Przejdź do głównej treści

Otwarte na zgłoszenia

Program Bug Bounty 

Zdobądź do 1 000 000 USD i miejsce w tabeli wyników, znajdując błędy w protokole, klientach i kompilatorach języków wpływające na sieć Ethereum.

Zgłoś błąd (opens in a new tab)Przeczytaj zasady
Zobacz pełne tabele wyników

Klienci uwzględnieni w programie nagród

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

W zakresie

Nasz program Bug Bounty obejmuje wszystko od początku do końca: od solidności protokołów (takich jak model konsensusu blockchain, protokoły sieciowe i peer-to-peer, dowód stawki (PoS) itp.) i zgodności protokołu/implementacji po bezpieczeństwo sieci i integralność konsensusu. Klasyczne bezpieczeństwo klientów, a także bezpieczeństwo prymitywów kryptograficznych są również częścią programu. Wszystkie ujawnienia błędów i zgłoszenia podatności muszą być dokonywane za pośrednictwem naszego formularza zgłaszania błędów (opens in a new tab).

Błędy w specyfikacji

Specyfikacje Ethereum szczegółowo opisują uzasadnienie projektowe dla warstwy wykonawczej i warstwy konsensusu.

Warto zapoznać się z poniższymi adnotacjami:

Rodzaje błędów

  • Błędy naruszające bezpieczeństwo/ostateczność
  • Wektory odmowy usługi (DOS)
  • Niespójności w założeniach, takie jak sytuacje, w których uczciwi walidatorzy mogą zostać ścięci
  • Niespójności w obliczeniach lub parametrach

Dokumenty specyfikacji

Beacon Chain (opens in a new tab)
Wybór rozwidlenia (opens in a new tab)
Kontrakt depozytowy Solidity (opens in a new tab)
Sieć peer-to-peer (opens in a new tab)

Błędy w klientach

Klienci obsługują sieć Ethereum i muszą postępować zgodnie z logiką określoną w specyfikacji oraz być bezpieczni przed potencjalnymi atakami. Błędy, które chcemy znaleźć, są związane z implementacją protokołu.

Obecnie klienci warstwy wykonawczej (Besu, Erigon, Geth, Nethermind i Reth) oraz klienci warstwy konsensusu (Lighthouse, Lodestar, Nimbus, Teku i Prysm) są objęci programem Bug Bounty.

Rodzaje błędów

  • Problemy z niezgodnością ze specyfikacją
  • Nieoczekiwane awarie, podatności RCE lub odmowa usługi (DOS)
  • Wszelkie problemy powodujące nieodwracalne rozłamy konsensusu od reszty sieci

Przydatne linki

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Błędy w kompilatorach języków

Kompilatory Solidity i Vyper są objęte programem Bug Bounty. Prosimy o podanie wszystkich szczegółów niezbędnych do odtworzenia podatności, takich jak: program wejściowy wyzwalający błąd, wersja kompilatora, której dotyczy problem, docelowa wersja EVM, framework/IDE (jeśli dotyczy), środowisko wykonawcze EVM/klient (jeśli dotyczy) oraz system operacyjny. Prosimy o jak najbardziej szczegółowe opisanie kroków niezbędnych do odtworzenia znalezionego błędu.

Solidity i Vyper nie dają gwarancji bezpieczeństwa w zakresie kompilacji niezaufanych danych wejściowych – nie przyznajemy nagród za awarie kompilatora spowodowane złośliwie wygenerowanymi danymi.

Przydatne linki

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Błędy w kontrakcie depozytowym

Specyfikacje i kod źródłowy kontraktu depozytowego Beacon Chain są częścią programu Bug Bounty.

Przydatne linki

Błędy w zależnościach

Niektóre zależności są kluczowe dla funkcjonowania sieci Ethereum, a część z nich została dodana do programu Bug Bounty. Obecnie lista zależności objętych programem Bug Bounty obejmuje C-KZG-4844 i Go-KZG-4844.

Przydatne linki

Poza zakresem

Tylko cele wymienione w sekcji „W zakresie” są częścią programu Bug Bounty. Podatności, które NIE kwalifikują się do programu, obejmują:

  • Błędy infrastruktury — takie jak strony internetowe, DNS, e-mail itp.*
  • Błędy w kontraktach ERC-20*
  • Błędy w Ethereum Naming Service (ENS) (utrzymywanym przez fundację ENS)
  • Luki wymagające od użytkownika publicznego udostępnienia API, takiego jak JSON-RPC lub Beacon API
  • EngineAPI jest uważane za zaufane i nie powinno być publicznie udostępniane
  • Błędy typograficzne
  • Testy
  • Wymagające dużego wysiłku (długotrwałe, obciążające procesor lub przepustowość i/lub wymagające więcej niż 1 pakietu lub transakcji onchain) ataki DoS na pojedynczy węzeł równorzędny
  • Wszelkie publicznie znane problemy (w tym posty na forach, PR-y, zgłoszenia na GitHubie, commity, wpisy na blogach, publiczne wiadomości na Discordzie itp.)
  • Wszystko, co obecnie nie ma bezpośredniego wpływu na sieć główną Ethereum.

*Te elementy nie są objęte programem, jednak czasami możemy pomóc w skontaktowaniu się z poszkodowanymi stronami

Zasady szukania błędów

Program Bug Bounty to eksperymentalny i uznaniowy program nagród dla naszej aktywnej społeczności Ethereum, mający na celu zachęcenie i nagrodzenie tych, którzy pomagają ulepszać platformę. To nie są zawody. Należy pamiętać, że możemy anulować program w dowolnym momencie, a nagrody są przyznawane według wyłącznego uznania panelu Bug Bounty Fundacji Ethereum. Ponadto nie jesteśmy w stanie przyznawać nagród osobom znajdującym się na listach sankcyjnych lub przebywającym w krajach objętych sankcjami (np. Korea Północna, Iran itp.). Lokalne przepisy wymagają od nas poproszenia o dowód tożsamości. Użytkownik ponosi odpowiedzialność za wszystkie podatki. Wszystkie nagrody podlegają obowiązującemu prawu. Wreszcie, testy nie mogą naruszać żadnego prawa ani narażać na szwank żadnych danych, które nie należą do Ciebie, i muszą odbywać się w lokalnie uruchomionych sieciach testowych.

  1. 1Problemy bez weryfikacji koncepcji (POC), zgłoszone już przez innego użytkownika lub znane już opiekunom specyfikacji i klientów nie kwalifikują się do nagród.
  2. 2Publiczne ujawnienie podatności lub zgłoszenie jej innym stronom bez uprzedniej zgody powoduje utratę prawa do nagrody.
  3. 3Pracownicy i wykonawcy Fundacji Ethereum, stypendyści Fundacji Ethereum lub zespoły klientów objęte programem nagród mogą uczestniczyć w programie wyłącznie w celu gromadzenia punktów i nie otrzymają nagród pieniężnych.
  4. 4Program nagród Ethereum bierze pod uwagę wiele zmiennych przy ustalaniu nagród. Ustalenie kwalifikowalności, punktacji i wszystkich warunków związanych z nagrodą leży w wyłącznej i ostatecznej gestii panelu Bug Bounty Fundacji Ethereum.

Kwalifikacje wagi luki w zabezpieczeniach

Waga jest oceniana na podstawie unikalnej zdolności każdej odkrytej luki do wykonania następujących czynności:

Niska waga
  • Poddać cięciu >0.01% walidatorów
  • W trywialny sposób spowodować podziały sieci wpływające na >0.01% sieci
  • Wyłączyć >0.01% sieci poprzez wysłanie pojedynczego pakietu sieciowego lub transakcji onchain
Średnia waga
  • Poddać cięciu >1% walidatorów
  • W trywialny sposób spowodować podziały sieci wpływające na >5% sieci
  • Wyłączyć >5% sieci poprzez wysłanie pojedynczego pakietu sieciowego lub transakcji onchain
Wysoka waga
  • Poddać cięciu >33% walidatorów
  • W trywialny sposób spowodować podziały sieci wpływające na >33% sieci
  • Wyłączyć >33% sieci poprzez wysłanie pojedynczej transakcji onchain
Krytyczna waga
  • Poddać cięciu >50% walidatorów
  • Wykorzystać błąd w EIP/specyfikacji lub kliencie, aby łatwo stworzyć nieskończoną ilość ETH, co zostaje sfinalizowane przez sieć
  • Ukraść ETH ze wszystkich kont EOA
  • Spalić ETH ze wszystkich kont EOA
  • Wyłączyć całą sieć poprzez wysłanie pojedynczej złośliwej transakcji onchain, która doprowadzi do awarii wszystkich klientów

Zgłoś błąd

Do 2000 USD

Niskie

Do 2000 USD

Do 1000 punktów

Zgłoś błąd o niskim ryzyku (opens in a new tab)
Do 10 000 USD

Średnie

Do 10 000 USD

Do 5000 punktów

Zgłoś błąd o średnim ryzyku (opens in a new tab)
Do 50 000 USD

Wysokie

Do 50 000 USD

Do 10 000 punktów

Zgłoś błąd o wysokim ryzyku (opens in a new tab)
Do 1 000 000 USD

Krytyczne

Do 1 000 000 USD

Do 25 000 punktów

Zgłoś błąd o krytycznym ryzyku (opens in a new tab)

Tabela wyników Bug Bounty warstwy wykonawczej

Znajdź błędy w warstwie wykonawczej, aby znaleźć się w tej tabeli wyników

Tabela wyników Bug Bounty warstwy konsensusu

Znajdź błędy w warstwie konsensusu, aby znaleźć się w tej tabeli wyników

Często zadawane pytania

Obecnie nie ustalono daty końcowej. Najnowsze informacje znajdziesz na blogu Fundacji Ethereum (opens in a new tab).

Nagrody są wypłacane w ETH lub DAI po zweryfikowaniu zgłoszenia, zazwyczaj kilka dni później. Lokalne przepisy wymagają od nas poproszenia o dowód tożsamości. Ponadto będziemy potrzebować Twojego adresu ETH.

Możemy przekazać Twoją nagrodę wybranej przez Ciebie uznanej organizacji charytatywnej.

Staramy się odpowiadać na zgłoszenia tak szybko, jak to możliwe. Ze względu na wzrost liczby zgłoszeń generowanych przez sztuczną inteligencję, prosimy o cierpliwość – odpowiedź może zająć do tygodnia.

Zgłoszenie anonimowe lub pod pseudonimem jest w porządku, ale sprawi, że nie będziesz kwalifikować się do nagród w ETH/DAI. Aby kwalifikować się do nagród w ETH/DAI, wymagamy przesłania Twojego prawdziwego imienia i nazwiska oraz dowodu tożsamości, zaszyfrowanych za pomocą PGP na naszej bezpiecznej stronie, do naszego zespołu prawnego w Fundacji Ethereum, który jako jedyny przegląda dokumentację. Przekazanie nagrody na cele charytatywne nie wymaga podawania tożsamości.

Daj nam znać, jeśli nie chcesz, aby Twoje imię i nazwisko/pseudonim były wyświetlane w tabeli liderów.

Każdej znalezionej luce / problemowi przypisywana jest punktacja. Łowcy nagród są klasyfikowani w naszej tabeli liderów na podstawie łącznej liczby punktów.