Помогите перевести эту страницу

🌏

Вы просматриваете эту страницу на английском языке, потому что мы еще не перевели ее. Помогите нам перевести эти материалы.

Здесь нет ошибок!🐛

Эта страница сейчас не переводится. Пока что мы намеренно оставили эту страницу на английском языке.

Открыто для сообщений

Вознаграждения за обнаружение ошибок уровня консенсуса 🐛
Найдите ошибки в клиенте и протоколе консенсуса, чтобы заработать до 50 000 долл. США и место в таблице лидеров.

Клиенты, за которые можно получить награды

Подходящие ошибки

Эта программа вознаграждений Bug Bounty направлена на поиск ошибок в ядре консенсусного слоя спецификации cети Beacon Chain и реализациях клиентов Lighthouse, Nimbus, Teku, Prysm и Lodestar.

📒

Ошибки спецификации Beacon Chain

В спецификации Beacon Chain подробно описывается концепция и предлагаемые изменения в Ethereum через обновление Beacon Chain.

Читать полную спецификацию
Execution Layer Specifications

Может быть полезно проверить следующие примечания:

Типы ошибок

  • Ошибки безопасности и окончания
  • Векторы отказов в обслуживании (DOS)
  • Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
  • Вычисление или несовпадение параметров
💻

Ошибки клиента уровня консенсуса

Клиенты будут запускать Beacon Chain после развертывания обновления. Клиенты должны следовать логике, изложенной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, связаны с реализацией протокола.

В настоящий момент для получения полного вознаграждения подходят ошибки Lighthouse, Nimbus, Teku и Prysm. Lodestar тоже подходит, но с последующими проверками выполнения пунктов, и вознаграждения ограничены 10% (максимальный выигрыш: 5000 DAI). После завершения проверок и готовности производства может быть добавлено больше клиентов.

Типы ошибок

  • Проблемы, связанные с несоблюдением спецификации
  • Непредвиденные сбои или отказ в обслуживании (DOS) из-за уязвимостей
  • Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети

Полезные ссылки

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Полезные ссылки

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Не включено

Слияние и обновления цепочек осколков до сих пор находятся в активной разработке и еще не включены в эту призовую программу.

Сообщить об ошибке

За каждую найденную вами ошибку вы будете вознаграждены баллами. Количество баллов, которые вы заработаете, зависит от степени серьезности ошибки. В настоящее время ошибки Lodestar награждаются на уровне 10% от баллов, перечисленных ниже, так как дополнительные проверки находятся на стадии завершения. Фонд Ethereum (EF) определяет степень серьезности ошибки, используя метод OWASP. Просмотреть метод OWASP

Кроме того, фонд Ethereum начислит баллы на основе следующего:

Качество описания: более высокое вознаграждение выплачивается за четкие, понятно написанные сообщения.

Качество воспроизводимости: пожалуйста, добавьте тестовый код, скрипты и подробные инструкции. Чем легче воспроизводить и проверять уязвимости, тем выше награда.

Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.

До 2000 DAI

Низкий

До 2000 DAI

До 1000 баллов

Уровень серьезности

  • Низкое воздействие, средняя вероятность
  • Среднее воздействие, низкая вероятность

Пример

Иногда злоумышленник может поместить узел в состояние, которое заставит его выбрасывать по одной из каждой сотни аттестаций, сделанных валидатором
Отправить ошибку с низким уровнем риска
До 10 000 DAI

Средний

До 10 000 DAI

До 5000 баллов

Уровень серьезности

  • Высокое воздействие, низкая вероятность
  • Среднее воздействие, средняя вероятность
  • Низкое воздействие, высокая вероятность

Пример

Злоумышленник может успешно провести атаки затмения на узлы с идентификаторами пиров с четырьмя ведущими нулевыми байтами
Отправить ошибку со средним уровнем риска
До 20 000 DAI

Высокий

До 20 000 DAI

До 10 000 баллов

Уровень серьезности

  • Высокое воздействие, средняя вероятность
  • Среднее воздействие, высокая вероятность

Пример

Это ошибка консенсуса между двумя клиентами, но для злоумышленника сложно или непрактично инициировать это событие.
Отправить ошибку с высоким уровнем риска
До 50 000 DAI

Критический

До 50 000 DAI

До 25 000 баллов

Уровень серьезности

  • Высокое воздействие, высокая вероятность

Пример

Это ошибка консенсуса между двумя клиентами, и для злоумышленника просто инициировать это событие.
Отправить ошибку с критическим уровнем риска

Правила поиска ошибок

Bug Bounty — это экспериментальная и общедоступная программа вознаграждений для нашего активного сообщества Ethereum, созданная, чтобы поощрять и награждать тех, кто помогает улучшить платформу. Это не соревнование. Вам следует знать, что мы можем отменить программу в любое время и что вознаграждения присуждаются по собственному усмотрению совета Bug Bounty фонда Ethereum Foundation. Также мы не можем выдавать вознаграждения людям, которые находятся в санкционных списках или в странах, находящихся под санкциями (например, Северная Корея, Иран и т. д.). Вы несете ответственность за уплату всех налогов. Все вознаграждения являются субъектом действующего законодательства. Наконец, ваше тестирование не должно нарушать закон или компрометировать любые персональные данные, не принадлежащие вам.

  • Проблемы, которые уже были представлены другим пользователем или уже известны спецификациям и сопровождающим клиента, не дают права на получение вознаграждений.
  • Публичное раскрытие уязвимости лишает вас права на получение награды.
  • Исследователи фонда Ethereum и сотрудники команд клиентов уровня консенсуса не имеют права на получение вознаграждения.
  • Программа вознаграждений Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

1
samczsun GitHub avatar
Sam Sun
35000 баллы
🏆
2
holiman GitHub avatar
Martin Holst Swende
33500 баллы
🥈
3
chainsecurity GitHub avatar
ChainSecurity
21000 баллы
🥉
4
junorouse GitHub avatar
Juno Im
20500 баллы
5
uknowy GitHub avatar
Yoonho Kim (team Hithereum)
20000 баллы
6
johnyangk GitHub avatar
John Youngseok Yang (Software Platform Lab)
20000 баллы
7
guidovranken GitHub avatar
Guido Vranken
18000 баллы
8
peckshield GitHub avatar
PeckShield
17000 баллы
9
itsunixiknowthis GitHub avatar
ItsUnixIKnowThis
15000 баллы
10
catageek GitHub avatar
Bertrand Masius
15000 баллы
11
tintinweb GitHub avatar
Tin
12500 баллы
12
Ralph Pichler
12500 баллы
13
Bob Conan
12000 баллы
14
lukaszmatczak GitHub avatar
Łukasz Matczak
11000 баллы
15
Heilman/Marcus/Goldberg
10000 баллы
16
jonasnick GitHub avatar
Jonas Nick
10000 баллы
17
jtoman GitHub avatar
John Toman
10000 баллы
18
Sebastian Henningsen
8000 баллы
19
Dominic Brütsch
7500 баллы
20
HarryR GitHub avatar
Harry Roberts
5000 баллы
21
p- GitHub avatar
Peter Stöckli
5000 баллы
22
Dedaub GitHub avatar
Neville Grech
5000 баллы
23
EthHead GitHub avatar
EthHead
5000 баллы
24
SergioDemianLerner GitHub avatar
Sergio Demian Lerner
2500 баллы
25
danhper GitHub avatar
Daniel Perez
2500 баллы
26
yaronvel GitHub avatar
Yaron Velner
2000 баллы
27
whitj00 GitHub avatar
Whit Jackson
2000 баллы
28
Ming Chuan Lin
2000 баллы
29
melonport GitHub avatar
Melonport team
2000 баллы
30
maurelian GitHub avatar
Maurelian
2000 баллы
31
Cjentzsch GitHub avatar
Christoph Jentzsch
2000 баллы
32
DVPNET GitHub avatar
DVP (dvpnet.io)
1200 баллы
33
Vasily Vasiliev
1000 баллы
34
talko GitHub avatar
talko
1000 баллы
35
swaldman GitHub avatar
Steve Waldman
1000 баллы
36
ptk GitHub avatar
Panu Kekäläinen
1000 баллы
37
montyly GitHub avatar
Josselin Feist
1000 баллы
38
henrit GitHub avatar
Henrit
1000 баллы
39
BlameByte GitHub avatar
Marc Bartlett
1000 баллы
40
Barry Whitehat
1000 баллы
41
badmofo GitHub avatar
Lucas Ryan
1000 баллы
42
agroce GitHub avatar
Alex Groce
1000 баллы
43
n0thingness GitHub avatar
Daniel Briskin
750 баллы
44
daenamkim GitHub avatar
Daenam Kim
750 баллы
45
Myeongjae Lee
500 баллы
46
Marcin Noga (Cisco/Talos Security)
500 баллы
47
jazzybedi
500 баллы
48
feeker GitHub avatar
Feeker - 360 ESG Codesafe Team
500 баллы
49
ethernomad GitHub avatar
Jonathan Brown
500 баллы
50
davidmurdoch GitHub avatar
David Murdoch
500 баллы
51
wadeAlexC GitHub avatar
Alexander Wade
500 баллы
52
gitpusha GitHub avatar
Luis Schliesske
200 баллы

Часто задаваемые вопросы

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Есть вопросы?

Напишите нам электронное письмо: bounty@ethereum.org

✉️

Was this page helpful?