Открыто для сообщений
Клиенты, за которые можно получить награды









Подходящие ошибки
Эта программа вознаграждений Bug Bounty направлена на поиск ошибок в ядре консенсусного слоя спецификации cети Beacon Chain и реализациях клиентов Lighthouse, Nimbus, Teku, Prysm и Lodestar.
Ошибки спецификации Beacon Chain
В спецификации Beacon Chain подробно описывается концепция и предлагаемые изменения в Ethereum через обновление Beacon Chain.
Execution Layer Specifications
Может быть полезно проверить следующие примечания:
Типы ошибок
- Ошибки безопасности и окончания
- Векторы отказов в обслуживании (DOS)
- Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
- Вычисление или несовпадение параметров
Документы спецификации
Ошибки клиента уровня консенсуса
Клиенты будут запускать Beacon Chain после развертывания обновления. Клиенты должны следовать логике, изложенной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, связаны с реализацией протокола.
В настоящий момент для получения полного вознаграждения подходят ошибки Lighthouse, Nimbus, Teku и Prysm. Lodestar тоже подходит, но с последующими проверками выполнения пунктов, и вознаграждения ограничены 10% (максимальный выигрыш: 5000 DAI). После завершения проверок и готовности производства может быть добавлено больше клиентов.
Типы ошибок
- Проблемы, связанные с несоблюдением спецификации
- Непредвиденные сбои или отказ в обслуживании (DOS) из-за уязвимостей
- Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети
Полезные ссылки
Solidity bugs
See the Solidity SECURITY.MD for more details about what is included in this scope.
Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.
Полезные ссылки
SECURITY.mdDeposit Contract bugs
The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
Не включено
Слияние и обновления цепочек осколков до сих пор находятся в активной разработке и еще не включены в эту призовую программу.
Сообщить об ошибке
За каждую найденную вами ошибку вы будете вознаграждены баллами. Количество баллов, которые вы заработаете, зависит от степени серьезности ошибки. В настоящее время ошибки Lodestar награждаются на уровне 10% от баллов, перечисленных ниже, так как дополнительные проверки находятся на стадии завершения. Фонд Ethereum (EF) определяет степень серьезности ошибки, используя метод OWASP. Просмотреть метод OWASP
Кроме того, фонд Ethereum начислит баллы на основе следующего:
Качество описания: более высокое вознаграждение выплачивается за четкие, понятно написанные сообщения.
Качество воспроизводимости: пожалуйста, добавьте тестовый код, скрипты и подробные инструкции. Чем легче воспроизводить и проверять уязвимости, тем выше награда.
Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.
Низкий
До 2000 DAI
До 1000 баллов
Уровень серьезности
- Низкое воздействие, средняя вероятность
- Среднее воздействие, низкая вероятность
Пример
Средний
До 10 000 DAI
До 5000 баллов
Уровень серьезности
- Высокое воздействие, низкая вероятность
- Среднее воздействие, средняя вероятность
- Низкое воздействие, высокая вероятность
Пример
Высокий
До 20 000 DAI
До 10 000 баллов
Уровень серьезности
- Высокое воздействие, средняя вероятность
- Среднее воздействие, высокая вероятность
Пример
Критический
До 50 000 DAI
До 25 000 баллов
Уровень серьезности
- Высокое воздействие, высокая вероятность
Пример
Правила поиска ошибок
Bug Bounty — это экспериментальная и общедоступная программа вознаграждений для нашего активного сообщества Ethereum, созданная, чтобы поощрять и награждать тех, кто помогает улучшить платформу. Это не соревнование. Вам следует знать, что мы можем отменить программу в любое время и что вознаграждения присуждаются по собственному усмотрению совета Bug Bounty фонда Ethereum Foundation. Также мы не можем выдавать вознаграждения людям, которые находятся в санкционных списках или в странах, находящихся под санкциями (например, Северная Корея, Иран и т. д.). Вы несете ответственность за уплату всех налогов. Все вознаграждения являются субъектом действующего законодательства. Наконец, ваше тестирование не должно нарушать закон или компрометировать любые персональные данные, не принадлежащие вам.
- Проблемы, которые уже были представлены другим пользователем или уже известны спецификациям и сопровождающим клиента, не дают права на получение вознаграждений.
- Публичное раскрытие уязвимости лишает вас права на получение награды.
- Исследователи фонда Ethereum и сотрудники команд клиентов уровня консенсуса не имеют права на получение вознаграждения.
- Программа вознаграждений Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.
Execution Layer Bug Bounty leaderboard
Find execution layer bugs to get added to this leaderboard




















































Список лидеров в поиске ошибок
Найдите ошибки уровня консенсуса, чтобы попасть в эту таблицу лидеров














Часто задаваемые вопросы
What should a good vulnerability submission look like?
See a real example of a quality vulnerability submission.
Is the bug bounty program is time limited?
No.
How are bounties paid out?
Rewards are paid out in ETH or DAI.
Can I donate my reward to charity?
Yes!
I reported an issue / vulnerability but have not received a response!
Please allow a few days for someone to respond to your submission.
I want to be anonymous / I do not want my name on the leader board.
You can do this, but it might make you ineligble for rewards.
What are the points in the leaderboard?
Every found vulnerability / issue is assigned a score
Do you have a PGP key?
Yes. Expand for details.
Есть вопросы?
Напишите нам электронное письмо: bounty@ethereum.org