Pular para o conteúdo principal

Aberto para envios

Programa de Recompensas por Bugs 

Ganhe até 1.000.000 USD e um lugar na tabela de classificação encontrando bugs de protocolo, cliente e compilador de linguagem que afetam a rede Ethereum.

Enviar um bug (opens in a new tab)Ler regras
Ver tabelas de classificação completas

Clientes incluídos nas recompensas

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

No escopo

Nosso programa de recompensas por bugs abrange de ponta a ponta: desde a solidez dos protocolos (como o modelo de consenso da blockchain, os protocolos de rede e ponto a ponto, Prova de Participação (PoS), etc.) e conformidade de protocolo/implementação até a segurança da rede e integridade do consenso. A segurança clássica do cliente, bem como a segurança de primitivas criptográficas, também fazem parte do programa. Todas as divulgações de bugs e envios de vulnerabilidades devem ser feitos através do nosso formulário de envio de bugs (opens in a new tab).

Bugs de especificação

As especificações do Ethereum detalham a lógica de design para a camada de execução e a camada de consenso.

Pode ser útil conferir as seguintes anotações:

Tipos de bugs

  • Bugs que quebram a segurança/finalidade
  • Vetores de negação de serviço (DOS)
  • Inconsistências em suposições, como situações em que validadores honestos podem sofrer penalização
  • Inconsistências de cálculo ou parâmetro

Documentos de especificação

Beacon Chain (opens in a new tab)
Escolha de bifurcação (opens in a new tab)
Contrato de depósito em Solidity (opens in a new tab)
Rede ponto a ponto (opens in a new tab)

Bugs de clientes

Os clientes executam a rede Ethereum e precisam seguir a lógica estabelecida na especificação e ser seguros contra possíveis ataques. Os bugs que queremos encontrar estão relacionados à implementação do protocolo.

Atualmente, os clientes da camada de execução (Besu, o Erigon, Go Ethereum (Geth), o Nethermind e Reth) e os clientes da camada de consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) estão incluídos no Programa de Recompensas por Bugs.

Tipos de bugs

  • Problemas de não conformidade com a especificação
  • Falhas inesperadas, RCE ou vulnerabilidades de negação de serviço (DOS)
  • Quaisquer problemas que causem divisões irreparáveis de consenso do resto da rede

Links úteis

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Bugs de compilador de linguagem

Os compiladores Solidity e Vyper estão no escopo do programa de recompensas por bugs. Inclua todos os detalhes necessários para reproduzir a vulnerabilidade, como: programa de entrada que aciona o bug, versão do compilador afetada, versão da EVM de destino, framework/IDE (se aplicável), ambiente de execução/cliente da EVM (se aplicável) e sistema operacional. Inclua as etapas para reproduzir o bug que você encontrou com o máximo de detalhes possível.

Solidity e Vyper não possuem garantias de segurança em relação à compilação de entradas não confiáveis – e não emitimos recompensas por falhas do compilador em dados gerados maliciosamente.

Links úteis

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Bugs do contrato de depósito

As especificações e o código-fonte do contrato de depósito da Beacon Chain fazem parte do programa de recompensas por bugs.

Links úteis

Bugs de dependência

Certas dependências são cruciais para o funcionamento da rede Ethereum, e algumas delas foram adicionadas ao programa de recompensas por bugs. Atualmente, a lista de dependências incluídas no programa de recompensas por bugs são C-KZG-4844 e Go-KZG-4844.

Links úteis

Fora do escopo

Apenas os alvos listados no escopo fazem parte do Programa de Recompensas por Bugs. As vulnerabilidades que NÃO se qualificam no programa incluem:

  • Bugs de infraestrutura — como páginas da web, dns, e-mail, etc.*
  • Bugs de contrato ERC-20*
  • Bugs do Ethereum Naming Service (ENS) (mantido pela fundação ENS)
  • Vulnerabilidades que exigem que o usuário tenha exposto publicamente uma API, como JSON-RPC ou a API do Beacon
  • A EngineAPI é considerada confiável e não deve ser exposta publicamente
  • Erros tipográficos
  • Testes
  • Ataques DoS de par único de alto esforço (sustentados, intensivos em CPU ou largura de banda e/ou que exigem mais de 1 pacote ou transação onchain)
  • Quaisquer problemas conhecidos publicamente (inclui postagens em fóruns, PRs, problemas no GitHub, commits, postagens em blogs, mensagens públicas no Discord, etc.)
  • Qualquer coisa que atualmente não tenha um impacto direto na Rede Principal do Ethereum.

*Estes não estão incluídos, no entanto, às vezes podemos ajudar a entrar em contato com as partes afetadas

Regras de caça a bugs

O programa de recompensas por bugs é um programa de recompensas experimental e discricionário para nossa comunidade ativa do Ethereum, a fim de incentivar e recompensar aqueles que estão ajudando a melhorar a plataforma. Não é uma competição. Você deve saber que podemos cancelar o programa a qualquer momento, e as recompensas ficam a critério exclusivo do painel de recompensas por bugs da Fundação Ethereum. Além disso, não podemos emitir recompensas para indivíduos que estão em listas de sanções ou que estão em países em listas de sanções (por exemplo, Coreia do Norte, Irã, etc.). As leis locais exigem que solicitemos prova de sua identidade. Você é responsável por todos os impostos. Todas as recompensas estão sujeitas à lei aplicável. Por fim, seus testes não devem violar nenhuma lei ou comprometer nenhum dado que não seja seu e devem ocorrer em redes de teste (testnets) em execução local.

  1. 1Problemas sem uma prova de conceito (POC) ou que já foram enviados por outro usuário ou já são conhecidos pelos mantenedores da especificação e do cliente não são elegíveis para recompensas.
  2. 2A divulgação pública de uma vulnerabilidade ou o relato a terceiros sem acordo prévio a torna inelegível para uma recompensa.
  3. 3Funcionários e prestadores de serviços da Fundação Ethereum, beneficiários de subsídios da Fundação Ethereum ou equipes de clientes no escopo do programa de recompensas podem participar do programa apenas no acúmulo de pontos e não receberão recompensas monetárias.
  4. 4O programa de recompensas do Ethereum considera várias variáveis na determinação das recompensas. As determinações de elegibilidade, pontuação e todos os termos relacionados a uma recompensa ficam a critério exclusivo e final do painel de recompensas por bugs da Fundação Ethereum.

Qualificações de gravidade de vulnerabilidade

A gravidade é avaliada com base na capacidade única de cada vulnerabilidade descoberta de fazer o seguinte:

Baixa gravidade
  • Penalizar >0,01% dos validadores
  • Causar trivialmente divisões de rede afetando >0,01% da rede
  • Ser capaz de derrubar >0,01% da rede enviando um único pacote de rede ou uma transação onchain
Média gravidade
  • Penalizar >1% dos validadores
  • Causar trivialmente divisões de rede afetando >5% da rede
  • Ser capaz de derrubar >5% da rede enviando um único pacote de rede ou uma transação onchain
Alta gravidade
  • Penalizar >33% dos validadores
  • Causar trivialmente divisões de rede afetando >33% da rede
  • Ser capaz de derrubar >33% da rede enviando uma única transação onchain
Gravidade crítica
  • Penalizar >50% dos validadores
  • Explorar um EIP/especificação ou bug de cliente para facilmente criar uma quantidade infinita de ETH que é finalizado pela rede
  • Roubar ETH de todas as EOAs
  • Queimar ETH de todas as EOAs
  • Derrubar toda a rede enviando uma única transação onchain maliciosa que acaba travando todos os clientes

Enviar um bug

Até 2.000 USD

Baixo

Até 2.000 USD

Até 1.000 pontos

Enviar bug de baixo risco (opens in a new tab)
Até 10.000 USD

Médio

Até 10.000 USD

Até 5.000 pontos

Enviar bug de médio risco (opens in a new tab)
Até 50.000 USD

Alto

Até 50.000 USD

Até 10.000 pontos

Enviar bug de alto risco (opens in a new tab)
Até 1.000.000 USD

Crítico

Até 1.000.000 USD

Até 25.000 pontos

Enviar bug de risco crítico (opens in a new tab)

Tabela de classificação de recompensas por bugs da camada de execução

Encontre bugs da camada de execução para ser adicionado a esta tabela de classificação

Tabela de classificação de recompensas por bugs da camada de consenso

Encontre bugs da camada de consenso para ser adicionado a esta tabela de classificação

Perguntas frequentes

Atualmente não há data de término definida. Veja o blog da Fundação Ethereum (opens in a new tab) para as últimas notícias.

As recompensas são pagas em ETH ou DAI após a validação do envio, geralmente alguns dias depois. As leis locais exigem que solicitemos prova de sua identidade. Além disso, precisaremos do seu endereço ETH.

Podemos doar sua recompensa para uma organização de caridade estabelecida de sua escolha.

Nosso objetivo é responder aos envios o mais rápido possível. Devido ao aumento de envios por IA, aguarde até uma semana para respondermos ao seu envio.

O envio anonimamente ou com um pseudônimo é aceito, mas o tornará inelegível para recompensas em ETH/DAI. Para ser elegível para recompensas em ETH/DAI, exigimos que seu nome verdadeiro e uma prova de sua identidade sejam enviados, criptografados usando PGP em nosso site de entrega seguro, para nossa equipe jurídica na Fundação Ethereum, que são os únicos revisores da documentação. Doar sua recompensa para uma instituição de caridade não exige sua identidade.

Informe-nos se não quiser que seu nome/apelido seja exibido na tabela de classificação.

Cada vulnerabilidade/problema encontrado recebe uma pontuação. Os caçadores de recompensas são classificados em nossa tabela de classificação pelo total de pontos.