Открыто для сообщений
Программа вознаграждения за выявление ошибок
Заработайте до 250 000 долларов США и место в таблице лидеров, найдя ошибки протокола, клиента и Solidity, влияющие на сеть Ethereum.
Клиенты, за которые можно получить награды
Входит
Наша программа вознаграждения за выявление ошибок охватывает самые разные вещи: от надежности протоколов (таких как модель консенсуса блокчейна, проводного и однорангового протоколов, протоколов доказательства работы и владения и т. д.) и соответствия протокола и реализации до требований сетевой безопасности и целостности консенсуса. Классическая безопасность клиента, как и безопасность криптографических примитивов, тоже является частью программы. Если сомневаетесь, отправьте электронное письмо на адрес bounty@ethereum.org и спросите нас.
Ошибки в спецификации
Спецификации Ethereum подробно излагают обоснование слоя выполнения и слоя консенсуса.
Спецификации слоя исполнения(opens in a new tab)
Может быть полезно проверить следующие примечания:
Типы ошибок
- Ошибки безопасности и окончания
- Векторы отказов в обслуживании (DOS)
- Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
- Вычисление или несовпадение параметров
Ошибки клиента
Клиенты запускают сеть Ethereum, и они должны следовать логике, изложенной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, относятся к реализации протокола.
В настоящее время клиенты исполняемого уровня (Besu, Erigon, Geth и Nethermind) и клиенты консенсусного уровня (Lighthouse, Lodestar, Nimbus, Teku and Prysm) включены в Программу вознаграждения за найденные ошибки. Новые клиенты могут быть добавлены по мере того, как они завершат аудит и будут готовы к производству.
Типы ошибок
- Проблемы, связанные с несоблюдением спецификации
- Неожиданные сбои, RCE или уязвимости типа «отказ в обслуживании» (DOS)
- Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети
Ошибки языка программирования Solidity
Более подробную информацию о том, что включено в эту область, можно найти в файле Solidity SECURITY.MD.
Solidity не содержит гарантий относительно ненадежных входных данных, и мы не даем наград за сбои компилятора solc на злонамеренно сгенерированных данных.
Полезные ссылки
SECURITY.md(opens in a new tab)Ошибки депозитного контракта
Спецификации и исходный код депозитного контракта сети Beacon Chain являются частью программы вознаграждения за ошибки.
Не включено
Только цели, перечисленные в рамках сферы охвата, являются частью программы вознаграждения за выявление ошибок. Это означает, что, например, наша инфраструктура (веб-страницы, DNS, электронная почта и так далее) не входит в программу вознаграждений. Ошибки контракта ERC20 являются типичными и не включены в программу вознаграждений. Однако в таких случаях мы можем помочь связаться с пострадавшими сторонами, например разработчиками или биржами. ENS поддерживается фондом ENS и не является частью программы вознаграждений.
Сообщить об ошибке
За каждую актуальную ошибку, найденную вами, вы заработаете вознаграждения. Количество присужденных вознаграждений будет изменяться в зависимости от степени серьезности. Степень серьезности вычисляется согласно модели оценки рисков OWASP, основанной на воздействии на сеть Ethereum и вероятности. Просмотреть метод OWASP(opens in a new tab)
EF также предоставит вознаграждения, основанные на:
Качество описания: более высокое вознаграждение выплачивается за четкие, понятно написанные сообщения.
Качество воспроизводимости: доказательство концепции (POC) должно быть включено, чтобы иметь право на получение вознаграждений. Включите код проверки, сценарии и подробные инструкции. Чем легче нам будет воспроизвести и проверить уязвимость, тем выше вознаграждение.
Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.
Низкий
До 2000 долл. США
До 1000 баллов
Уровень серьезности
- Низкое воздействие, средняя вероятность
- Среднее воздействие, низкая вероятность
Пример
Средний
До 10 000 долл. США
До 5000 баллов
Уровень серьезности
- Высокое воздействие, низкая вероятность
- Среднее воздействие, средняя вероятность
- Низкое воздействие, высокая вероятность
Пример
Высокий
До 50 000 долл. США
До 10 000 баллов
Уровень серьезности
- Высокое воздействие, средняя вероятность
- Среднее воздействие, высокая вероятность
Пример
Критический
До 250 000 долл. США
До 25 000 баллов
Уровень серьезности
- Высокое воздействие, высокая вероятность
Пример
Правила поиска ошибок
Программа вознаграждения за ошибки — это экспериментальная и необязательная программа вознаграждения для нашего активного сообщества Ethereum, созданная для стимулирования и вознаграждения тех, кто помогает улучшить платформу. Это не соревнование. Вы должны знать, что мы можем отменить программу в любое время, и награды присуждаются по усмотрению комиссии по вознаграждению за ошибки Ethereum Foundation. Кроме того, мы не можем выдавать вознаграждения людям, находящимся в санкционных списках, или проживающим в странах, находящихся под санкциями (например, Северная Корея, Иран, и т. д.). Местные законы требуют, чтобы мы запросили подтверждение вашей личности. Вы несете ответственность за уплату всех налогов. Все решения принимаются в соответствии с законодательством. Наконец, ваше тестирование не должно нарушать какой-либо закон или компрометировать любые данные, которые не принадлежат вам, и должны находиться в локально запущенных тестовых сетях.
- Проблемы, не имеющие доказательства концепции, уже представленные другим пользователем или известные специалистам и сопровождающие клиентов, не дают права на получение вознаграждений.
- Публичное раскрытие уязвимости лишает вас права на получение награды.
- Сотрудники и подрядчики Ethereum Foundation или команды клиентов, на которых распространяется действие программы вознаграждений, могут участвовать в программе только в начислении баллов и не получают денежного вознаграждения.
- Программа вознаграждений Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя исполнения
Находите ошибки уровня исполнения, чтобы попасть в эту таблицу лидеров
- 3
- 12In place number 12 with 13000 pointsBob Conan13000 баллы
- 14
- 20
- 31
- 38
- 45
- 50
- 52
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя консенсуса
Найдите ошибки уровня консенсуса, чтобы попасть в эту таблицу лидеров
- 5In place number 5 with 10000 pointsscio10000 баллы
- 15In place number 15 with 1750 pointsAkincibor1750 баллы
Часто задаваемые вопросы
Есть вопросы?
Напишите нам электронное письмо: bounty@ethereum.org(opens in a new tab)