Допоможіть перекласти цю сторінку

🌏

Ця сторінка відображається англійською мовою, оскільки ми ще не переклали її. Допоможіть нам у цьому.

Це не помилка!🐛

Ця сторінка не перекладається. Ми навмисно поки що залишили її англійською.

Заявки ще приймаються

Винагороди за знайдення помилок в оновленні Eth2 🐛
Отримайте до 50 000 доларів США та місце на дошці лідерів, знайшовши помилки протоколу та клієнтів Eth2.

Клієнти, що беруть участь у винагородах

Дійсні помилки

Ця програма винагород за помилки націлена на пошук помилок в основі специфікації Eth2 Beacon Chain, а також у реалізаціях клієнтів Lighthouse, Nimbus, Teku та Prysm.

📒

Помилки в специфікації Beacon Chain

У специфікації Beacon Chain чітко описано дизайн і зміни для мережі Ethereum, запропоновані в рамках оновлення Beacon Chain.

Читати всю спеціфікацію
Execution Layer Specifications

Типи помилок

  • помилки, що перешкоджають завершенню блоку або пов’язані з безпекою;
  • DOS-вектори;
  • невідповідності в припущеннях, зокрема в ситуаціях, коли чесного валідатора визнано зловмисним;
  • невідповідності в розрахунках або параметрах.
💻

Помилки з клієнтами Eth2

Клієнти запустять Beacon Chain відразу після впровадження оновлення. Клієнти мають відповідати вимогам у специфікації та захищати вас від потенційних атак. Помилки, які потрібно знайти, пов’язані з протоколом налаштувань.

Цю винагороду можна отримати за виявлення таких помилок, як Lighthouse, Nimbus, Teku та Prysm. Після завершення аудиту та готовності до експлуатації можна додати більше клієнтів.

Типи помилок

  • невідповідності специфікації;
  • неочікувані збої чи перешкоди в роботі DOS;
  • будь-які проблеми, що ведуть до незворотного від’єднання від решти мережі;

Корисні посилання

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity bugs

See the Solidity SECURITY.MD for more details about what is included in this scope.

Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.

Корисні посилання

SECURITY.md
📜

Deposit Contract bugs

The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Не включено

Процес об’єднання та оновлення стосовно ланцюгів сегментів даних усе ще в активній розробці, тому не включені до цієї програми винагород.

Повідомити про помилку

За кожну виявлену помилку ви отримуватимете бали. Їх кількість залежатиме від того, наскільки серйозною є помилка. Організація Ethereum Foundation визначає рівень помилки за допомогою методу OWASP. Перегляньте метод OWASP

Ethereum Foundation також надаватиме бали на основі таких факторів:

Якість опису: Що чіткіше й добре написано інформацію, то кращу винагороду ви отримаєте.

Якість відтворюваності: Додайте код тесту, скрипти та детальні інструкції. Що простіше нам створювати й перевіряти вразливість, то вища нагорода.

Якість виправлення, (якщо є) вищі винагороди надаються за інформацію з чітким описом способу вирішення проблеми.

До 2000 DAI

Незначна

До 2000 DAI

До 1000 балів

Значимість

  • Незначний вплив, середня ймовірність
  • Середній вплив, низька ймовірність

Приклад

Іноді зловмисник може завести вузол у стан, що спричиняє видалення по одній атестації зі ста наявних, зроблених валідатором
Повідомити про незначну помилку
До 10 000 DAI

Середня

До 10 000 DAI

До 5000 балів

Значимість

  • Серйозний вплив, низька ймовірність
  • Середній вплив, середня ймовірність
  • Незначний вплив, висока ймовірність

Приклад

Зловмисник може успішно атакувати вузли з одноранговими ідентифікаторами з 4 провідними нульовими байтами
Повідомити про помірну помилку
До 20 000 DAI

Серйозна

До 20 000 DAI

До 10 000 балів

Значимість

  • Серйозний вплив, середня ймовірність
  • Середній вплив, висока ймовірність

Приклад

Існує консенсусна помилка між двома клієнтами, але зловмиснику важко (майже неможливо) запустити подію.
Повідомити про серйозну помилку
До 50 000 DAI

Критична

До 50 000 DAI

До 25 000 балів

Значимість

  • Серйозний вплив, висока ймовірність

Приклад

Існує консенсусна помилка між двома клієнтами, але зловмисник може легко запустити подію.
Повідомити про критичну помилку

Правила пошуку помилок

Програма виявлення помилок – це експериментальна й самостійна програма винагород для нашої активної спільноти Ethereum, покликана заохочувати користувачів покращувати платформу за винагороди. Це не змагання. Пам’ятайте, що ми можемо будь-коли скасувати програму, а також що винагородами керує організація Ethereum Foundation. Крім того, ми не надаємо винагороди особам, яких внесено в санкційні списки (наприклад, КНДР, Іран тощо). Ви несете відповідальність за сплату всіх податків. Усі винагороди повинні відповідати вимогам чинного законодавства. І останнє: ваше тестування не має порушувати закон або компрометувати дані, які вам не належать.

  • Проблеми, які вже були представлені іншим користувачем або вже відомі специфікаціям, а супроводжуючі клієнтів не мають права на винагороду.
  • Публічне розкриття вразливості робить неможливим отримання винагороди.
  • Дослідники й працівники організації Ethereum Foundation, що є учасниками команди з розробки оновлень Eth2, не можуть отримувати винагороди.
  • Програма винагород Ethereum зважає на ряд змінних у визначенні нагород. Придатність, оцінки та всі умови, пов’язані з винагородою, остаточно визначаються комітетом Ethereum Foundation.

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

1
samczsun GitHub avatar
Sam Sun
35000 бали
🏆
2
holiman GitHub avatar
Martin Holst Swende
33500 бали
🥈
3
chainsecurity GitHub avatar
ChainSecurity
21000 бали
🥉
4
junorouse GitHub avatar
Juno Im
20500 бали
5
uknowy GitHub avatar
Yoonho Kim (team Hithereum)
20000 бали
6
johnyangk GitHub avatar
John Youngseok Yang (Software Platform Lab)
20000 бали
7
guidovranken GitHub avatar
Guido Vranken
18000 бали
8
peckshield GitHub avatar
PeckShield
17000 бали
9
itsunixiknowthis GitHub avatar
ItsUnixIKnowThis
15000 бали
10
catageek GitHub avatar
Bertrand Masius
15000 бали
11
tintinweb GitHub avatar
Tin
12500 бали
12
Ralph Pichler
12500 бали
13
Bob Conan
12000 бали
14
lukaszmatczak GitHub avatar
Łukasz Matczak
11000 бали
15
Heilman/Marcus/Goldberg
10000 бали
16
jonasnick GitHub avatar
Jonas Nick
10000 бали
17
jtoman GitHub avatar
John Toman
10000 бали
18
Sebastian Henningsen
8000 бали
19
Dominic Brütsch
7500 бали
20
HarryR GitHub avatar
Harry Roberts
5000 бали
21
p- GitHub avatar
Peter Stöckli
5000 бали
22
Dedaub GitHub avatar
Neville Grech
5000 бали
23
EthHead GitHub avatar
EthHead
5000 бали
24
SergioDemianLerner GitHub avatar
Sergio Demian Lerner
2500 бали
25
danhper GitHub avatar
Daniel Perez
2500 бали
26
yaronvel GitHub avatar
Yaron Velner
2000 бали
27
whitj00 GitHub avatar
Whit Jackson
2000 бали
28
Ming Chuan Lin
2000 бали
29
melonport GitHub avatar
Melonport team
2000 бали
30
maurelian GitHub avatar
Maurelian
2000 бали
31
Cjentzsch GitHub avatar
Christoph Jentzsch
2000 бали
32
DVPNET GitHub avatar
DVP (dvpnet.io)
1200 бали
33
Vasily Vasiliev
1000 бали
34
talko GitHub avatar
talko
1000 бали
35
swaldman GitHub avatar
Steve Waldman
1000 бали
36
ptk GitHub avatar
Panu Kekäläinen
1000 бали
37
montyly GitHub avatar
Josselin Feist
1000 бали
38
henrit GitHub avatar
Henrit
1000 бали
39
BlameByte GitHub avatar
Marc Bartlett
1000 бали
40
Barry Whitehat
1000 бали
41
badmofo GitHub avatar
Lucas Ryan
1000 бали
42
agroce GitHub avatar
Alex Groce
1000 бали
43
n0thingness GitHub avatar
Daniel Briskin
750 бали
44
daenamkim GitHub avatar
Daenam Kim
750 бали
45
Myeongjae Lee
500 бали
46
Marcin Noga (Cisco/Talos Security)
500 бали
47
jazzybedi
500 бали
48
feeker GitHub avatar
Feeker - 360 ESG Codesafe Team
500 бали
49
ethernomad GitHub avatar
Jonathan Brown
500 бали
50
davidmurdoch GitHub avatar
David Murdoch
500 бали
51
wadeAlexC GitHub avatar
Alexander Wade
500 бали
52
gitpusha GitHub avatar
Luis Schliesske
200 бали

Поширені запитання

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

Запитання?

Email us: bounty@ethereum.org

✉️

Was this page helpful?