Aberto para inscrições
Programa de Recompensa por Bugs 
Ganhe até US$250.000 e um lugar na tabela de classificação ao encontrar bugs no protocolo, cliente e Solidity que afete a rede Ethereum.
Clientes em destaque nas recompensas
No escopo
Nosso programa de recompensas por bugs abrange de ponta a ponta: desde a solidez dos protocolos (como o modelo de consenso da cadeia de blocos, os protocolos p2p e wire, prova de participação, etc.) até a conformidade de protocolo/implementação para segurança da rede e a integridade de consenso. A segurança clássica do cliente, bem como a segurança das primitivas criptográficas, também fazem parte do programa. Em caso de dúvida, envie sua pergunta por e-mail para bounty@ethereum.org.
Especificação de bugs
As especificações do Ethereum detalham a lógica do design para a Camada de Execução e a Camada de Consenso.
Especificações da Camada de Execução(opens in a new tab)
Pode ser útil conferir as seguintes anotações:
Tipos de bugs
- Bugs de quebra de segurança/finalidade
- Vetores de negação de serviço (DOS)
- Inconsistências em suposições, como situações em que validadores honestos podem ser eliminados
- Inconsistências de cálculo ou de parâmetros
Bugs do cliente
Os clientes executam a rede Ethereum e precisam seguir a lógica estabelecida na especificação e estar seguros contra possíveis ataques. Os bugs que queremos encontrar estão relacionados à implementação do protocolo.
Atualmente, clientes da camada de execução (Besu, Erigon, Geth e Nethermind) e clientes da camada de consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) estão incluídos no programa Bug Bounty. Mais clientes podem ser adicionados à medida que completam as auditorias e ficam prontos para a produção.
Tipos de bugs
- Problemas de não conformidade de especificação
- Falhas inesperadas, vulnerabilidades RCE ou de negação de serviço (DOS)
- Quaisquer questões que provoquem divisões irreparáveis de consenso do resto da rede
Bugs do Solidity
Consulte o Solidity SECURITY.MD para obter mais detalhes sobre o que está incluído neste escopo.
O Solidity não possui garantias de segurança sobre a compilação de entradas não confiáveis – e nós não emitimos recompensas por travamentos do compilador solc em dados gerados de forma maliciosa.
Links úteis
SECURITY.md(opens in a new tab)
Falhas no contrato de depósito
As especificações e o código-fonte do Contrato de Depósito da Beacon Chain são parte do programa de recompensa de caça a bugs.
Fora do escopo
Apenas os alvos listados no escopo fazem parte do Programa Bug Bounty. Isso significa que, por exemplo, nossa infraestrutura; como páginas da web, dns, e-mail, etc., não fazem parte do escopo de recompensas. Os bugs do contrato ERC20 normalmente não estão incluídos no escopo da recompensa. No entanto, podemos ajudar a entrar em contato com as partes afetadas, como autores ou intercâmbios em tais casos. A ENS é mantida pela fundação ENS e não faz parte do escopo da recompensa. Vulnerabilidades que exigem que o usuário tenha exposto publicamente uma API, como JSON-RPC ou a API Beacon, estão fora do escopo do programa de recompensa de bugs.
Enviar um bug
Para cada bug válido que você encontrar você receberá recompensas. A quantidade de recompensas concedidas variará conforme a severidade. A severidade é calculada de acordo com o modelo de classificação de risco da OWASP com base no impacto na Rede Ethereum e na Probabilidade. Visualizar método OWASP(opens in a new tab)
O EF também fornecerá recompensas com base em:
Qualidade da descrição: recompensas maiores são pagas para envios claros e bem-escritos.
Qualidade da reprodutibilidade: Uma Prova de Conceito (POC) deve ser incluída para ser elegível para recompensas. Inclua código de teste, scripts e instruções detalhadas. Quanto mais fácil for para nós reproduzirmos e verificarmos a vulnerabilidade, maior será a recompensa.
Qualidade da correção, se incluída: recompensas maiores são pagas por envios que contenham uma descrição clara de como corrigir o problema.
Baixo
Até 2.000 dólares
Até 1.000 pontos
Gravidade
- Impacto baixo, probabilidade media
- Impacto médio, probabilidade baixa
Exemplo
Médio
Até 10.000 dólares
Até 5.000 pontos
Gravidade
- Impacto alto, probabilidade baixa
- Impacto médio, probabilidade média
- Impacto baixo, probabilidade alta
Exemplo
Alto
Até 50.000 dólares
Até 10.000 pontos
Gravidade
- Impacto alto, probabilidade média
- Impacto médio, probabilidade alta
Exemplo
Crítico
Até 250.000 dólares
Até 25.000 pontos
Gravidade
- Alto impacto, alta probabilidade
Exemplo
Regras de caça a bugs
O programa bug bounty é um programa de recompensas experimental e discricionário destinado à ativa comunidade do Ethereum, visando incentivar e recompensar aqueles que estão ajudando a melhorar a plataforma. Isso não é uma competição. É importante saber que podemos cancelar o programa a qualquer momento, e os prêmios ficam a critério exclusivo do painel de recompensa por bugs da Ethereum Foundation. Além disso, não podemos conceder prêmios a indivíduos que estejam nas listas de sanções ou que estejam em países nas listas de sanções (por exemplo, Coreia do Norte, Irã etc.). As leis locais exigem que solicitemos prova de sua identidade. Você é responsável por todos os impostos. Todos os prêmios estão sujeitos à lei aplicável. Por fim, seu teste não deve violar nenhuma lei ou comprometer quaisquer dados que não sejam seus e deve ocorrer em redes de teste locais em execução.
- Tickets sem um POC que já tenham sido submetidos por outro usuário ou que já sejam conhecidos por mantenedores de especificações e clientes não são elegíveis para o programa de recompensas.
- A divulgação pública de uma vulnerabilidade a torna inelegível para uma recompensa.
- Funcionários e contratados da Ethereum Foundation ou equipes de clientes no escopo do programa de recompensas podem participar do programa apenas no acúmulo de pontos e não receberão recompensas monetárias.
- O programa de recompensas de Ethereum considera um número de variáveis na determinação de recompensas. Determinações de elegibilidade, pontuação e todos os termos relacionados a um prêmio são a critério único e final do painel de recompensas da Fundação Ethereum.
Tabela de classificação de recompensas por bugs da camada de execução
Encontre bugs da camada de execução para ser adicionado a esta tabela de classificação
- 11In place number 11 with 13000 pointsBob Conan13000 pontos
- 13In place number 13 with 12500 pointsRalph Pichler12500 pontos
- 15
- 18
- 19
- 30
- 36
- 43
- 48
- 50In place number 50 with 500 pointsjazzybedi500 pontos
Tabela de classificação de recompensas por bugs da camada de consenso
Encontre bugs na camada de consenso para serem adicionados a esta tabela de classificação
- 5In place number 5 with 10000 pointsscio10000 pontos
- 15In place number 15 with 1750 pointsAkincibor1750 pontos
Perguntas frequentes
Perguntas?
Envie-nos um e-mail: bounty@ethereum.org(opens in a new tab)
