バウンティ対象のクライアント
対象範囲
私たちのバグバウンティ・プログラムは、プロトコルの健全性(ブロックチェーンのコンセンサスモデル、ワイヤーおよびp2pプロトコル、プルーフ・オブ・ステーク(PoS)など)やプロトコル/実装の準拠から、ネットワークのセキュリティやコンセンサスの完全性まで、エンドツーエンドに及びます。古典的なクライアントのセキュリティや暗号プリミティブのセキュリティもプログラムの一部です。すべてのバグの開示および脆弱性の報告は、バグ報告フォーム (opens in a new tab)を通じて行う必要があります。
クライアントのバグ
クライアントはイーサリアム・ネットワークを実行しており、仕様に定められたロジックに従い、潜在的な攻撃に対して安全である必要があります。私たちが発見したいバグは、プロトコルの実装に関連するものです。
現在、実行レイヤーのクライアント(ベス、エリゴン、ゲス、ネザーマインド、レス)およびコンセンサス・レイヤーのクライアント(ライトハウス、ロードスター、ニンバス、テク、プリズム)がバグバウンティ・プログラムの対象となっています。
バグの種類
- 仕様への非準拠の問題
- 予期しないクラッシュ、RCE、またはサービス拒否(DoS)の脆弱性
- ネットワークの他の部分から修復不可能なコンセンサスの分裂を引き起こす問題
役立つリンク
言語コンパイラのバグ
SolidityおよびVyperのコンパイラは、バグバウンティ・プログラムの対象です。バグを引き起こす入力プログラム、影響を受けるコンパイラのバージョン、ターゲットとなるEVMのバージョン、該当する場合はフレームワーク/IDE、該当する場合はEVM実行環境/クライアント、およびオペレーティングシステムなど、脆弱性を再現するために必要なすべての詳細を含めてください。発見したバグを再現する手順をできるだけ詳細に記載してください。
SolidityおよびVyperは、信頼できない入力のコンパイルに関するセキュリティ保証を持っていません。また、悪意を持って生成されたデータによるコンパイラのクラッシュに対しては報酬を発行しません。
役立つリンク
脆弱性の深刻度の基準
深刻度は、発見された各脆弱性が以下の事象を引き起こす固有の能力に基づいて評価されます。
バグを報告する
実行レイヤーのバグバウンティ・リーダーボード
実行レイヤーのバグを発見して、このリーダーボードに掲載されましょう
コンセンサス・レイヤーのバグバウンティ・リーダーボード
コンセンサス・レイヤーのバグを発見して、このリーダーボードに掲載されましょう
よくある質問
匿名または仮名での提出は可能ですが、ETH/DAIの報酬の対象外となります。ETH/DAIの報酬を受け取るには、本名と身分証明書を、当社の安全なドロップウェブサイト上でPGPを使用して暗号化し、イーサリアム財団の法務チーム(文書の唯一の審査担当)に送信していただく必要があります。報奨金を慈善団体に寄付する場合は、身元を明かす必要はありません。
リーダーボードに名前やニックネームを表示したくない場合は、お知らせください。