Помогите перевести эту страницу
Вы просматриваете эту страницу на английском языке, потому что мы еще не перевели ее. Помогите нам перевести эти материалы.
Здесь нет ошибок!
Эта страница сейчас не переводится. Пока что мы намеренно оставили эту страницу на английском языке.
Открыто для сообщений
Программа вознаграждения за выявление ошибок
Клиенты, за которые можно получить награды
Входит
Наша программа вознаграждения за выявление ошибок охватывает самые разные вещи: от надежности протоколов (таких как модель консенсуса блокчейна, проводного и однорангового протоколов, протоколов доказательства работы и владения и т. д.) и соответствия протокола и реализации до требований сетевой безопасности и целостности консенсуса. Классическая безопасность клиента, как и безопасность криптографических примитивов, тоже является частью программы. Если сомневаетесь, отправьте электронное письмо на адрес bounty@ethereum.org и спросите нас.
Ошибки в спецификации
Спецификации Ethereum подробно излагают обоснование слоя выполнения и слоя консенсуса.
Спецификации слоя исполнения
Может быть полезно проверить следующие примечания:
Типы ошибок
- Ошибки безопасности и окончания
- Векторы отказов в обслуживании (DOS)
- Несоответствие предположений, например ситуации, когда честные валидаторы могут пострадать
- Вычисление или несовпадение параметров
Документы спецификации
Ошибки клиента
Клиенты запускают сеть Ethereum, и они должны следовать логике, изложенной в спецификаци�и, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, относятся к реализации протокола.
В настоящее время клиенты исполняемого уровня (Besu, Erigon, Geth и Nethermind) и клиенты консенсусного уровня (Lighthouse, Lodestar, Nimbus, Teku and Prysm) включены в Программу вознаграждения за найденные ошибки. Новые клиенты могут быть добавлены по мере того, как они завершат аудит и будут готовы к производству.
Типы ошибок
- Проблемы, связанные с несоблюдением спецификации
- Неожиданные сбои, RCE или уязвимости типа «отказ в обслуживании» (DOS)
- Любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети
Полезные ссылки
Ошибки языка программирования Solidity
Более подробную информацию о том, что включено в эту область, можно найти в файле Solidity SECURITY.MD.
Solidity не содержит гарантий относительно ненадежных входных данных, и мы не даем наград за сбои компилятора solc на злонамеренно сгенерированных данных.
Полезные ссылки
SECURITY.md
Ошибки депозитного контракта
Спецификации и исходный код депозитного контракта сети Beacon Chain являются частью программы вознаграждения за ошибки.
Не включено
Только цели, перечисленные в рамках сферы охвата, являются частью программы вознаграждения за выявление ошибок. Это означает, что, например, наша инфраструктура (веб-страницы, DNS, электронная почта и так далее) не входит в программу вознаграждений. Ошибки контракта ERC20 являются типичными и не включены в программу вознаграждений. Однако в таких случаях мы можем помочь связаться с пострадавшими сторонами, например разработчиками или биржами. ENS поддерживается фондом ENS и не является частью программы вознаграждений.
Сообщить об ошибке
За каждую актуальную ошибку, найденную вами, вы заработаете вознаграждения. Количество присужденных вознаграждений будет изменяться в зависимости от степени серьезности. Степень серьезности вычисляется согласно модели оценки рисков OWASP, основанной на воздействии на сеть Ethereum и вероятности. Просмотреть метод OWASP
EF также предоставит вознаграждения, основанные на:
Качество описания: более высокое вознаграждение выплачивается за четкие, понятно написанные сообщения.
Качество воспроизводимости: доказательство концепции (POC) должно быть включено, чтобы иметь право на получение вознаграждений. Включите код проверки, сценарии и подробные инструкции. Чем легче нам будет воспроизвести и проверить уязвимость, тем выше вознаграждение.
Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.
Низкий
До 2000 долл. США
До 1000 баллов
Уровень серьезности
- Низкое воздействие, средняя вероятность
- Среднее воздействие, низкая вероятность
Пример
Средний
До 10 000 долл. США
До 5000 баллов
Уровень серьезности
- Высокое воздействие, низкая вероятность
- Среднее воздействие, средняя вероятность
- Низкое воздействие, высокая вероятность
Пример
Высокий
До 50 000 долл. США
До 10 000 баллов
Уровень серьезности
- Высокое воздействие, средняя вероятность
- Среднее воздействие, высокая вероятность
Пример
Критический
До 250 000 долл. США
До 25 000 баллов
Уровень серьезности
- Высокое воздействие, высокая вероятность
Пример
Правила поиска ошибок
Программа вознаграждения за ошибки — это экспериментальная и необязательная программа вознаграждения для нашего активного сообщества Ethereum, созданная для стимулирования и вознаграждения тех, кто помогает улучшить платформу. Это не соревнование. Вы должны знать, что мы можем отменить программу в любое время, и награды присуждаются по усмотрению комиссии по вознаграждению за ошибки Ethereum Foundation. Кроме того, мы не можем выдавать вознаграждения людям, находящимся в санкционных списках, или проживающим в странах, находящихся под санкциями (например, Северная Корея, Иран, и т. д.). Местные законы требуют, чтобы мы запросили подтверждение вашей личности. Вы несете ответственность за уплату всех налогов. Все решения принимаются в соответствии с законодательством. Наконец, ваше тестирование не должно нарушать какой-либо закон или компрометировать любые данные, которые не принадлежат вам, и должны находиться в локально запущенных тестовых сетях.
- Проблемы, не имеющие доказательства концепции, уже представленные другим пользователем или известные специалистам и сопровождающие клиентов, не дают права на получение вознаграждений.
- Публичное раскрытие уязвимости лишает вас права на получение награды.
- Сотрудники и подрядчики Ethereum Foundation или команды клиентов, на которых распространяется действие программы вознаграждений, могут участвовать в программе только в начислении баллов и не получают денежного вознаграждения.
- Программа вознаграждений Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета Bug Bounty фонда Ethereum.
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя исполнения
Находите ошибки уровня исполнения, чтобы попасть в эту таблицу лидеров
- 11In place number 11 with 13000 pointsBob Conan13000 баллы
- 13
- 19
- 30
- 36
- 43
- 48
- 50
Таблица лидеров по вознаграждению за обнаруженные ошибки слоя консенсуса
Найдите ошибки уровня консенсуса, чтобы попасть в эту таблицу лидеров
- 5In place number 5 with 10000 pointsscio10000 баллы
- 14In place number 14 with 1750 pointsAkincibor1750 баллы
Часто задаваемые вопросы
Есть вопросы?
Напишите нам электронное письмо: bounty@ethereum.org
