Открыто для сообщений
Программа вознаграждения за выявление ошибок
Заработайте до 250 000 долларов США и место в таблице лидеров, найдя ошибки протокола, клиента и Solidity, влияющие на сеть Ethereum.
Клиенты, за которые можно получить награды
Входит
Наша программа вознаграждения за выявление ошибок охватывает самые разные вещи: от надежности протоколов (таких как модель консенсуса блокчейна, проводного и однорангового протоколов, протоколов доказательства работы и владения и т. д.) и соответствия протокола и реализации до требований сетевой безопасности и целостности консенсуса. Классическая безопасность клиента, как и безопасность криптографических примитивов, тоже является частью программы. Если сомневаетесь, отправьте электронное письмо на адрес bounty@ethereum.org и спросите нас.
Ошибки в спецификации
Спецификации Ethereum подробно излагают обоснование слоя выполнения и слоя консенсуса.
Спецификации слоя исполнения(opens in a new tab)
Может быть полезно проверить следующие примечания:
Типы ошибок
- Ошибки безопасности и окончания
- Векторы отказов в обслуживании (DOS)
- Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
- Вычисление или несовпадение параметров
Ошибки клиента
Клиенты запускают сеть Ethereum, и они должны следовать логике, изложенной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, относятся к реализации протокола.
В настоящее время клиенты исполняемого уровня (Besu, Erigon, Geth и Nethermind) и клиенты консенсусного уровня (Lighthouse, Lodestar, Nimbus, Teku and Prysm) включены в Программу вознаграждения за найденные ошибки. Новые клиенты могут быть добавлены по мере того, как они завершат аудит и будут готовы к производству.
Типы ошибок
- Проблемы, связанные с несоблюдением спецификации
- Неожиданные сбои, RCE или уязвимости типа «отказ в обслуживании» (DOS)
- Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети
Ошибки языка программирования Solidity
Более подробную информацию о том, что включено в эту область, можно найти в файле Solidity SECURITY.MD.
Solidity не содержит гарантий относительно ненадежных входных данных, и мы не даем наград за сбои компилятора solc на злонамеренно сгенерированных данных.
Полезные ссылки
Ошибки депозитного контракта
Спецификации и исходный код депозитного контракта сети Beacon Chain являются частью программы вознаграждения за ошибки.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Не включено
Только цели, перечисленные в рамках сферы охвата, являются частью программы вознаграждения за выявление ошибок. Это означает, что, например, наша инфраструктура (веб-страницы, DNS, электронная почта и так далее) не входит в программу вознаграждений. Ошибки контракта ERC20 являются типичными и не включены в программу вознаграждений. Однако в таких случаях мы можем помочь связаться с пострадавшими сторонами, например разработчиками или биржами. ENS поддерживается фондом ENS и не является частью программы вознаграждений.
Сообщить об ошибке
За каждую актуальную ошибку, найденную вами, вы заработаете вознаграждения. Количество присужденных вознаграждений будет изменяться в зависимости от степени серьезности. Степень серьезности вычисляется согласно модели оценки рисков OWASP, основанной на воздействии на сеть Ethereum и вероятности. Просмотреть метод OWASP(opens in a new tab)
EF также предоставит вознаграждения, основанные на:
Качество описания: более высокое вознаграждение выплачивается за четкие, понятно написанные сообщения.
Качество воспроизводимости: доказательство концепции (POC) должно быть включено, чтобы иметь право на получение вознаграждений. Включите код проверки, сценарии и подробные инструкции. Чем легче нам будет воспроизвести и проверить уязвимость, тем выше вознаграждение.
Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.
Низкий
До 2000 долл. США
До 1000 баллов
Уровень серьезности
- Низкое воздействие, средняя вероятность
- Среднее воздействие, низкая вероятность
Пример
Средний
До 10 000 долл. США
До 5000 баллов
Уровень серьезности
- Высокое воздействие, низкая вероятность
- Среднее воздействие, средняя вероятность
- Низкое воздействие, высокая вероятность
Пример
Высокий
До 50 000 долл. США
До 10 000 баллов
Уровень серьезности
- Высокое воздействие, средняя вероятность
- Среднее воздействие, высокая вероятность
Пример
Критический
До 250 000 долл. США
До 25 000 баллов
Уровень серьезности
- Высокое воздействие, высокая вероятность
Пример
Правила поиска ошибок
Программа вознаграждения за ошибки — это экспериментальная и необязательная программа вознаграждения для нашего активного сообщества Ethereum, созданная для стимулирования и вознаграждения тех, кто помогает улучшить платформу. Это не соревнование. Вы должны знать, что мы можем отменить программу в любое время, и награды присуждаются по усмотрению комиссии по вознаграждению за ошибки Ethereum Foundation. Кроме того, мы не можем выдавать вознаграждения людям, находящимся в санкционных списках, или проживающим в странах, находящихся под санкциями (например, Северная Корея, Иран, и т. д.). Местные законы требуют, чтобы мы запросили подтверждение вашей личности. Вы несете ответственность за уплату всех налогов. Все решения принимаются в соответствии с законодательством. Наконец, ваше тестирование не должно нарушать какой-либо закон или компрометировать любые данные, которые не принадлежат вам, и должны находиться в локально запущенных тестовых сетях.
- Проблемы, не имеющие доказательства концепции, уже представленные другим пользователем или известные специалистам и сопровождающие клиентов, не дают права на получение вознаграждений.
- Публичное раскрытие уязвимости лишает вас права на получение награды.
- Сотрудники и подрядчики Ethereum Foundation или команды клиентов, на которых распространяется действие программы вознаграждений, могут участвовать в программе только в начислении баллов и не получают денежного вознаграждения.
- Программа вознаграждений Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя исполнения
Находите ошибки уровня исполнения, чтобы попасть в эту таблицу лидеров
- 4
- 12In place number 12 with 13000 pointsBob Conan13000 баллы
- 14
- 20
- 33
- 40
- 47
- 52
- 54
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя консенсуса
Найдите ошибки уровня консенсуса, чтобы попасть в эту таблицу лидеров
- 5In place number 5 with 10000 pointsscio10000 баллы
- 15In place number 15 with 1750 pointsAkincibor1750 баллы
Часто задаваемые вопросы
Есть вопросы?
Напишите нам электронное письмо: bounty@ethereum.org(opens in a new tab)