Перейти до основного контенту

Заявки на участь ще приймаються

Програма винагород за пошук помилок

Заробіть до 250 000 дол. США й увійдіть до таблиці лідерів, знаходячи помилки в протоколі, клієнтах і Solidity, що впливають на мережу Ethereum.

Повідомити про помилку(opens in a new tab)Читати правила
Переглянути повні таблиці лідерів

Клієнти, що беруть участь у винагородах

Охоплюється програмою

Наша програма винагород за пошук помилок охоплює всі етапи: від надійності протоколів (як-от модель консенсусу блокчейну, проводові й однорангові протоколи, доказ частки тощо), сумісності протоколів і впровадження до безпеки мережі й цілісності консенсусу. Програма також розповсюджується на класичну систему захисту клієнтів і криптографічних примітивів. Якщо маєте сумніви, звертайтеся із запитаннями на електронну адресу bounty@ethereum.org.

Помилки специфікацій

У специфікаціях Ethereum детально описується обґрунтування дизайну виконавчого рівня та рівня консенсусу.

Специфікації рівня консенсусу(opens in a new tab)
Специфікації виконавчого рівня(opens in a new tab)

Було б корисно переглянути такі коментарі:

Типи помилок

  • Помилки безпеки / помилки, що порушують завершеність
  • Вектори DOS-атак
  • Невідповідність у припущеннях, як-от ситуації, коли чесних валідаторів можна скоротити
  • Невідповідності в розрахунках або параметрах

Документи специфікацій

Помилки клієнта

Клієнти запускають мережу Ethereum і повинні дотримуватися логіки, викладеної в специфікації, а також бути захищеними від потенційних атак. Помилки, які ми хочемо знайти, пов’язані з впровадженням протоколу.

Наразі клієнти виконавчого рівня (Besu, Erigon, Geth і Nethermind) і клієнти рівня консенсусу (Lighthouse, Lodestar, Nimbus, Teku та Prysm) включені до програми винагород за пошук помилок. Інших клієнтів можуть додати після завершення аудиту, коли вони будуть готові до функціонування.

Типи помилок

  • Проблеми з невідповідністю специфікації
  • Несподівані збої, вразливості RCE або відмови в обслуговуванні (DOS)
  • Будь-які проблеми, що ведуть до незворотних від’єднань консенсусу від решти мережі

Помилки Solidity

Див. SECURITY.MD мовою програмування Solidity, щоб отримати детальнішу інформацію про те, що охоплює ця категорія.

Solidity не забезпечує гарантій безпеки щодо компіляції ненадійних введених даних, і ми не видаємо винагороди за збої компілятора solc на зловмисно згенерованих даних.

Корисні посилання

Помилки депозитного контракту

Специфікації та вихідний код депозитного контракту Beacon Chain є частиною програми винагород за пошук помилок.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

За межами програми

Тільки цілі, наведені в списку об’єктів у межах програми, беруть участь у програмі винагород за пошук помилок. Це означає, що, наприклад, наша інфраструктура, як-от вебсторінки, DNS, електронна пошта тощо, не входять в обсяги пошуку. Помилки контракту ERC20 зазвичай не входять в обсяги пошуку. Але ми можемо допомогти зв’язатися з постраждалими сторонами, як-от відповідні автори або обмінники. Керування ENS здійснюється фондом ENS і також не входить в обсяги пошуку.

Повідомити про помилку

За кожну знайдену дійсну помилку ви зароблятимете винагороди. Кількість присуджених винагород залежатиме від серйозності помилок. Серйозність визначається відповідно до моделі оцінки ризиків OWASP на основі впливу на мережу Ethereum і рівня ймовірності. Перегляньте метод OWASP(opens in a new tab)

EF також надаватиме винагороди на основі таких факторів:

Якість опису: що чіткіший і зрозуміліший опис помилки ви подасте, то вищу винагороду отримаєте.

Якість відтворюваності: щоб мати право на винагороду, необхідно додати доказ концепції (Proof of Concept, POC). Додайте тестовий код, сценарії та детальні інструкції. Що простіше для нас відтворити й перевірити вразливість, то вища нагорода.

Якість виправлення, якщо включено: вищі винагороди виплачуються за подані матеріали з чітким описом того, як усунути проблему.

До 2000 дол. США

Низький

До 2000 дол. США

До 1000 балів


Серйозність

  • Незначний вплив, середня ймовірність
  • Середній вплив, низька ймовірність

Приклад

Іноді зловмисник може перевести вузол у стан, який спричиняє видалення однієї атестації з кожних ста, зроблених валідатором
Повідомлення про помилку з низьким ступенем ризику(opens in a new tab)
До 10 000 дол. США

Середній

До 10 000 дол. США

До 5000 балів


Серйозність

  • Серйозний вплив, низька ймовірність
  • Середній вплив, середня ймовірність
  • Низький вплив, висока ймовірність

Приклад

Зловмисник може здійснювати успішні атаки затемнення на вузли з одноранговими ідентифікаторами з 4 провідними нульовими байтами
Повідомлення про помилку із середнім ступенем ризику(opens in a new tab)
До 50 000 дол. США

Серйозний

До 50 000 дол. США

До 10 000 балів


Серйозність

  • Серйозний вплив, середня ймовірність
  • Середній вплив, висока ймовірність

Приклад

Зловмисник може успішно розділяти великі частини мережі, а також із легкістю ініціювати виникнення вразливості
Повідомлення про помилку із серйозним ступенем ризику(opens in a new tab)
До 250 000 дол. США

Критичний

До 250 000 дол. США

До 25 000 балів


Серйозність

  • Серйозний вплив, висока ймовірність

Приклад

Зловмисник може успішно провести виконання віддаленого коду у важливому клієнті, а також із легкістю ініціювати виникнення вразливості
Повідомлення про помилку з критичним ступенем ризику(opens in a new tab)

Правила пошуку помилок

Програма винагород за пошук помилок — це експериментальна та дискреційна програма винагород для нашої активної спільноти Ethereum, щоб заохочувати та винагороджувати тих, хто допомагає покращувати платформу. Це не змагання. Ви повинні знати, що ми можемо скасувати програму в будь-який час і що нагороди призначаються на власний розсуд ради з винагород за пошук помилок Ethereum Foundation. Крім того, ми не можемо видавати нагороди особам, які внесені до санкційних списків або перебувають у країнах із санкційних списків (наприклад, у Північній Кореї, Ірані тощо). Місцеві закони вимагають від нас запитувати документ, що підтверджує вашу особу. Ви несете відповідальність за всі податки. Усі нагороди регулюються чинним законодавством. Нарешті, ваше тестування не повинно порушувати жодного закону або компрометувати будь-які дані, які не належать вам, а також має проводитися в локальних тестових мережах.

  • Проблеми без доказу концепції (POC) або які вже були подані іншим користувачем чи вже відомі фахівцям із супроводження специфікації та клієнта, не дають права на отримання винагород.
  • Публічне розкриття вразливості робить неможливим отримання винагороди.
  • Працівники та підрядники Ethereum Foundation або команди, що працюють над клієнтом, залучені до програми винагород, можуть брати в ній участь лише за нарахування балів і не отримуватимуть грошові винагороди.
  • Програма винагород Ethereum враховує ряд змінних під час визначення винагород. Придатність, оцінки та всі умови, пов’язані з нагородою, остаточно визначаються радою з винагород за пошук помилок Ethereum Foundation.

Таблиця лідерів програми винагород за пошук помилок на виконавчому рівні

Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на виконавчому рівні

Таблиця лідерів програми винагород за пошук помилок на рівні консенсусу

Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на рівні консенсусу

Поширені запитання

Запитання?

Напишіть нам: bounty@ethereum.org(opens in a new tab)

Чи була ця сторінка корисною?