加入懸賞計劃的用戶端
適用範圍
我們的漏洞懸賞計劃涵蓋端到端:從協議的健全性(例如區塊鏈共識模型、有線和點對點協議、權益證明等)及協議/實作合規性到網路安全和共識完整性。經典的用戶端安全性以及加密原語的安全性也是該計劃的一部分。如有疑問,請發送電子郵件至 bounty@ethereum.org 並詢問我們。你也可以直接向 bounty@ethereum.org(opens in a new tab) 提交揭露/漏洞,在這種情況下,我們要求你使用我們的PGP 金鑰(opens in a new tab)加密訊息
規範漏洞
以太坊規範詳細説明了執行層和共識層的設計原理。
執行層規範(opens in a new tab)
漏洞類型
- 破壞安全性/最終性的漏洞
- 阻斷服務 (DOS) 媒介
- 不一致假設,例如誠實驗證者大數減少情況
- 計算或參數不一致
用戶端錯誤
用戶端運行以太坊網路,它們需要遵循規範中的邏輯設定並安全防範潛在的攻擊。我們想要找出與協議實現相關的漏洞。
目前執行層用戶端(Besu、Erigon、Geth、Nethermind 和 Reth)和共識層用戶端(Lighthouse、Lodestar、Nimbus、Teku 和 Prysm)都包含在漏洞懸賞計劃内。當完成審計並準備好在生產環境中使用時,可能會添加更多的用戶端。
漏洞類型
- 規範兼容性問題
- 意外崩潰、遠端程式碼執行或阻斷服務 (DOS) 漏洞
- 任何無法恢復之共識分裂問題將被分隔於其他網路
Solidity 錯誤
查看 Solidity SECURITY.MD 以獲取更多關於該範圍包含哪些漏洞的詳情。
Solidity 不對不受信任的編譯提供安全保證,並且針對 solc 編譯器在編譯惡意生成的數據時出現的崩潰,我們不會提供獎勵。
儲放合約錯誤
信標鏈存款合約的規範和原始程式碼都是漏洞懸賞計劃的一部分。
依賴性錯誤
某些依賴關係對於以太坊網路的運行至關重要,其中有一些已經被添加到漏洞懸賞計劃。目前,漏洞懸賞計劃中包含的依賴關係清單有 C-KZG-4844 和 Go-KZG-484。
超出範圍
只有適用範圍中列出的目標漏洞是漏洞懸賞計劃的一部分。這意味著我們的基礎設施,例如網頁、域名系統、電子郵件等並不在懸賞範圍内。ERC20 合約漏洞通常也不在合約範圍内。然而,我們可以幫助聯係受影響方,例如作者或交易所。以太坊名稱服務由以太坊名稱服務基金會進行維護,不在懸賞範圍内。需要使用者公開他們應用程式介面(如 JSON-RPC 或信標應用程式介面)的漏洞也不在漏洞懸賞計劃的範圍内。
提交漏洞
每發現一個有效的漏洞,你都將獲得獎勵。獎勵數量將根據嚴重程度而有所不同。嚴重性是基於對以太坊網路的影響和可能性、採用 OWASP 風險評級模型來計算。 查看開放式 Web 應用程式安全計劃 (OWASP) 的方法(opens in a new tab)
以太坊基金會也將基於以下提供獎勵:
描述品質: 清晰, 描寫清楚提交件將獲得高獎勵
再現性的品質:必須包含概念證明 (POC) 才有資格獲得獎勵。請包含測試程式碼、腳本和詳細說明。對我們來說,重現和驗證漏洞越容易,獎勵就越高。
修復品質(如果包含):明確描述如何修復問題的內容將獲得更高的獎勵。
低
高達 2,000 USD
高達 1,000 積分
嚴重程度
- 低影響力,中等可能性
- 中等影響力,低可能性
範例
中
高達 10,000 USD
高達 5,000 積分
嚴重程度
- 高影響力,低可能性
- 中等影響力,中等可能性
- 低影響力,高可能性
範例
高
高達 50,000 USD
高達 10,000 積分
嚴重程度
- 高影響力,中等可能性
- 中等影響力,高可能性
範例
危急
高達 250,000 USD
高達 25,000 積分
嚴重程度
- 高影響力,高可能性
範例
漏洞尋找規則
漏洞懸賞計劃是為針對活躍以太坊社群的可自由裁量的實驗性獎勵計劃,旨在鼓勵和獎勵那些一直幫助改善平台的人。該計劃不是比賽。你需要知道我們隨時可以取消該計劃,並且獎勵由以太坊基金會的漏洞懸賞小組全權決定。此外,我們無法向制裁名單上的個人或所處國家(即北韓、伊朗等)在制裁清單上的個人提供獎勵。當地法律需要我們向你索要身份證明。你需要支付所有與獎勵相關的稅費。所有獎勵都受到法律的約束。最後,你的測試也不能違反任何法律或損害任何他人的數據,並且必須在本地運行的測試網上進行。
- 未提供概念證明、已經被其他用戶提交過或者規範和用戶端維護人員已經瞭解的問題,不適用於懸賞獎勵。
- 未經過事先同意公開揭露漏洞或向其他方報告,都會使漏洞不適用於懸賞。
- 以太坊基金會的員工和承攬人或懸賞計劃範圍内的用戶端團隊可以參與該計劃,但只會纍積積分而不會收到金錢獎勵。
- 以太坊懸賞計劃在決定獎勵時會考慮許多可變因素。參與資格的判定、分數以及所有獎勵相關的條款由以太坊基金會漏洞懸賞小組全權決定。
執行層漏洞懸賞計劃排行榜
找出執行層漏洞,躋身本排行榜
共識層漏洞懸賞計劃排行榜
找出共識層漏洞,躋身本排行榜
- 5