Aberto para inscrições
Clientes em destaque nas recompensas
Bugs válidos
Este programa de recompensa por encontrar bugs visa achar erros na especificação do núcleo da camada de consenso da Beacon Chain e nas implementações dos clientes Lighthouse, Nimbus, Teku e Prysm.
Bugs na especificação da Beacon Chain
A especificação da Beacon Chain detalha a lógica por trás do design e sugeriu mudanças para o Ethereum através de um upgrade dela.
Execution Layer Specifications
Pode ser útil conferir as seguintes anotações:
Tipos de bugs
- Bugs de quebra de segurança/finalidade
- Vetores de negação de serviço (DOS)
- Inconsistências em suposições, como situações em que validadores honestos podem ser eliminados
- Inconsistências de cálculo ou de parâmetros
Documentos da especificação
Bugs nos clientes da camada de consenso
Os clientes executarão a Beacon Chain quando o upgrade for implantado. Os clientes terão de seguir a lógica estabelecida na especificação e estar protegidos contra potenciais ataques. Os bugs que buscamos estão relacionados com as implementações do protocolo.
Somente bugs da Lighthouse, Nimbus, Prysm e Teku estão atualmente elegíveis para esta recompensa. Mais clientes serão adicionados à medida que completarem auditorias e ficarem prontos para entrar em produção.
Tipos de bugs
- Problemas de não conformidade de especificação
- Falhas inesperadas ou vulnerabilidades de negação de serviço (DOS)
- Quaisquer questões que provoquem divisões irreparáveis de consenso do resto da rede
Links úteis
Solidity bugs
See the Solidity SECURITY.MD for more details about what is included in this scope.
Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.
Links úteis
SECURITY.md
Deposit Contract bugs
The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
Não incluído
A fusão e as melhorias na cadeia de fragmentos estão ainda em processo de desenvolvimento e não fazem parte do programa de recompensas.
Enviar um bug
Você será recompensado com pontos por cada bug que encontrar. Os pontos que você ganhar dependem da gravidade do problema. A Fundação Ethereum (EF) determina a gravidade usando o método OWASP. Visualizar método OWASP
A FE também atribuirá pontos com base em:
Qualidade da descrição: recompensas maiores são pagas para envios claros e bem-escritos.
Qualidade da reprodutibilidade: inclua código de teste, scripts e instruções detalhadas. Quanto mais fácil for para nós reproduzir e verificar a vulnerabilidade, maior será a recompensa.
Qualidade da correção, se incluída: recompensas maiores são pagas por envios que contenham uma descrição clara de como corrigir o problema.
Baixo
Até 2.000 DAI
Até 1.000 pontos
Gravidade
- Impacto baixo, probabilidade media
- Impacto médio, probabilidade baixa
Exemplo
Médio
Até 10.000 DAI
Até 5.000 pontos
Gravidade
- Impacto alto, probabilidade baixa
- Impacto médio, probabilidade média
- Impacto baixo, probabilidade alta
Exemplo
Alto
Até 20.000 DAI
Até 10.000 pontos
Gravidade
- Impacto alto, probabilidade média
- Impacto médio, probabilidade alta
Exemplo
Crítico
Até 50.000 DAI
Até 25.000 pontos
Gravidade
- Alto impacto, alta probabilidade
Exemplo
Regras de caça a bugs
O programa de recompensas pela detecção de bugs é um programa de recompensas experimental e discricionário para a nossa comunidade ativa no Ethereum, para incentivar e recompensar aqueles que estão ajudando a melhorar a plataforma. Não se trata de uma competição. Você deve saber que podemos cancelar o programa a qualquer momento e que os prêmios ficam exclusivamente a critério do painel de caça a bugs da Fundação Ethereum. Além disso, não podemos conceder prêmios a indivíduos que se encontram em listas de sanções ou que se encontram em países em listas de sanções (por exemplo, Coreia do Norte, Irã etc). Você é responsável por todos os impostos. Todos os prêmios estão sujeitos à lei aplicável. Finalmente, o seu teste não deve violar nenhuma lei ou comprometer quaisquer dados que não sejam seus.
- Problemas que já foram enviados por outro usuário ou que já são conhecidos por mantenedores de especificações e de clientes não são elegíveis para o programa de recompensas.
- A divulgação pública de uma vulnerabilidade a torna inelegível para uma recompensa.
- Os pesquisadores da Fundação Ethereum e os funcionários das equipes dos clientes da camada de consenso não são elegíveis para recompensas.
- O programa de recompensas de Ethereum considera um número de variáveis na determinação de recompensas. Determinações de elegibilidade, pontuação e todos os termos relacionados a um prêmio são a critério único e final do painel de recompensas da Fundação Ethereum.
Execution Layer Bug Bounty leaderboard
Find execution layer bugs to get added to this leaderboard
- 11In place number 11 with 13000 pointsBob Conan13000 pontos
- 13In place number 13 with 12500 pointsRalph Pichler12500 pontos
- 15
- 18
- 19
- 29
- 35
- 42
- 47
- 49In place number 49 with 500 pointsjazzybedi500 pontos
Placar de caça a bugs
Encontre bugs na camada de consenso para serem adicionados a esta tabela de classificação
- 13In place number 13 with 1750 pointsAkincibor1750 pontos
Perguntas frequentes
Perguntas?
Envie-nos um e-mail: bounty@ethereum.org
