Перейти к основному содержанию

Помогите перевести эту страницу

🌏

Вы просматриваете эту страницу на английском языке, потому что мы еще не перевели ее. Помогите нам перевести эти материалы.

Перевести страницу

Здесь нет ошибок!🐛

Эта страница сейчас не переводится. Пока что мы намеренно оставили эту страницу на английском языке.

Открыто для сообщений

Программа вознаграждения за выявление ошибок 🐛
Заработайте до 250 000 долларов США и место в таблице лидеров, найдя ошибки протокола, клиента и Solidity, влияющие на сеть Ethereum.
Сообщить об ошибкеЧитать правила
Смотреть все таблицы лидеров

Клиенты, за которые можно получить награды

Входит

Наша программа вознаграждения за выявление ошибок охватывает самые разные вещи: от надежности протоколов (таких как модель консенсуса блокчейна, проводного и однорангового протоколов, протоколов доказательства работы и владения и т. д.) и соответствия протокола и реализации до требований сетевой безопасности и целостности консенсуса. Классическая безопасность клиента, как и безопасность криптографических примитивов, тоже является частью программы. Если сомневаетесь, отправьте электронное письмо на адрес bounty@ethereum.org и спросите нас.

📒

Ошибки в спецификации

Спецификации Ethereum подробно излагают обоснование слоя выполнения и слоя консенсуса.

Спецификации слоя консенсуса
Спецификации слоя исполнения

Может быть полезно проверить следующие примечания:

Типы ошибок

  • Ошибки безопасности и окончания
  • Векторы отказов в обслуживании (DOS)
  • Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
  • Вычисление или несовпадение параметров

Документы спецификации

💻

Ошибки клиента

Клиенты запускают сеть Ethereum, и они должны следовать логике, изложенной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, относятся к реализации протокола.

В настоящее время клиенты исполняемого уровня (Besu, Erigon, Geth и Nethermind) и клиенты консенсусного уровня (Lighthouse, Lodestar, Nimbus, Teku and Prysm) включены в Программу вознаграждения за найденные ошибки. Новые клиенты могут быть добавлены по мере того, как они завершат аудит и будут готовы к производству.

Типы ошибок

  • Проблемы, связанные с несоблюдением спецификации
  • Неожиданные сбои, RCE или уязвимости типа «отказ в обслуживании» (DOS)
  • Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети

Полезные ссылки

📖

Ошибки языка программирования Solidity

Более подробную информацию о том, что включено в эту область, можно найти в файле Solidity SECURITY.MD.

Solidity не содержит гарантий относительно ненадежных входных данных, и мы не даем наград за сбои компилятора solc на злонамеренно сгенерированных данных.

Полезные ссылки

SECURITY.md
📜

Ошибки депозитного контракта

Спецификации и исходный код депозитного контракта сети Beacon Chain являются частью программы вознаграждения за ошибки.

Не включено

Только цели, перечисленные в рамках сферы охвата, являются частью программы вознаграждения за выявление ошибок. Это означает, что, например, наша инфраструктура (веб-страницы, DNS, электронная почта и так далее) не входит в программу вознаграждений. Ошибки контракта ERC20 являются типичными и не включены в программу вознаграждений. Однако в таких случаях мы можем помочь связаться с пострадавшими сторонами, например разработчиками или биржами. ENS поддерживается фондом ENS и не является частью программы вознаграждений.

Сообщить об ошибке

За каждую актуальную ошибку, найденную вами, вы заработаете вознаграждения. Количество присужденных вознаграждений будет изменяться в зависимости от степени серьезности. Степень серьезности вычисляется согласно модели оценки рисков OWASP, основанной на воздействии на сеть Ethereum и вероятности. Просмотреть метод OWASP

EF также предоставит вознаграждения, основанные на:

Качество описания: более высокое вознаграждение выплачивается за четкие, понятно написанные сообщения.

Качество воспроизводимости: доказательство концепции (POC) должно быть включено, чтобы иметь право на получение вознаграждений. Включите код проверки, сценарии и подробные инструкции. Чем легче нам будет воспроизвести и проверить уязвимость, тем выше вознаграждение.

Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.

До 2000 долл. США

Низкий

До 2000 долл. США

До 1000 баллов

Уровень серьезности

  • Низкое воздействие, средняя вероятность
  • Среднее воздействие, низкая вероятность

Пример

Иногда злоумышленник может поместить узел в состояние, которое заставит его выбрасывать по одной из каждой сотни аттестаций, сделанных валидатором
Отправить ошибку с низким уровнем риска
До 10 000 долл. США

Средний

До 10 000 долл. США

До 5000 баллов

Уровень серьезности

  • Высокое воздействие, низкая вероятность
  • Среднее воздействие, средняя вероятность
  • Низкое воздействие, высокая вероятность

Пример

Злоумышленник может успешно провести атаки затмения на узлы с идентификаторами пиров с четырьмя ведущими нулевыми байтами
Отправить ошибку со средним уровнем риска
До 50 000 долл. США

Высокий

До 50 000 долл. США

До 10 000 баллов

Уровень серьезности

  • Высокое воздействие, средняя вероятность
  • Среднее воздействие, высокая вероятность

Пример

Это ошибка консенсуса между двумя клиентами, но для злоумышленника сложно или непрактично инициировать это событие.
Отправить ошибку с высоким уровнем риска
До 250 000 долл. США

Критический

До 250 000 долл. США

До 25 000 баллов

Уровень серьезности

  • Высокое воздействие, высокая вероятность

Пример

В большинстве клиентов существует удаленное выполнение кода, и злоумышленнику легко вызвать уязвимость.
Отправить ошибку с критическим уровнем риска

Правила поиска ошибок

Программа вознаграждения за ошибки — это экспериментальная и необязательная программа вознаграждения для нашего активного сообщества Ethereum, созданная для стимулирования и вознаграждения тех, кто помогает улучшить платформу. Это не соревнование. Вы должны знать, что мы можем отменить программу в любое время, и награды присуждаются по усмотрению комиссии по вознаграждению за ошибки Ethereum Foundation. Кроме того, мы не можем выдавать вознаграждения людям, находящимся в санкционных списках, или проживающим в странах, находящихся под санкциями (например, Северная Корея, Иран, и т. д.). Местные законы требуют, чтобы мы запросили подтверждение вашей личности. Вы несете ответственность за уплату всех налогов. Все решения принимаются в соответствии с законодательством. Наконец, ваше тестирование не должно нарушать какой-либо закон или компрометировать любые данные, которые не принадлежат вам, и должны находиться в локально запущенных тестовых сетях.

  • Проблемы, не имеющие доказательства концепции, уже представленные другим пользователем или известные специалистам и сопровождающие клиентов, не дают права на получение вознаграждений.
  • Публичное раскрытие уязвимости лишает вас права на получение награды.
  • Сотрудники и подрядчики Ethereum Foundation или команды клиентов, на которых распространяется действие программы вознаграждений, могут участвовать в программе только в начислении баллов и не получают денежного вознаграждения.
  • Программа вознаграждений Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.

Таблица лидеров по вознаграждению за обнаруженные ошибки слоя исполнения

Находите ошибки уровня исполнения, чтобы попасть в эту таблицу лидеров

Таблица лидеров по вознаграждению за обнаруженные ошибки слоя консенсуса

Найдите ошибки уровня консенсуса, чтобы попасть в эту таблицу лидеров

Часто задаваемые вопросы

Есть вопросы?

Напишите нам электронное письмо: bounty@ethereum.org

✉️

Была ли эта страница полезной?