報奨金があるクライアント









有効なバグ
このバグ報奨金プログラムは、コンセンサスレイヤーのコアとなるビーコンチェーン仕様とLighthouse、Nimbus、Teku、Prysm、Lodestarのクライアント実装のバグの検出に焦点をあてています。
ビーコンチェーン仕様のバグ
ビーコンチェーンの仕様には、ビーコンチェーンのアップグレードによるイーサリアムの変更提案とその理論的根拠が詳細に記述されています。
Execution Layer Specifications
以下の注釈を確認すると有用です:
バグの種類
- 安全性/ファイナリティ・ブレイクバグ
- サービス拒否(DOS)ベクトル
- 誠実なバリデータがスラッシングされる状況など、前提条件における矛盾
- 計算またはパラメータの不一致
コンセンサスレイヤークライアントのバグ
アップグレードがデプロイされると、クライアントはビーコンチェーンを実行します。クライアントは仕様で定められたロジックに従う必要があり、潜在的な攻撃に対してセキュアである必要があります。検出したいと考えているバグは、プロトコルの実装に関連したものです。
現在、Lighthouse、Nimbus、Teku、Prysmのバグは、報奨金(全額)の対象です。Lodestarも対象ですが、追加監査が完了するまでは、ポイントと報酬は10%に制限されます(最大支払額は5,000 DAI)。監査が完了し、本番稼動が可能になるにつれ、さらにクライアントが追加される場合があります。
バグの種類
- 仕様不適合の問題
- 予期せぬクラッシュ、またはサービス拒否(DoS)攻撃への脆弱性
- ネットワークに対して修復できないコンセンサスの分裂を引き起こす問題
Solidity bugs
See the Solidity SECURITY.MD for more details about what is included in this scope.
Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.
参考リンク
SECURITY.mdDeposit Contract bugs
The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
対象外
マージとシャードチェーンのアップグレードは開発中のため、この報奨金プログラムの対象ではありません。
バグを投稿
バグを1つ発見するごとに、ポイントが加算されます。獲得できるポイントは、バグの重大度により異なります。Lodestarのバグは、現在、追加監査が進行中であるため、以下の10%のポイントが付与されます。イーサリアム財団(EF)は、OWASP方式で重大度を決定します。 OWASPメソッドを表示
また、イーサリアム財団(EF)は以下に基づいてポイントを付与します:
記述の品質: 明瞭で良く書かれた投稿には、より高い報酬が支払われます。
再現性の品質: テストコード、スクリプト、詳細な手順を記載してください。再現と脆弱性の検証が容易であるほど、報酬は高くなります。
修正の品質(修正が含まれている場合): 問題の解決方法を明確に記述したものに対して、より高い報酬が支払われます。
低
最大2,000 DAI
最大1,000ポイント
重大度
- 影響度: 低、可能性: 中
- 影響度: 中、可能性: 低
例
中
最大10,000 DAI
最大5,000ポイント
重大度
- 影響度: 高、可能性: 低
- 影響度: 中、可能性: 中
- 影響度: 低、可能性: 高
例
高
最大20,000 DAI
最大10,000ポイント
重大度
- 影響度: 高、可能性: 中
- 影響度: 中、可能性: 高
例
重大
最大50,000 DAI
最大25,000ポイント
重大度
- 影響度: 高、可能性: 高
例
バグハンティングのルール
バグ報奨金プログラムは、アクティブなイーサリアムコミュニティの実験的で裁量的な報酬プログラムで、プラットフォーム改善の支援者を奨励し、報酬を付与するものです。これは競争ではありません。コミュニティはいつでもプログラムをキャンセル権利を有し、報酬はイーサリアム財団バグ報奨金パネルの独自の裁量により決められます。加えて、制裁対象者または制裁対象国(北朝鮮、イランなど)の個人に対して、報酬を出すことはできません。税金はすべて、プログラムの参加者が負担するものとし、報酬は適用法の対象となります。最後に、テストはすべての適用法に準拠して行う必要があり、自分自身のものではないデータを侵害してはいけません。
- すでに他のユーザーによって提出されている問題、または仕様やクライアント管理者が既知のバグは、報奨金の対象にはなりません。
- 脆弱性を公開すると、報奨金の対象になりません。
- イーサリアム財団の研究者、およびコンセンサスレイヤークライアントチームの従業員は、報酬を受け取ることはできません。
- イーサリアム報奨金プログラムは、報酬を決定する際に数点を考慮します。 資格、スコア、報酬に関するすべての条件の決定は、イーサリアム財団バグ報奨金パネルの独自かつ最終的な裁量に委ねられています。
Execution Layer Bug Bounty leaderboard
Find execution layer bugs to get added to this leaderboard




















































バグハンティング・リーダーボード
コンセンサスレイヤーのバグを見つけてリーダーボードに入賞














よくある質問
What should a good vulnerability submission look like?
See a real example of a quality vulnerability submission.
Is the bug bounty program is time limited?
No.
How are bounties paid out?
Rewards are paid out in ETH or DAI.
Can I donate my reward to charity?
Yes!
I reported an issue / vulnerability but have not received a response!
Please allow a few days for someone to respond to your submission.
I want to be anonymous / I do not want my name on the leader board.
You can do this, but it might make you ineligble for rewards.
What are the points in the leaderboard?
Every found vulnerability / issue is assigned a score
Do you have a PGP key?
Yes. Expand for details.
ご質問
メールでのお問い合わせ: bounty@ethereum.org