Сообщения принимаются
Программа вознаграждения за выявление ошибок
Заработайте до 250 000 долларов США и место в таблице лидеров, находя ошибки в протоколах, клиентах и Solidity, влияющие на работу сети Ethereum.
Клиенты, за которые можно получить награды
Охватываемый объем
Наша программа вознаграждения за ошибки охватывает все: от надежности протоколов (модель консенсуса блокчейна, протоколы Wireи P2P, доказательство доли владения и т. д.) и соответствия протокола/реализации до безопасности сети и целостности консенсуса. Классическая безопасность клиентов, а также безопасность криптографических примитивов также входят в программу. Если у вас есть сомнения, отправьте письмо на адрес bounty@ethereum.org и спросите нас. Вы также можете отправить сообщение о раскрытии информации/уязвимости непосредственно на адрес bounty@ethereum.org,(opens in a new tab) в этом случае мы просим вас зашифровать сообщение с помощью нашего PGP-ключа.(opens in a new tab)
Ошибки в спецификации
Спецификации Ethereum подробно излагают обоснование слоя выполнения и слоя консенсуса.
Спецификации слоя исполнения(opens in a new tab)
Ознакомьтесь со следующими примечаниями:
Типы ошибок
- Ошибки безопасности и финализации
- Векторы атак типа "отказ в обслуживании" (DOS)
- Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
- Вычисление или несовпадение параметров
Ошибки клиента
Клиенты запускают сеть Ethereum, и они должны следовать логике, изложенной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, относятся к реализации протокола.
В настоящее время в программу Bug Bounty включены клиенты уровня исполнения (Besu, Erigon, Geth, Nethermind и Reth) и клиенты уровня консенсуса (Lighthouse, Lodestar, Nimbus, Teku и Prysm). Впоследствии могут быть добавлены новые клиенты, которые прошли аудит и готовы к развертыванию.
Типы ошибок
- Проблемы, связанные с несоблюдением спецификации
- Неожиданные сбои, RCE или уязвимости типа "отказ в обслуживании" (DOS)
- Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети
Ошибки языка программирования Solidity
Более подробную информацию о том, что включено в эту область, можно найти в файле Solidity SECURITY.MD.
Solidity не содержит гарантий безопасности относительно компиляции ненадежных входных данных, и мы не даем вознаграждения за сбои компилятора solc при работе со вредоносными данными.
Полезные ссылки
Ошибки депозитного контракта
Спецификации и исходный код депозитного контракта Beacon Chain являются частью программы вознаграждения за найденные баги.
Ошибки зависимостей
Определенные зависимости крайне важны для функционирования Сети Ethereum, и некоторые из них были добавлены в программу исправления ошибок. В настоящее время в список таких зависимостей входят C-KZG-4844 и Go-KZG-4844.
Исключения
Только указанные цели входят в программу вознаграждения за выявление ошибок. Это означает, что, например, наша инфраструктура (веб-страницы, DNS, электронная почта и так далее) не входит в программу вознаграждений. Ошибки контракта ERC20 являются типичными и не входят в программу вознаграждений. Однако в таких случаях мы можем помочь связаться с пострадавшими сторонами, например разработчиками или биржами. ENS поддерживается фондом ENS и не входит в программу вознаграждений.
Сообщить об ошибке
За каждую актуальную ошибку, найденную вами, вы заработаете награды. Количество присужденных наград будет изменяться в зависимости от степени серьезности. Степень серьезности вычисляется согласно модели оценки рисков OWASP, основанной на воздействии на сеть Ethereum и вероятности. Просмотреть метод OWASP(opens in a new tab)
EF также выдает награды на основе:
Качество описания: за четкие развернутые сообщения выплачиваются более высокие награды.
Качество воспроизводимости: чтобы получить награду, необходимо включить доказательство концепции (POC). Включите код проверки, сценарии и подробные инструкции. Чем легче нам будет воспроизвести и проверить уязвимость, тем выше награда.
Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.
Низкая
До 2000 долл. США
До 1000 баллов
Степень опасности
- Низкое воздействие, средняя вероятность
- Среднее воздействие, низкая вероятность
Пример контракта
Средний
До 10 000 долл. США
До 5000 баллов
Степень опасности
- Высокое воздействие, низкая вероятность
- Среднее воздействие, средняя вероятность
- Низкое воздействие, высокая вероятность
Пример контракта
Высокий
До 50 000 долл. США
До 10 000 баллов
Степень опасности
- Высокое воздействие, средняя вероятность
- Среднее воздействие, высокая вероятность
Пример контракта
Критическая
До 250 000 долл. США
До 25 000 баллов
Степень опасности
- Высокое воздействие, высокая вероятность
Пример контракта
Правила поиска ошибок
Программа вознаграждения за ошибки — это экспериментальная и необязательная программа вознаграждения для нашего активного сообщества Ethereum, созданная для стимулирования и вознаграждения тех, кто помогает улучшить платформу. Это не соревнование. Вы должны знать, что мы можем отменить программу в любое время, и награды присуждаются по усмотрению комиссии по вознаграждению за ошибки Ethereum Foundation. Кроме того, мы не можем выдавать награды людям, находящимся в санкционных списках или проживающим в странах, находящихся под санкциями (например, Северная Корея, Иран и т. д.). Местные законы требуют, чтобы мы запросили подтверждение вашей личности. Вы несете ответственность за уплату всех налогов. Все решения принимаются в соответствии с законодательством. Наконец, ваше тестирование не должно нарушать законы или компрометировать данные, которые не принадлежат вам, и должно проводиться в локальных тестовых сетях.
- Проблемы, не имеющие доказательства концепции, уже представленные другим пользователем или известные специалистам и сопровождающие клиентов, не дают права на получение наград.
- Публичное раскрытие уязвимости или сообщение о ней другим лицам без предварительного согласования делает ее непригодной для получения наград.
- Сотрудники и подрядчики Ethereum Foundation или команды клиентов, на которых распространяется действие программы вознаграждения, могут только накапливать баллы и не будут получать денежного вознаграждения.
- Программа вознаграждения Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя исполнения
Находите ошибки уровня исполнения, чтобы попасть в эту таблицу лидеров
- 4
- 12In place number 12 with 13000 pointsBob Conan13000 баллы
- 14
- 20
- 32
- 39
- 46
- 51
- 53
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя консенсуса
Находите ошибки уровня консенсуса, чтобы попасть в эту таблицу лидеров
- 5In place number 5 with 10000 pointsscio10000 баллы
- 16In place number 16 with 1750 pointsAkincibor1750 баллы
Часто задаваемые вопросы
Есть вопросы?
Напишите нам: bounty@ethereum.org(opens in a new tab)