Aberto para inscrições
Clientes em destaque nas recompensas









Bugs válidos
Este programa de recompensa por encontrar bugs visa achar erros na especificação do núcleo da camada de consenso da Beacon Chain e nas implementações dos clientes Lighthouse, Nimbus, Teku e Prysm.
Bugs na especificação da Beacon Chain
A especificação da Beacon Chain detalha a lógica por trás do design e sugeriu mudanças para o Ethereum através de um upgrade dela.
Execution Layer Specifications
Pode ser útil conferir as seguintes anotações:
Tipos de bugs
- Bugs de quebra de segurança/finalidade
- Vetores de negação de serviço (DOS)
- Inconsistências em suposições, como situações em que validadores honestos podem ser eliminados
- Inconsistências de cálculo ou de parâmetros
Documentos da especificação
Bugs nos clientes da camada de consenso
Os clientes executarão a Beacon Chain quando o upgrade for implantado. Os clientes terão de seguir a lógica estabelecida na especificação e estar protegidos contra potenciais ataques. Os bugs que buscamos estão relacionados com as implementações do protocolo.
Somente bugs da Lighthouse, Nimbus, Prysm e Teku estão atualmente elegíveis para esta recompensa. Mais clientes serão adicionados à medida que completarem auditorias e ficarem prontos para entrar em produção.
Tipos de bugs
- Problemas de não conformidade de especificação
- Falhas inesperadas ou vulnerabilidades de negação de serviço (DOS)
- Quaisquer questões que provoquem divisões irreparáveis de consenso do resto da rede
Solidity bugs
See the Solidity SECURITY.MD for more details about what is included in this scope.
Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.
Links úteis
SECURITY.mdDeposit Contract bugs
The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
Não incluído
A fusão e as melhorias na cadeia de fragmentos estão ainda em processo de desenvolvimento e não fazem parte do programa de recompensas.
Enviar um bug
Você será recompensado com pontos por cada bug que encontrar. Os pontos que você ganhar dependem da gravidade do problema. A Fundação Ethereum (EF) determina a gravidade usando o método OWASP. Visualizar método OWASP
A FE também atribuirá pontos com base em:
Qualidade da descrição: recompensas maiores são pagas para envios claros e bem-escritos.
Qualidade da reprodutibilidade: inclua código de teste, scripts e instruções detalhadas. Quanto mais fácil for para nós reproduzir e verificar a vulnerabilidade, maior será a recompensa.
Qualidade da correção, se incluída: recompensas maiores são pagas por envios que contenham uma descrição clara de como corrigir o problema.
Baixo
Até 2.000 DAI
Até 1.000 pontos
Gravidade
- Impacto baixo, probabilidade media
- Impacto médio, probabilidade baixa
Exemplo
Médio
Até 10.000 DAI
Até 5.000 pontos
Gravidade
- Impacto alto, probabilidade baixa
- Impacto médio, probabilidade média
- Impacto baixo, probabilidade alta
Exemplo
Alto
Até 20.000 DAI
Até 10.000 pontos
Gravidade
- Impacto alto, probabilidade média
- Impacto médio, probabilidade alta
Exemplo
Crítico
Até 50.000 DAI
Até 25.000 pontos
Gravidade
- Alto impacto, alta probabilidade
Exemplo
Regras de caça a bugs
O programa de recompensas pela detecção de bugs é um programa de recompensas experimental e discricionário para a nossa comunidade ativa no Ethereum, para incentivar e recompensar aqueles que estão ajudando a melhorar a plataforma. Não se trata de uma competição. Você deve saber que podemos cancelar o programa a qualquer momento e que os prêmios ficam exclusivamente a critério do painel de caça a bugs da Fundação Ethereum. Além disso, não podemos conceder prêmios a indivíduos que se encontram em listas de sanções ou que se encontram em países em listas de sanções (por exemplo, Coreia do Norte, Irã etc). Você é responsável por todos os impostos. Todos os prêmios estão sujeitos à lei aplicável. Finalmente, o seu teste não deve violar nenhuma lei ou comprometer quaisquer dados que não sejam seus.
- Problemas que já foram enviados por outro usuário ou que já são conhecidos por mantenedores de especificações e de clientes não são elegíveis para o programa de recompensas.
- A divulgação pública de uma vulnerabilidade a torna inelegível para uma recompensa.
- Os pesquisadores da Fundação Ethereum e os funcionários das equipes dos clientes da camada de consenso não são elegíveis para recompensas.
- O programa de recompensas de Ethereum considera um número de variáveis na determinação de recompensas. Determinações de elegibilidade, pontuação e todos os termos relacionados a um prêmio são a critério único e final do painel de recompensas da Fundação Ethereum.
Execution Layer Bug Bounty leaderboard
Find execution layer bugs to get added to this leaderboard




















































Placar de caça a bugs
Encontre bugs na camada de consenso para serem adicionados a esta tabela de classificação














Perguntas frequentes
What should a good vulnerability submission look like?
See a real example of a quality vulnerability submission.
Is the bug bounty program is time limited?
No.
How are bounties paid out?
Rewards are paid out in ETH or DAI.
Can I donate my reward to charity?
Yes!
I reported an issue / vulnerability but have not received a response!
Please allow a few days for someone to respond to your submission.
I want to be anonymous / I do not want my name on the leader board.
You can do this, but it might make you ineligble for rewards.
What are the points in the leaderboard?
Every found vulnerability / issue is assigned a score
Do you have a PGP key?
Yes. Expand for details.
Perguntas?
Envie-nos um e-mail: bounty@ethereum.org