Salt la conținutul principal

Deschis pentru rapoarte

Program de recompense pentru identificarea vulnerabilităților

Câștigă până la 250.000 USD și un loc în clasament prin identificarea de vulnerabilități ale protocolului, clientului și Solidity care afectează rețeaua Ethereum.

Semnalează un bug(opens in a new tab)Citește regulile
Consultă clasamentul complet

Clienți incluși în recompense

Domeniul

Programul nostru de recompense pentru identificarea vulnerabilităților se desfășoară de la un capăt la celălalt: de la sănătatea protocoalelor (precum modelul de consens blockchain, protocoalele prin fir și p2p, dovada mizei, etc.) și conformitatea protocolului/implementării până la securitatea rețelei și integritatea consensului. Securitatea clientului clasic și securitatea primitivelor criptografice fac parte, de asemenea, din program. Dacă ai dubii, trimite un e-mail la bounty@ethereum.org cu întrebări.

Erori de specificații

Specificațiile Ethereum detaliază justificarea pentru stratul de execuție și stratul de consens.

Specificațiile stratului de consens(opens in a new tab)
Specificațiile stratului de execuție(opens in a new tab)

Ar putea să îți servească următoarele adnotări:

Tipuri de bug-uri

  • Bug-uri de securitate/spargere a finalității
  • Vectori de refuz al serviciului (DOS)
  • Inconsecvențele în prezumții, cum ar fi situațiile în care validatorii cinstiți pot fi penalizați financiar
  • Inconsecvențele de calcul sau de parametri

Documentele cu specificații

Bug-uri de clienți

Clienții execută Rețeaua Ethereum și trebuie să urmeze logica stabilită în specificații și să fie securizați împotriva atacurilor potențiale. Erorile pe care dorim să le găsim sunt legate de implementarea protocolului.

În prezent, clienții stratului de execuție (Besu, Erigon, Geth și Nethermind) și clienții stratului de consens (Lighthouse, Lodestar, Nimbus, teku și Prysm) sunt incluși în programul Recompensă pentru depistarea disfuncționalităților. Pot fi adăugați mai mulți clienți pe măsură ce trec de audituri și devin gata de lansare.

Tipuri de bug-uri

  • Probleme de neconformitate cu specificațiile
  • Blocări neașteptate, RCS sau vulnerabilități refuz al serviciului (DOS)
  • Orice probleme care provoacă diviziuni ireparabile ale consensului de restul rețelei

Erori Solidity

Consultă fișierul SECURITY.MD Solidity pentru mai multe detalii despre ce este inclus în acest domeniu.

Solidity nu dispune de garanții de securitate cu privire la compilarea intrărilor care nu sunt fiabile și nu vom emite recompense pentru blocările compilatorului solc pentru datele generate cu rea intenție.

Erori ale contractului de depunere

Specificațiile și codul sursă al Contactului de depunere Lanț Beacon face parte din programul de recompense pentru interceptarea disfuncționalităților.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

În afara domeniului de aplicare

Numai obiectivele enumerate în cadrul domeniului de aplicare fac parte din programul de recompense pentru depistarea disfuncționalităților. Aceasta înseamnă că, de exemplu, infrastructura noastră, precum paginile web, dns, e-mailul etc., nu fac parte din domeniul de aplicare a recompenselor. Cu toate acestea, putem ajuta la contactarea părților afectate, precum autori sau schimburi. ENS este întreținut de fundația ENS și nu face parte din programul de recompense.

Semnalează un bug

Vei primi recompense pentru fiecare vulnerabilitate pe care o identifici. Cantitatea recompenselor acordate va varia în funcție de Severitate. Severitatea este calculată conform modelului de evaluare a riscurilor OWASP, bazat pe impactul asupra Rețelei Ethereum și pe probabilitate. Vezi metoda OWASP(opens in a new tab)

De asemenea, EF va oferi recompense pe baza:

Calitatea descrierii: se plătesc recompense mai mari pentru rapoartele clare, bine scrise.

Calitatea reproductibilității: o dovadă de concept (POC) care trebuie inclusă pentru a fi eligibil pentru recomepnse. Include codul testului, scripturi și instrucțiuni detaliate. Cu cât ne va fi mai ușor să reproducem și să verificăm vulnerabilitatea, cu atât mai mare va fi recompensa.

Calitatea remedierii, dacă este inclusă: se plătesc recompense mai mari pentru rapoartele ce descriu clar cum se remediază problema.

Până la 2.000 USD

Scăzut

Până la 2.000 USD

Până la 1.000 de puncte

Gravitate

  • Impact redus, probabilitate medie
  • Impact mediu, probabilitate mică

Exemplu

Atacatorul poate pune uneori un nod într-o stare care îl determină să invalideze câte una la fiecare o sută de atestări efectuate de un validator
Semnalează un bug de risc scăzut(opens in a new tab)
Până la 10.000 USD

Mediu

Până la 10.000 USD

Până la 5.000 de puncte

Gravitate

  • Impact mare, probabilitate mică
  • Impact mediu, probabilitate medie
  • Impact redus, probabilitate mare

Exemplu

Atacatorul poate efectua cu succes atacuri eclipsă asupra nodurilor cu peer-id-uri cu 4 octeți de bază zero
Semnalează un bug de risc mediu(opens in a new tab)
Până la 50.000 USD

Ridicat

Până la 50.000 USD

Până la 10.000 de puncte

Gravitate

  • Impact mare, probabilitate medie
  • Impact mediu, probabilitate mare

Exemplu

Atacatorul poate realiza cu succes partiții de rețea majore și este fără interes pentru un atacator să declanșeze vulnerabilitatea
Semnalează un bug cu risc ridicat(opens in a new tab)
Până la 250.000 USD

Critic

Până la 250.000 USD

Până la 25.000 de puncte

Gravitate

  • Impact mare, probabilitate ridicată

Exemplu

Atacatorul poate efectua rularea codului de la distanță într-un client cu majoritate și este banal pentru un atacator să declanșeze vulnerabilitatea
Semnalează un bug de risc critic(opens in a new tab)

Regulile pentru vânătoarea de bug-uri

Programul de interceptare a disfuncționalităților este un program de recompense experimental și discreționar pentru comunitatea noastră Ethereum activă, pentru a încuraja și recompensa pe cei care ajută la îmbunătățirea platformei. Nu este un concurs. Trebuie să știi că putem anula programul în orice moment și recompensele sunt la discreția exclusivă a panoului de recompense pentru erori al Fundației Ethereum. În plus, nu ptem emite recompense pentru cei care se află pe liste cu sancțiuni sau care se află în țări aflate pe liste cu sancțiuni (de exemplu Koreea de Nord, Iran, etc.). Legile locale ne impun să cerem dovada identității. Sunteți responsabili de plata tuturor taxelor. Toate recompensele sunt supuse legii aplicabile. În cele din urmă, testele nu trebuie să încalce legi și nu trebuie să compromită date care nu vă aparțin și trebuie efectuate pe rețele de testare locale.

  • Problemele fără un POC sau care au fost deja raportate de alt utilizator sau care sunt deja cunoscute de cei care întrețin specificațiile și clienții nu sunt eligibile pentru recompense privind disfuncționalitățile.
  • Dezvăluirea publică a unei vulnerabilități o face neeligibilă pentru recompensă.
  • Angajații și contractorii Fundației Ethereum sau echipele de clienți din cadrul programului de recompense pot participa la program numai prin acumularea de puncte și nu vor primi recompense monetare.
  • Programul de recompense Ethereum ia în considerare o serie de variabile la stabilirea recompenselor. Stabilirea eligibilității, a punctajului și a tuturor condițiilor legate de un premiu sunt la discreția unică și finală a comisiei de recompense pentru găsirea bug-urilor a Fundației Ethereum.

Clasamentul recompenselor pentru depistarea disfuncționalităților în stratul de execuție

Găsește disfuncționalități în stratul de execuție pentru a intra în clasament

Clasamentul recompenselor pentru depistarea disfuncționalităților în stratul de consens

Găsește bug-uri la nivelul de consens pentru a intra în clasament

Întrebări frecvente

Ai întrebări?

Trimiteți-ne un e-mail: bounty@ethereum.org(opens in a new tab)

A fost utilă această pagină?