Deschis pentru rapoarte
Program de recompense pentru identificarea vulnerabilităților
Câștigă până la 250.000 USD și un loc în clasament prin identificarea de vulnerabilități ale protocolului, clientului și Solidity care afectează rețeaua Ethereum.
Clienți incluși în recompense
Domeniul
Programul nostru de recompense pentru identificarea vulnerabilităților se desfășoară de la un capăt la celălalt: de la sănătatea protocoalelor (precum modelul de consens blockchain, protocoalele prin fir și p2p, dovada mizei, etc.) și conformitatea protocolului/implementării până la securitatea rețelei și integritatea consensului. Securitatea clientului clasic și securitatea primitivelor criptografice fac parte, de asemenea, din program. Dacă ai dubii, trimite un e-mail la bounty@ethereum.org cu întrebări.
Erori de specificații
Specificațiile Ethereum detaliază justificarea pentru stratul de execuție și stratul de consens.
Specificațiile stratului de execuție(opens in a new tab)
Ar putea să îți servească următoarele adnotări:
Tipuri de bug-uri
- Bug-uri de securitate/spargere a finalității
- Vectori de refuz al serviciului (DOS)
- Inconsecvențele în prezumții, cum ar fi situațiile în care validatorii cinstiți pot fi penalizați financiar
- Inconsecvențele de calcul sau de parametri
Bug-uri de clienți
Clienții execută Rețeaua Ethereum și trebuie să urmeze logica stabilită în specificații și să fie securizați împotriva atacurilor potențiale. Erorile pe care dorim să le găsim sunt legate de implementarea protocolului.
În prezent, clienții stratului de execuție (Besu, Erigon, Geth și Nethermind) și clienții stratului de consens (Lighthouse, Lodestar, Nimbus, teku și Prysm) sunt incluși în programul Recompensă pentru depistarea disfuncționalităților. Pot fi adăugați mai mulți clienți pe măsură ce trec de audituri și devin gata de lansare.
Tipuri de bug-uri
- Probleme de neconformitate cu specificațiile
- Blocări neașteptate, RCS sau vulnerabilități refuz al serviciului (DOS)
- Orice probleme care provoacă diviziuni ireparabile ale consensului de restul rețelei
Erori Solidity
Consultă fișierul SECURITY.MD Solidity pentru mai multe detalii despre ce este inclus în acest domeniu.
Solidity nu dispune de garanții de securitate cu privire la compilarea intrărilor care nu sunt fiabile și nu vom emite recompense pentru blocările compilatorului solc pentru datele generate cu rea intenție.
Linkuri utile
Erori ale contractului de depunere
Specificațiile și codul sursă al Contactului de depunere Lanț Beacon face parte din programul de recompense pentru interceptarea disfuncționalităților.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
În afara domeniului de aplicare
Numai obiectivele enumerate în cadrul domeniului de aplicare fac parte din programul de recompense pentru depistarea disfuncționalităților. Aceasta înseamnă că, de exemplu, infrastructura noastră, precum paginile web, dns, e-mailul etc., nu fac parte din domeniul de aplicare a recompenselor. Cu toate acestea, putem ajuta la contactarea părților afectate, precum autori sau schimburi. ENS este întreținut de fundația ENS și nu face parte din programul de recompense.
Semnalează un bug
Vei primi recompense pentru fiecare vulnerabilitate pe care o identifici. Cantitatea recompenselor acordate va varia în funcție de Severitate. Severitatea este calculată conform modelului de evaluare a riscurilor OWASP, bazat pe impactul asupra Rețelei Ethereum și pe probabilitate. Vezi metoda OWASP(opens in a new tab)
De asemenea, EF va oferi recompense pe baza:
Calitatea descrierii: se plătesc recompense mai mari pentru rapoartele clare, bine scrise.
Calitatea reproductibilității: o dovadă de concept (POC) care trebuie inclusă pentru a fi eligibil pentru recomepnse. Include codul testului, scripturi și instrucțiuni detaliate. Cu cât ne va fi mai ușor să reproducem și să verificăm vulnerabilitatea, cu atât mai mare va fi recompensa.
Calitatea remedierii, dacă este inclusă: se plătesc recompense mai mari pentru rapoartele ce descriu clar cum se remediază problema.
Scăzut
Până la 2.000 USD
Până la 1.000 de puncte
Gravitate
- Impact redus, probabilitate medie
- Impact mediu, probabilitate mică
Exemplu
Mediu
Până la 10.000 USD
Până la 5.000 de puncte
Gravitate
- Impact mare, probabilitate mică
- Impact mediu, probabilitate medie
- Impact redus, probabilitate mare
Exemplu
Ridicat
Până la 50.000 USD
Până la 10.000 de puncte
Gravitate
- Impact mare, probabilitate medie
- Impact mediu, probabilitate mare
Exemplu
Critic
Până la 250.000 USD
Până la 25.000 de puncte
Gravitate
- Impact mare, probabilitate ridicată
Exemplu
Regulile pentru vânătoarea de bug-uri
Programul de interceptare a disfuncționalităților este un program de recompense experimental și discreționar pentru comunitatea noastră Ethereum activă, pentru a încuraja și recompensa pe cei care ajută la îmbunătățirea platformei. Nu este un concurs. Trebuie să știi că putem anula programul în orice moment și recompensele sunt la discreția exclusivă a panoului de recompense pentru erori al Fundației Ethereum. În plus, nu ptem emite recompense pentru cei care se află pe liste cu sancțiuni sau care se află în țări aflate pe liste cu sancțiuni (de exemplu Koreea de Nord, Iran, etc.). Legile locale ne impun să cerem dovada identității. Sunteți responsabili de plata tuturor taxelor. Toate recompensele sunt supuse legii aplicabile. În cele din urmă, testele nu trebuie să încalce legi și nu trebuie să compromită date care nu vă aparțin și trebuie efectuate pe rețele de testare locale.
- Problemele fără un POC sau care au fost deja raportate de alt utilizator sau care sunt deja cunoscute de cei care întrețin specificațiile și clienții nu sunt eligibile pentru recompense privind disfuncționalitățile.
- Dezvăluirea publică a unei vulnerabilități o face neeligibilă pentru recompensă.
- Angajații și contractorii Fundației Ethereum sau echipele de clienți din cadrul programului de recompense pot participa la program numai prin acumularea de puncte și nu vor primi recompense monetare.
- Programul de recompense Ethereum ia în considerare o serie de variabile la stabilirea recompenselor. Stabilirea eligibilității, a punctajului și a tuturor condițiilor legate de un premiu sunt la discreția unică și finală a comisiei de recompense pentru găsirea bug-urilor a Fundației Ethereum.
Clasamentul recompenselor pentru depistarea disfuncționalităților în stratul de execuție
Găsește disfuncționalități în stratul de execuție pentru a intra în clasament
- 4In place number 4 with 31000 pointsnrv (@nervoir)31000 puncte
- 12In place number 12 with 13000 pointsBob Conan13000 puncte
- 14In place number 14 with 12500 pointsRalph Pichler12500 puncte
- 16
- 19
- 20
- 32
- 39
- 46
- 51
- 53In place number 53 with 500 pointsjazzybedi500 puncte
Clasamentul recompenselor pentru depistarea disfuncționalităților în stratul de consens
Găsește bug-uri la nivelul de consens pentru a intra în clasament
- 5In place number 5 with 10000 pointsscio10000 puncte
- 16In place number 16 with 1750 pointsAkincibor1750 puncte
Întrebări frecvente
Ai întrebări?
Trimiteți-ne un e-mail: bounty@ethereum.org(opens in a new tab)