイント

重大度

  • 影響度: 高、可能性: 高

攻撃者がマジョリティクライアントでリモートコードを実行でき、脆弱性を容易に引き起こせる。
重大リスクのバグを送信(opens in a new tab)

バグハンティングのルール

バグ報奨金プログラムは、アクティブなイーサリアムコミュニティの実験的で裁量的な報酬プログラムで、プラットフォーム改善の支援者を奨励し、報酬を付与するものです。これは競争ではありません。コミュニティはいつでもプログラムをキャンセルする権利を有し、報酬はイーサリアム・ファウンデーションバグ報奨金パネルの独自の裁量により決められます。加えて、制裁対象者または制裁対象国(北朝鮮、イランなど)の個人に対して、報酬を出すことはできません。現地の法律により、身元の証明を求めることが義務付けられています。税金はすべて、プログラムの参加者が負担するものとし、報酬は適用法の対象となります。最後に、テストはすべての適用法に準拠して行う必要があり、自分自身のものではないデータを侵害せずに、ローカルで実行するテストネット上でテストする必要があります。

  • POCがない問題、すでに他のユーザーによって提出されている問題、または仕様やクライアント管理者が既知のバグは、報酬の対象にはなりません。
  • 事前に合意を得ないで脆弱性を公開したり、他の当事者に報告した場合は、報奨金の対象外となります。
  • 報奨金プログラム主催者内にあるイーサリアム・ファウンデーションまたはクライアントチームの従業員および委託者は、ポイントが付与されるプログラムのみに参加することができ、金銭的な報酬を受け取ることはありません。
  • イーサリアム報奨金プログラムは、報酬を決定する際に数点を考慮します。 資格、スコア、報酬に関するすべての条件の決定は、イーサリアム・ファウンデーションバグ報奨金パネルの独自かつ最終的な裁量に委ねられています。

実行レイヤーのバグ報奨金リーダーボード

実行レイヤーのバグを見つけてリーダーボードに入賞

コンセンサスレイヤのバグ報奨金リーダーボード

コンセンサスレイヤーのバグを見つけてリーダーボードに入賞

よくある質問

質問がありますか?

メールでのお問い合わせ: bounty@ethereum.org(opens in a new tab)

このページは役に立ちましたか?