Naar hoofdinhoud gaan

Help deze pagina te vertalen

🌏

Je bekijkt deze pagina in het Engels omdat we hem nog niet hebben vertaald. Help ons deze inhoud te vertalen.

Pagina vertalen

Geen bugs hier!🐛

Deze pagina wordt niet vertaald. We hebben deze pagina voorlopig bewust in het Engels laten staan.

Open voor inzendingen

Beloningen voor bugs in de consensuslaag 🐛
Verdien tot $ 50.000 USD en een plaats op het leaderboard door het vinden van bugs in protocollen en clients van de consensuslaag.
Dien een bug inLees de regels
1
protolambda GitHub avatar
protolambda
42400 punten
🏆
2
guidovranken GitHub avatar
Guido Vranken
39350 punten
🥈
3
holiman GitHub avatar
Martin Holst Swende
38000 punten
🥉
4
samczsun GitHub avatar
Sam Sun
35000 punten
5
chainsecurity GitHub avatar
ChainSecurity
21000 punten
Bekijk het volledige leaderboard

Clients uitgelicht in de premies

Geldige bugs

Dit bug bounty-programma is gericht op het vinden van bugs in de Beacon Chain-specificatie van de kernconsensuslaag en de Lighthouse-, Nimbus-, Teku- en Prysm-client-implementaties.

📒

Bugs in de Beacon Chain-specificaties

De specificatie van de Beacon Chain beschrijft de grondgedachte van het ontwerp en de voorgestelde wijzigingen aan Ethereum via de Beacon Chain-upgrade.

Lees alle specificaties
Execution Layer Specifications

Het kan nuttig zijn om de volgende aantekeningen te bekijken:

Typen bugs

  • Bugs die de veiligheid/finaliteit breken
  • Denial of service (DOS)-vectors
  • Inconsistenties in veronderstellingen, zoals situaties waar eerlijke validators kunnen worden gereduceerd
  • Berekenings- of parameterinconsistenties

Specificatiedocumenten

Beacon Chain
Fork-keuze
Solidity-stortingscontract
Peer-to-peer netwerkverbindingen
💻

Bugs in consensuslaag-client

De clients zullen de Beacon Chain uitvoeren zodra de upgrade is geïmplementeerd. Clients moeten de logica van de specificatie volgen en beveiligd zijn tegen mogelijke aanvallen. De bugs die we willen vinden zijn in verband met de tenuitvoerlegging van het protocol.

Momenteel komen Lighthouse-, Nimbus-, Teku- en Prysm-bugs in aanmerking voor de volledige beloning. Lodestar komt ook in aanmerking, maar tot verdere audits voltooid zijn, zijn de punten en beloningen beperkt tot 10% (maximale uitbetaling is 5.000 DAI). Er kunnen meer clients worden toegevoegd naarmate ze audits afronden en productie-klaar worden.

Typen bugs

  • Problemen van niet-naleving in verband met specificaties
  • Onverwachte crashes of 'Denial of Service' (DOS)-kwetsbaarheden
  • Problemen die leiden tot onherstelbare consensussplitsingen van de rest van het netwerk

Nuttige links

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Nuttige links

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Niet inbegrepen

De merge and shardketen-upgrades zijn nog in actieve ontwikkeling en zijn dus nog niet opgenomen als onderdeel van dit beloningsprogramma.

Dien een bug in

Voor elke bug die u vindt krijgt u punten toegekend. De punten die u verdient zijn afhankelijk van de ernst van de bug. Lodestar-bugs krijgen momenteel 10% van de hieronder vermelde punten toegekend, terwijl aanvullende audits voltooid gaan worden. De Ethereum Foundation (EF) bepaalt de ernst met de OWASP-methode. Bekijk de OWASP-methode

De EF zal ook punten toekennen op basis van:

Kwaliteit van de beschrijving: Hogere beloningen worden betaald voor duidelijke, goed geschreven inzendingen.

Kwaliteit van de reproduceerbaarheid: voeg testcode, scripts en gedetailleerde instructies toe. Hoe makkelijker het is voor ons om de kwetsbaarheid te reproduceren en te verifiëren, hoe hoger de beloning.

Kwaliteit van de correctie, indien inbegrepen: hogere beloningen worden betaald voor inzendingen met een duidelijke beschrijving van hoe het probleem op te lossen.

Tot 2.000 DAI

Laag

Tot 2.000 DAI

Tot 1.000 punten

Ernst

  • Lage impact, gemiddelde kans
  • Gemiddelde impact, lage kans

Voorbeeld

Een aanvaller kan soms een node in een staat plaatsen die ervoor zorgt dat het een bevestiging laat vallen uit elke honderd bevestigingen die door een validator worden gemaakt
Dien een bug met laag risico in
Tot 10.000 DAI

Medium

Tot 10.000 DAI

Tot 5.000 punten

Ernst

  • Hoge impact, lage kans
  • Gemiddelde impact, gemiddelde kans
  • Lage impact, hoge kans

Voorbeeld

Een aanvaller kan succesvol eclipsaanvallen uitvoeren op nodes met peer-id's met de 4 eerste nul bytes
Dien een bug met gemiddelde risico in
Tot 20.000 DAI

Hoog

Tot 20.000 DAI

Tot 10.000 punten

Ernst

  • Hoge impact, gemiddelde kans
  • Gemiddelde impact, hoge kans

Voorbeeld

Er is sprake van een consensus-bug tussen twee clients, maar het is moeilijk of onpraktisch voor de aanvaller om de gebeurtenis te activeren.
Dien een bug met hoog risico in
Tot 50.000 DAI

Kritiek

Tot 50.000 DAI

Tot 25.000 punten

Ernst

  • Hoge impact, hoge kans

Voorbeeld

Er is sprake van een consensus-bug tussen twee clients, en het is triviaal voor de aanvaller om de gebeurtenis te activeren.
Dien een bug met kritiek risico in

Bug hunting-regels

Het bug bounty-programma is een experimenteel en discretionair beloningsprogramma voor onze actieve Ethereum-gemeenschap om degenen die helpen het platform te verbeteren te stimuleren en te belonen. Het is geen competitie. U moet weten dat we het programma op elk moment kunnen annuleren, en beloningen zijn naar eigen goeddunken van het bug bounty-paneel van de Ethereum Foundation. Bovendien kunnen we geen beloningen geven aan personen die op sanctielijsten staan of in landen op sanctielijsten staan (bijv. Noord-Korea, Iran, enz). U bent verantwoordelijk voor alle belastingen. Alle beloningen zijn onderworpen aan toepasselijk recht. Tot slot mag uw test geen enkele wet overtreden of geen gegevens in gevaar brengen die niet van u zijn.

  • Problemen die al door een andere gebruiker zijn ingediend of al bekend zijn bij de onderhouders van specificaties en clients, komen niet in aanmerking voor beloningen.
  • Openbaarmaking van een kwetsbaarheid aan het publiek zorgt ervoor dat deze niet in aanmerking komt voor een beloning.
  • Ethereum Foundation-onderzoekers en -medewerkers van de consensuslaag-clientteams komen niet in aanmerking voor beloningen.
  • Een Ethereum bounty-programma overweegt een aantal variabelen bij het bepalen van beloningen. Alleen het bug bounty-paneel van de Ethereum Foundation kan bepalingen doen over het in aanmerking komen, de score en alle voorwaarden met betrekking tot een beloning.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

1
holiman GitHub avatar
Martin Holst Swende
35500 punten
🏆
2
samczsun GitHub avatar
Sam Sun
35000 punten
🥈
3
guidovranken GitHub avatar
Guido Vranken
21750 punten
🥉
4
chainsecurity GitHub avatar
ChainSecurity
21000 punten
5
junorouse GitHub avatar
Juno Im
20500 punten
6
uknowy GitHub avatar
Yoonho Kim (team Hithereum)
20000 punten
7
johnyangk GitHub avatar
John Youngseok Yang (Software Platform Lab)
20000 punten
8
peckshield GitHub avatar
PeckShield
17000 punten
9
itsunixiknowthis GitHub avatar
ItsUnixIKnowThis
15000 punten
10
catageek GitHub avatar
Bertrand Masius
15000 punten
11
tintinweb GitHub avatar
Tin
12500 punten
12
Ralph Pichler
12500 punten
13
Bob Conan
12000 punten
14
lukaszmatczak GitHub avatar
Łukasz Matczak
11000 punten
15
Heilman/Marcus/Goldberg
10000 punten
16
jonasnick GitHub avatar
Jonas Nick
10000 punten
17
jtoman GitHub avatar
John Toman
10000 punten
18
Sebastian Henningsen
8000 punten
19
Dominic Brütsch
7500 punten
20
HarryR GitHub avatar
Harry Roberts
5000 punten
21
p- GitHub avatar
Peter Stöckli
5000 punten
22
Dedaub GitHub avatar
Neville Grech
5000 punten
23
EthHead GitHub avatar
EthHead
5000 punten
24
axic GitHub avatar
Alex Beregszaszi
3500 punten
25
SergioDemianLerner GitHub avatar
Sergio Demian Lerner
2500 punten
26
danhper GitHub avatar
Daniel Perez
2500 punten
27
yaronvel GitHub avatar
Yaron Velner
2000 punten
28
whitj00 GitHub avatar
Whit Jackson
2000 punten
29
Ming Chuan Lin
2000 punten
30
melonport GitHub avatar
Melonport team
2000 punten
31
maurelian GitHub avatar
Maurelian
2000 punten
32
Cjentzsch GitHub avatar
Christoph Jentzsch
2000 punten
33
hwanjo GitHub avatar
Hwanjo Heo
1500 punten
34
DVPNET GitHub avatar
DVP (dvpnet.io)
1200 punten
35
Vasily Vasiliev
1000 punten
36
talko GitHub avatar
talko
1000 punten
37
swaldman GitHub avatar
Steve Waldman
1000 punten
38
ptk GitHub avatar
Panu Kekäläinen
1000 punten
39
montyly GitHub avatar
Josselin Feist
1000 punten
40
henrit GitHub avatar
Henrit
1000 punten
41
BlameByte GitHub avatar
Marc Bartlett
1000 punten
42
Barry Whitehat
1000 punten
43
badmofo GitHub avatar
Lucas Ryan
1000 punten
44
agroce GitHub avatar
Alex Groce
1000 punten
45
n0thingness GitHub avatar
Daniel Briskin
750 punten
46
daenamkim GitHub avatar
Daenam Kim
750 punten
47
Myeongjae Lee
500 punten
48
Marcin Noga (Cisco/Talos Security)
500 punten
49
jazzybedi
500 punten
50
feeker GitHub avatar
Feeker - 360 ESG Codesafe Team
500 punten
51
ethernomad GitHub avatar
Jonathan Brown
500 punten
52
davidmurdoch GitHub avatar
David Murdoch
500 punten
53
wadeAlexC GitHub avatar
Alexander Wade
500 punten
54
gitpusha GitHub avatar
Luis Schliesske
200 punten

Veelgestelde vragen

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Vragen?

Stuur ons een e-mail: bounty@ethereum.org

✉️

Was deze pagina behulpzaam?

Website laatst bijgewerkt: 4 oktober 2022

Ethereum gebruiken

  • Zoek wallet
  • ETH verkrijgen
  • Gedecentraliseerde toepassingen (dapps)
  • Laag 2
  • Run een node
  • Stablecoins
  • Stake ETH

Ecosysteem

  • Community hub
  • Ethereum Foundation
  • Ethereum Foundation-blog
  • Ecosysteem Support Programma
  • Ethereum bug bounty-programma
  • Ecosysteem-subsidieprogramma's
  • Ethereum-merkcontent
  • Devcon