Ajude a traduzir esta página

🌏

Você está visualizando esta página em inglês porque ainda não foi traduzida. Ajude-nos a traduzir o conteúdo.

Nenhum bug encontrado!🐛

Por enquanto, esta página permanecerá em inglês.

Aberto para inscrições

Recompensas por bugs encontrados na camada de consenso 🐛
Ganhe até US$ 50.000 e um lugar na tabela de classificação encontrando bugs no protocolo da camada de consenso e dos clientes.

Clientes em destaque nas recompensas

Bugs válidos

Este programa de recompensa por encontrar bugs visa achar erros na especificação do núcleo da camada de consenso da Beacon Chain e nas implementações dos clientes Lighthouse, Nimbus, Teku e Prysm.

📒

Bugs na especificação da Beacon Chain

A especificação da Beacon Chain detalha a lógica por trás do design e sugeriu mudanças para o Ethereum através de um upgrade dela.

Leia a especificação completa
Execution Layer Specifications

Tipos de bugs

  • Bugs de quebra de segurança/finalidade
  • Vetores de negação de serviço (DOS)
  • Inconsistências em suposições, como situações em que validadores honestos podem ser eliminados
  • Inconsistências de cálculo ou de parâmetros
💻

Bugs nos clientes da camada de consenso

Os clientes executarão a Beacon Chain quando o upgrade for implantado. Os clientes terão de seguir a lógica estabelecida na especificação e estar protegidos contra potenciais ataques. Os bugs que buscamos estão relacionados com as implementações do protocolo.

Somente bugs da Lighthouse, Nimbus, Prysm e Teku estão atualmente elegíveis para esta recompensa. Mais clientes serão adicionados à medida que completarem auditorias e ficarem prontos para entrar em produção.

Tipos de bugs

  • Problemas de não conformidade de especificação
  • Falhas inesperadas ou vulnerabilidades de negação de serviço (DOS)
  • Quaisquer questões que provoquem divisões irreparáveis de consenso do resto da rede

Links úteis

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Links úteis

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Não incluído

A fusão e as melhorias na cadeia de fragmentos estão ainda em processo de desenvolvimento e não fazem parte do programa de recompensas.

Enviar um bug

Você será recompensado com pontos por cada bug que encontrar. Os pontos que você ganhar dependem da gravidade do problema. A Fundação Ethereum (EF) determina a gravidade usando o método OWASP. Visualizar método OWASP

A FE também atribuirá pontos com base em:

Qualidade da descrição: recompensas maiores são pagas para envios claros e bem-escritos.

Qualidade da reprodutibilidade: inclua código de teste, scripts e instruções detalhadas. Quanto mais fácil for para nós reproduzir e verificar a vulnerabilidade, maior será a recompensa.

Qualidade da correção, se incluída: recompensas maiores são pagas por envios que contenham uma descrição clara de como corrigir o problema.

Até 2.000 DAI

Baixo

Até 2.000 DAI

Até 1.000 pontos

Gravidade

  • Impacto baixo, probabilidade media
  • Impacto médio, probabilidade baixa

Exemplo

O invasor pode, às vezes, colocar um nó em um estado que faz com que ele exclua uma em cada cem comprovações feitas por um validador
Envie um bug de risco baixo
Até 10.000 DAI

Médio

Até 10.000 DAI

Até 5.000 pontos

Gravidade

  • Impacto alto, probabilidade baixa
  • Impacto médio, probabilidade média
  • Impacto baixo, probabilidade alta

Exemplo

O invasor pode conduzir ataques de eclipse em nós com pares de ids com 4 bytes com zeros à esquerda
Envie um bug de risco médio
Até 20.000 DAI

Alto

Até 20.000 DAI

Até 10.000 pontos

Gravidade

  • Impacto alto, probabilidade média
  • Impacto médio, probabilidade alta

Exemplo

Há um bug de consenso entre dois clientes, mas é difícil ou impraticável para o invasor desencadear o evento.
Envie um bug de risco alto
Até 50.000 DAI

Crítico

Até 50.000 DAI

Até 25.000 pontos

Gravidade

  • Alto impacto, alta probabilidade

Exemplo

Há um bug de consenso entre dois clientes e é simples para um invasor desencadear o evento.
Envie um bug de risco crítico

Regras de caça a bugs

O programa de recompensas pela detecção de bugs é um programa de recompensas experimental e discricionário para a nossa comunidade ativa no Ethereum, para incentivar e recompensar aqueles que estão ajudando a melhorar a plataforma. Não se trata de uma competição. Você deve saber que podemos cancelar o programa a qualquer momento e que os prêmios ficam exclusivamente a critério do painel de caça a bugs da Fundação Ethereum. Além disso, não podemos conceder prêmios a indivíduos que se encontram em listas de sanções ou que se encontram em países em listas de sanções (por exemplo, Coreia do Norte, Irã etc). Você é responsável por todos os impostos. Todos os prêmios estão sujeitos à lei aplicável. Finalmente, o seu teste não deve violar nenhuma lei ou comprometer quaisquer dados que não sejam seus.

  • Problemas que já foram enviados por outro usuário ou que já são conhecidos por mantenedores de especificações e de clientes não são elegíveis para o programa de recompensas.
  • A divulgação pública de uma vulnerabilidade a torna inelegível para uma recompensa.
  • Os pesquisadores da Fundação Ethereum e os funcionários das equipes dos clientes da camada de consenso não são elegíveis para recompensas.
  • O programa de recompensas de Ethereum considera um número de variáveis na determinação de recompensas. Determinações de elegibilidade, pontuação e todos os termos relacionados a um prêmio são a critério único e final do painel de recompensas da Fundação Ethereum.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Perguntas frequentes

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Perguntas?

Envie-nos um e-mail: bounty@ethereum.org

✉️

Was this page helpful?