Перейти к основному содержанию

Сообщения принимаются

Программа вознаграждения за выявление ошибок

Заработайте до 250 000 долларов США и место в таблице лидеров, находя ошибки в протоколах, клиентах и Solidity, влияющие на работу сети Ethereum.

Сообщить об ошибке(opens in a new tab)Читать правила
Смотреть все таблицы лидеров

Клиенты, за которые можно получить награды

Охватываемый объем

Наша программа вознаграждения за ошибки охватывает все: от надежности протоколов (модель консенсуса блокчейна, протоколы Wireи P2P, доказательство доли владения и т. д.) и соответствия протокола/реализации до безопасности сети и целостности консенсуса. Классическая безопасность клиентов, а также безопасность криптографических примитивов также входят в программу. Если у вас есть сомнения, отправьте письмо на адрес bounty@ethereum.org и спросите нас. Вы также можете отправить сообщение о раскрытии информации/уязвимости непосредственно на адрес bounty@ethereum.org,(opens in a new tab) в этом случае мы просим вас зашифровать сообщение с помощью нашего PGP-ключа.(opens in a new tab)

Ошибки в спецификации

Спецификации Ethereum подробно излагают обоснование слоя выполнения и слоя консенсуса.

Спецификации слоя консенсуса(opens in a new tab)
Спецификации слоя исполнения(opens in a new tab)

Типы ошибок

  • Ошибки безопасности и финализации
  • Векторы атак типа "отказ в обслуживании" (DOS)
  • Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
  • Вычисление или несовпадение параметров

Ошибки клиента

Клиенты запускают сеть Ethereum, и они должны следовать логике, изложенной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, относятся к реализации протокола.

В настоящее время в программу Bug Bounty включены клиенты уровня исполнения (Besu, Erigon, Geth, Nethermind и Reth) и клиенты уровня консенсуса (Lighthouse, Lodestar, Nimbus, Teku и Prysm). Впоследствии могут быть добавлены новые клиенты, которые прошли аудит и готовы к развертыванию.

Типы ошибок

  • Проблемы, связанные с несоблюдением спецификации
  • Неожиданные сбои, RCE или уязвимости типа "отказ в обслуживании" (DOS)
  • Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети

Ошибки языка программирования Solidity

Более подробную информацию о том, что включено в эту область, можно найти в файле Solidity SECURITY.MD.

Solidity не содержит гарантий безопасности относительно компиляции ненадежных входных данных, и мы не даем вознаграждения за сбои компилятора solc при работе со вредоносными данными.

Ошибки депозитного контракта

Спецификации и исходный код депозитного контракта Beacon Chain являются частью программы вознаграждения за найденные баги.

Ошибки зависимостей

Определенные зависимости крайне важны для функционирования Сети Ethereum, и некоторые из них были добавлены в программу исправления ошибок. В настоящее время в список таких зависимостей входят C-KZG-4844 и Go-KZG-4844.

Исключения

Только указанные цели входят в программу вознаграждения за выявление ошибок. Это означает, что, например, наша инфраструктура (веб-страницы, DNS, электронная почта и так далее) не входит в программу вознаграждений. Ошибки контракта ERC20 являются типичными и не входят в программу вознаграждений. Однако в таких случаях мы можем помочь связаться с пострадавшими сторонами, например разработчиками или биржами. ENS поддерживается фондом ENS и не входит в программу вознаграждений.

Сообщить об ошибке

За каждую актуальную ошибку, найденную вами, вы заработаете награды. Количество присужденных наград будет изменяться в зависимости от степени серьезности. Степень серьезности вычисляется согласно модели оценки рисков OWASP, основанной на воздействии на сеть Ethereum и вероятности. Просмотреть метод OWASP(opens in a new tab)

EF также выдает награды на основе:

Качество описания: за четкие развернутые сообщения выплачиваются более высокие награды.

Качество воспроизводимости: чтобы получить награду, необходимо включить доказательство концепции (POC). Включите код проверки, сценарии и подробные инструкции. Чем легче нам будет воспроизвести и проверить уязвимость, тем выше награда.

Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.

До 2000 долл. США

Низкая

До 2000 долл. США

До 1000 баллов

Степень опасности

  • Низкое воздействие, средняя вероятность
  • Среднее воздействие, низкая вероятность

Пример контракта

Иногда злоумышленник может поместить узел в состояние, которое заставит его выбрасывать по одной из каждой сотни аттестаций, сделанных валидатором
Сообщить об ошибке низкой степени опасности(opens in a new tab)
До 10 000 долл. США

Средний

До 10 000 долл. США

До 5000 баллов

Степень опасности

  • Высокое воздействие, низкая вероятность
  • Среднее воздействие, средняя вероятность
  • Низкое воздействие, высокая вероятность

Пример контракта

Злоумышленник может успешно провести атаки затмения на узлы с идентификаторами узлов с четырьмя ведущими нулевыми байтами
Сообщить об ошибке средней степени опасности(opens in a new tab)
До 50 000 долл. США

Высокий

До 50 000 долл. США

До 10 000 баллов

Степень опасности

  • Высокое воздействие, средняя вероятность
  • Среднее воздействие, высокая вероятность

Пример контракта

Злоумышленник может успешно разделить огромные части сети, и для него не составит труда активировать уязвимость
Сообщить об ошибке высокой степени опасности(opens in a new tab)
До 250 000 долл. США

Критическая

До 250 000 долл. США

До 25 000 баллов

Степень опасности

  • Высокое воздействие, высокая вероятность

Пример контракта

Злоумышленник может успешно дистанционно управлять выполнением кода в большинстве клиентов, и для него не составит труда активировать уязвимость
Сообщить об ошибке критической степени опасности(opens in a new tab)

Правила поиска ошибок

Программа вознаграждения за ошибки — это экспериментальная и необязательная программа вознаграждения для нашего активного сообщества Ethereum, созданная для стимулирования и вознаграждения тех, кто помогает улучшить платформу. Это не соревнование. Вы должны знать, что мы можем отменить программу в любое время, и награды присуждаются по усмотрению комиссии по вознаграждению за ошибки Ethereum Foundation. Кроме того, мы не можем выдавать награды людям, находящимся в санкционных списках или проживающим в странах, находящихся под санкциями (например, Северная Корея, Иран и т. д.). Местные законы требуют, чтобы мы запросили подтверждение вашей личности. Вы несете ответственность за уплату всех налогов. Все решения принимаются в соответствии с законодательством. Наконец, ваше тестирование не должно нарушать законы или компрометировать данные, которые не принадлежат вам, и должно проводиться в локальных тестовых сетях.

  • Проблемы, не имеющие доказательства концепции, уже представленные другим пользователем или известные специалистам и сопровождающие клиентов, не дают права на получение наград.
  • Публичное раскрытие уязвимости или сообщение о ней другим лицам без предварительного согласования делает ее непригодной для получения наград.
  • Сотрудники и подрядчики Ethereum Foundation или команды клиентов, на которых распространяется действие программы вознаграждения, могут только накапливать баллы и не будут получать денежного вознаграждения.
  • Программа вознаграждения Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.

Таблица лидеров по вознаграждению за обнаруженные ошибки слоя исполнения

Находите ошибки уровня исполнения, чтобы попасть в эту таблицу лидеров

Таблица лидеров по вознаграждению за обнаруженные ошибки слоя консенсуса

Находите ошибки уровня консенсуса, чтобы попасть в эту таблицу лидеров

Часто задаваемые вопросы

Есть вопросы?

Напишите нам: bounty@ethereum.org(opens in a new tab)

Была ли эта страница полезной?