加入懸賞計劃的用戶端
適用範圍
我們的漏洞回報獎勵計畫涵蓋端對端:從協定的健全性 (例如區塊鏈共識模型、有線和 p2p 協定、權益證明等) 和協定/實作合規性到網路安全和共識完整性。傳統的用戶端安全性和加密原語的安全性也是該計畫的一部分。如有疑問,請寄送電子郵件至 bounty@ethereum.org 詢問我們。您也可以直接向 bounty@ethereum.orgopens email client 提交揭露/漏洞,在此情況下,我們要求您使用我們的 PGP 金鑰opens in a new tab加密訊息。
規範漏洞
以太坊規範詳細説明了執行層和共識層的設計原理。
執行層規範opens in a new tab
錯誤類型
- 破壞安全性/最終性的漏洞
- 阻斷服務 (DOS) 媒介
- 不一致假設,例如誠實驗證者大數減少情況
- 計算或參數不一致
用戶端錯誤
用戶端運行以太坊網路,它們需要遵循規範中的邏輯設定並安全防範潛在的攻擊。我們想要找出與協議實現相關的漏洞。
目前執行層用戶端(Besu、Erigon、Geth、Nethermind 和 Reth)和共識層用戶端(Lighthouse、Lodestar、Nimbus、Teku 和 Prysm)都包含在漏洞懸賞計劃内。當完成審計並準備好在生產環境中使用時,可能會添加更多的用戶端。
錯誤類型
- 規範兼容性問題
- 意外崩潰、遠端程式碼執行或阻斷服務 (DOS) 漏洞
- 任何無法恢復之共識分裂問題將被分隔於其他網路
語言編譯器錯誤
Solidity 和 Vyper 編譯器包含在漏洞懸賞計劃中。請附上所有復現安全漏洞所需的細節,例如:觸發該漏洞的輸入程式碼、受影響的編譯器版本、目標以太坊虛擬機版本、框架/整合式開發環境(若適用)、以太坊虛擬機執行環境/用戶端(若適用)以及作業系統。請儘可能詳細地附上復現所找到漏洞的步驟。
Solidity 和 Vyper 對不受信任輸入的編譯結果不提供任何安全保證——我們不會獎勵因惡意產生的資料造成的編譯器崩潰。
儲放合約錯誤
信標鏈存款合約的規範和原始程式碼都是漏洞懸賞計劃的一部分。
依賴性錯誤
某些依賴關係對於以太坊網路的運行至關重要,其中有一些已經被添加到漏洞懸賞計劃。目前,漏洞懸賞計劃中包含的依賴關係清單有 C-KZG-4844 和 Go-KZG-484。
漏洞嚴重性級別
嚴重性是根據所發現的漏洞能做到以下事項的能力來評估:
低嚴重性
- 懲罰 >0.01% 的驗證者
- 輕易地導致網路分裂,影響 >0.01% 的網路
- 能夠透過傳送單一網路封包或鏈上交易,癱瘓 >0.01% 的網路
中等嚴重性
- 懲罰 >1% 的驗證者
- 輕易地導致網路分裂,影響 >5% 的網路
- 能夠透過傳送單一網路封包或鏈上交易,癱瘓 >5% 的網路
高嚴重性
- 懲罰 >33% 的驗證者
- 輕易地導致網路分裂,影響 >33% 的網路
- 能夠透過傳送單一網路封包或鏈上交易,癱瘓 >33% 的網路
極嚴重性
- 懲罰 >50% 的驗證者
- 利用 EIP/規格或用戶端漏洞,輕易地創造無限量的 ETH,並被網路最終確認
- 從所有 EOA 竊取 ETH
- 從所有 EOA 銷毀 ETH
- 透過傳送單一惡意鏈上交易來癱瘓整個網路,最終導致所有用戶端崩潰
超出範圍
只有範圍內的目標才屬於漏洞回報獎勵計畫的一部分。不符合本計畫資格的漏洞包括:
- 基礎設施漏洞——例如網頁、dns、電子郵件等。*
- ERC-20 合約漏洞*
- 以太坊域名服務 (ENS) 漏洞 (由 ENS 基金會維護)
- 需要使用者公開 API 的漏洞,例如 JSON-RPC 或信標 API
- 打字錯誤
- 測試
- 高度費力 (持續性、CPU 或頻寬密集型,及/或需要超過 1 個封包或鏈上交易) 的單一對等點阻斷服務 (DoS) 攻擊
- 任何公開已知問題 (包括論壇文章、PR、github 問題、提交、部落格文章、公開的 discord 訊息等)
*這些通常不包括在內,但是,在這種情況下,我們可以協助聯絡受影響的各方,例如作者或交易所。
提交漏洞
每發現一個有效的漏洞,您都將獲得獎勵。獎勵的數量將依據嚴重性而有所不同。嚴重性是根據 OWASP 風險評級模型,基於對以太坊網路的影響和可能性來計算。 查看開放式 Web 應用程式安全計劃 (OWASP) 的方法opens in a new tab
以太坊基金會也將基於以下提供獎勵:
描述品質: 清晰, 描寫清楚提交件將獲得高獎勵
再現性的品質:必須包含概念證明 (POC) 才有資格獲得獎勵。請包含測試程式碼、腳本和詳細說明。對我們來說,重現和驗證漏洞越容易,獎勵就越高。
修復品質(如果包含):明確描述如何修復問題的內容將獲得更高的獎勵。
低
高達 2,000 USD
高達 1,000 積分
嚴重程度
- 低影響力,中等可能性
- 中等影響力,低可能性
範例
攻擊者將可能置節點於非正常狀態並使其有 1% 驗證者失敗接收率。
中
高達 10,000 USD
高達 5,000 積分
嚴重程度
- 高影響力,低可能性
- 中等影響力,中等可能性
- 低影響力,高可能性
範例
攻擊者可以成功對一類節點(具有 4 個前導零字節位元組的對等 ID)進行日蝕攻擊
高
高達 50,000 USD
高達 10,000 積分
嚴重程度
- 高影響力,中等可能性
- 中等影響力,高可能性
範例
攻擊者可以成功分割網路的大部分,而且攻擊者很容易觸發該漏洞
危急
高達 250,000 USD
高達 25,000 積分
嚴重程度
- 高影響力,高可能性
範例
攻擊者可以在大多數用戶端成功進行遠端程式碼執行,並且攻擊者很容易觸發該漏洞
漏洞尋找規則
漏洞回報獎勵計畫是一項實驗性、自主裁量的獎勵計畫,旨在鼓勵和獎勵我們活躍的以太坊社群中協助改進平台的人。這不是一場競賽。您應知悉,我們可隨時取消本計畫,且獎勵由以太坊基金會漏洞回報獎勵小組全權決定。此外,我們無法向制裁名單上的個人或身處制裁名單所列國家 (例如,北韓、伊朗等) 的個人發放獎勵。當地法律要求我們索取您的身分證明。您需負責所有稅務。所有獎勵均受適用法律約束。最後,您的測試不得違反任何法律或損害任何不屬於您的資料,且必須在本地運行的測試網上進行。
- 未提供概念證明、已經被其他用戶提交過或者規範和用戶端維護人員已經瞭解的問題,不適用於懸賞獎勵。
- 未經過事先同意公開揭露漏洞或向其他方報告,都會使漏洞不適用於懸賞。
- 以太坊基金會的員工和承攬人或懸賞計劃範圍内的用戶端團隊可以參與該計劃,但只會纍積積分而不會收到金錢獎勵。
- 以太坊懸賞計劃在決定獎勵時會考慮許多可變因素。參與資格的判定、分數以及所有獎勵相關的條款由以太坊基金會漏洞懸賞小組全權決定。
執行層漏洞懸賞計劃排行榜
找出執行層漏洞,躋身本排行榜
共識層漏洞懸賞計劃排行榜
找出共識層漏洞,躋身本排行榜
有問題嗎?