Заявки на участь ще приймаються
Програма винагород за пошук помилок
Заробіть до 250 000 дол. США й увійдіть до таблиці лідерів, знаходячи помилки в протоколі, клієнтах і Solidity, що впливають на мережу Ethereum.
Клієнти, що беруть участь у винагородах
Охоплюється програмою
Наша програма винагород за пошук помилок охоплює всі етапи: від надійності протоколів (як-от модель консенсусу блокчейну, проводові й однорангові протоколи, доказ частки тощо), сумісності протоколів і впровадження до безпеки мережі й цілісності консенсусу. Програма також розповсюджується на класичну систему захисту клієнтів і криптографічних примітивів. Якщо маєте сумніви, звертайтеся із запитаннями на електронну адресу bounty@ethereum.org.
Помилки специфікацій
У специфікаціях Ethereum детально описується обґрунтування дизайну виконавчого рівня та рівня консенсусу.
Специфікації виконавчого рівня(opens in a new tab)
Було б корисно переглянути такі коментарі:
Типи помилок
- Помилки безпеки / помилки, що порушують завершеність
- Вектори DOS-атак
- Невідповідність у припущеннях, як-от ситуації, коли чесних валідаторів можна скоротити
- Невідповідності в розрахунках або параметрах
Помилки клієнта
Клієнти запускають мережу Ethereum і повинні дотримуватися логіки, викладеної в специфікації, а також бути захищеними від потенційних атак. Помилки, які ми хочемо знайти, пов’язані з впровадженням протоколу.
Наразі клієнти виконавчого рівня (Besu, Erigon, Geth і Nethermind) і клієнти рівня консенсусу (Lighthouse, Lodestar, Nimbus, Teku та Prysm) включені до програми винагород за пошук помилок. Інших клієнтів можуть додати після завершення аудиту, коли вони будуть готові до функціонування.
Типи помилок
- Проблеми з невідповідністю специфікації
- Несподівані збої, вразливості RCE або відмови в обслуговуванні (DOS)
- Будь-які проблеми, що ведуть до незворотних від’єднань консенсусу від решти мережі
Помилки Solidity
Див. SECURITY.MD мовою програмування Solidity, щоб отримати детальнішу інформацію про те, що охоплює ця категорія.
Solidity не забезпечує гарантій безпеки щодо компіляції ненадійних введених даних, і ми не видаємо винагороди за збої компілятора solc на зловмисно згенерованих даних.
Корисні посилання
Помилки депозитного контракту
Специфікації та вихідний код депозитного контракту Beacon Chain є частиною програми винагород за пошук помилок.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
За межами програми
Тільки цілі, наведені в списку об’єктів у межах програми, беруть участь у програмі винагород за пошук помилок. Це означає, що, наприклад, наша інфраструктура, як-от вебсторінки, DNS, електронна пошта тощо, не входять в обсяги пошуку. Помилки контракту ERC20 зазвичай не входять в обсяги пошуку. Але ми можемо допомогти зв’язатися з постраждалими сторонами, як-от відповідні автори або обмінники. Керування ENS здійснюється фондом ENS і також не входить в обсяги пошуку.
Повідомити про помилку
За кожну знайдену дійсну помилку ви зароблятимете винагороди. Кількість присуджених винагород залежатиме від серйозності помилок. Серйозність визначається відповідно до моделі оцінки ризиків OWASP на основі впливу на мережу Ethereum і рівня ймовірності. Перегляньте метод OWASP(opens in a new tab)
EF також надаватиме винагороди на основі таких факторів:
Якість опису: що чіткіший і зрозуміліший опис помилки ви подасте, то вищу винагороду отримаєте.
Якість відтворюваності: щоб мати право на винагороду, необхідно додати доказ концепції (Proof of Concept, POC). Додайте тестовий код, сценарії та детальні інструкції. Що простіше для нас відтворити й перевірити вразливість, то вища нагорода.
Якість виправлення, якщо включено: вищі винагороди виплачуються за подані матеріали з чітким описом того, як усунути проблему.
Низький
До 2000 дол. США
До 1000 балів
Серйозність
- Незначний вплив, середня ймовірність
- Середній вплив, низька ймовірність
Приклад
Середній
До 10 000 дол. США
До 5000 балів
Серйозність
- Серйозний вплив, низька ймовірність
- Середній вплив, середня ймовірність
- Низький вплив, висока ймовірність
Приклад
Серйозний
До 50 000 дол. США
До 10 000 балів
Серйозність
- Серйозний вплив, середня ймовірність
- Середній вплив, висока ймовірність
Приклад
Критичний
До 250 000 дол. США
До 25 000 балів
Серйозність
- Серйозний вплив, висока ймовірність
Приклад
Правила пошуку помилок
Програма винагород за пошук помилок — це експериментальна та дискреційна програма винагород для нашої активної спільноти Ethereum, щоб заохочувати та винагороджувати тих, хто допомагає покращувати платформу. Це не змагання. Ви повинні знати, що ми можемо скасувати програму в будь-який час і що нагороди призначаються на власний розсуд ради з винагород за пошук помилок Ethereum Foundation. Крім того, ми не можемо видавати нагороди особам, які внесені до санкційних списків або перебувають у країнах із санкційних списків (наприклад, у Північній Кореї, Ірані тощо). Місцеві закони вимагають від нас запитувати документ, що підтверджує вашу особу. Ви несете відповідальність за всі податки. Усі нагороди регулюються чинним законодавством. Нарешті, ваше тестування не повинно порушувати жодного закону або компрометувати будь-які дані, які не належать вам, а також має проводитися в локальних тестових мережах.
- Проблеми без доказу концепції (POC) або які вже були подані іншим користувачем чи вже відомі фахівцям із супроводження специфікації та клієнта, не дають права на отримання винагород.
- Публічне розкриття вразливості робить неможливим отримання винагороди.
- Працівники та підрядники Ethereum Foundation або команди, що працюють над клієнтом, залучені до програми винагород, можуть брати в ній участь лише за нарахування балів і не отримуватимуть грошові винагороди.
- Програма винагород Ethereum враховує ряд змінних під час визначення винагород. Придатність, оцінки та всі умови, пов’язані з нагородою, остаточно визначаються радою з винагород за пошук помилок Ethereum Foundation.
Таблиця лідерів програми винагород за пошук помилок на виконавчому рівні
Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на виконавчому рівні
- 12
- 14
- 53
Таблиця лідерів програми винагород за пошук помилок на рівні консенсусу
Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на рівні консенсусу
- 5In place number 5 with 10000 pointsscio10000 бали
- 16
Поширені запитання
Запитання?
Напишіть нам: bounty@ethereum.org(opens in a new tab)