Programa de recompensas para caçar bugs na camada de consenso

Aberto para inscrições

Recompensas por bugs encontrados na camada de consenso

Ganhe até US$ 50.000 e um lugar na tabela de classificação encontrando bugs no protocolo da camada de consenso e dos clientes.

Enviar um bug Leia as regras

Veja o placar completo

Clientes em destaque nas recompensas

Bugs válidos

Este programa de recompensa por encontrar bugs visa achar erros na especificação do núcleo da camada de consenso da Beacon Chain e nas implementações dos clientes Lighthouse, Nimbus, Teku e Prysm.

Bugs na especificação da Beacon Chain

A especificação da Beacon Chain detalha a lógica por trás do design e sugeriu mudanças para o Ethereum através de um upgrade dela.

Leia a especificação completa
Execution Layer Specifications

Pode ser útil conferir as seguintes anotações:

Tipos de bugs

Bugs de quebra de segurança/finalidade
Vetores de negação de serviço (DOS)
Inconsistências em suposições, como situações em que validadores honestos podem ser eliminados
Inconsistências de cálculo ou de parâmetros

Documentos da especificação

Beacon Chain

Escolha do fork

Contrato de depósito da Solidity

Rede peer-to-peer

Bugs nos clientes da camada de consenso

Os clientes executarão a Beacon Chain quando o upgrade for implantado. Os clientes terão de seguir a lógica estabelecida na especificação e estar protegidos contra potenciais ataques. Os bugs que buscamos estão relacionados com as implementações do protocolo.

Somente bugs da Lighthouse, Nimbus, Prysm e Teku estão atualmente elegíveis para esta recompensa. Mais clientes serão adicionados à medida que completarem auditorias e ficarem prontos para entrar em produção.

Tipos de bugs

Problemas de não conformidade de especificação
Falhas inesperadas ou vulnerabilidades de negação de serviço (DOS)
Quaisquer questões que provoquem divisões irreparáveis de consenso do resto da rede

Links úteis

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Links úteis

SECURITY.md

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Links úteis

Deposit Contract Specifications
Deposit Contract Source Code

Não incluído

A fusão e as melhorias na cadeia de fragmentos estão ainda em processo de desenvolvimento e não fazem parte do programa de recompensas.

Enviar um bug

Você será recompensado com pontos por cada bug que encontrar. Os pontos que você ganhar dependem da gravidade do problema. A Fundação Ethereum (EF) determina a gravidade usando o método OWASP. Visualizar método OWASP

A FE também atribuirá pontos com base em:

Qualidade da descrição: recompensas maiores são pagas para envios claros e bem-escritos.

Qualidade da reprodutibilidade: inclua código de teste, scripts e instruções detalhadas. Quanto mais fácil for para nós reproduzir e verificar a vulnerabilidade, maior será a recompensa.

Qualidade da correção, se incluída: recompensas maiores são pagas por envios que contenham uma descrição clara de como corrigir o problema.

Até 2.000 DAI

Baixo

Até 2.000 DAI

Até 1.000 pontos

Gravidade

Impacto baixo, probabilidade media
Impacto médio, probabilidade baixa

Exemplo

O invasor pode, às vezes, colocar um nó em um estado que faz com que ele exclua uma em cada cem comprovações feitas por um validador

Envie um bug de risco baixo

Até 10.000 DAI

Médio

Até 10.000 DAI

Até 5.000 pontos

Gravidade

Impacto alto, probabilidade baixa
Impacto médio, probabilidade média
Impacto baixo, probabilidade alta

Exemplo

O invasor pode conduzir ataques de eclipse em nós com pares de ids com 4 bytes com zeros à esquerda

Envie um bug de risco médio

Até 20.000 DAI

Alto

Até 20.000 DAI

Até 10.000 pontos

Gravidade

Impacto alto, probabilidade média
Impacto médio, probabilidade alta

Exemplo

Há um bug de consenso entre dois clientes, mas é difícil ou impraticável para o invasor desencadear o evento.

Envie um bug de risco alto

Até 50.000 DAI

Crítico

Até 50.000 DAI

Até 25.000 pontos

Gravidade

Alto impacto, alta probabilidade

Exemplo

Há um bug de consenso entre dois clientes e é simples para um invasor desencadear o evento.

Envie um bug de risco crítico

Regras de caça a bugs

O programa de recompensas pela detecção de bugs é um programa de recompensas experimental e discricionário para a nossa comunidade ativa no Ethereum, para incentivar e recompensar aqueles que estão ajudando a melhorar a plataforma. Não se trata de uma competição. Você deve saber que podemos cancelar o programa a qualquer momento e que os prêmios ficam exclusivamente a critério do painel de caça a bugs da Fundação Ethereum. Além disso, não podemos conceder prêmios a indivíduos que se encontram em listas de sanções ou que se encontram em países em listas de sanções (por exemplo, Coreia do Norte, Irã etc). Você é responsável por todos os impostos. Todos os prêmios estão sujeitos à lei aplicável. Finalmente, o seu teste não deve violar nenhuma lei ou comprometer quaisquer dados que não sejam seus.

Problemas que já foram enviados por outro usuário ou que já são conhecidos por mantenedores de especificações e de clientes não são elegíveis para o programa de recompensas.
A divulgação pública de uma vulnerabilidade a torna inelegível para uma recompensa.
Os pesquisadores da Fundação Ethereum e os funcionários das equipes dos clientes da camada de consenso não são elegíveis para recompensas.
O programa de recompensas de Ethereum considera um número de variáveis na determinação de recompensas. Determinações de elegibilidade, pontuação e todos os termos relacionados a um prêmio são a critério único e final do painel de recompensas da Fundação Ethereum.