以太坊漏洞賞金計畫 | ⁦ethereum.org⁩

賞金計畫包含的客戶端

範圍內

我們的漏洞賞金計畫涵蓋端到端：從協定的健全性（例如區塊鏈共識模型、傳輸和點對點協定、權益證明 (PoS) 等）和協定/實作的合規性，到網路安全和共識完整性。傳統的客戶端安全以及密碼學原語的安全也是該計畫的一部分。所有錯誤揭露和漏洞提交都必須透過我們的錯誤提交表單 (opens in a new tab)進行。

規格錯誤

以太坊規格詳細說明了執行層和共識層的設計理念。

共識層規格
執行層規格

查看以下註解可能會有所幫助：

錯誤類型

破壞安全性/最終性的錯誤
阻斷服務 (DOS) 攻擊向量
假設不一致，例如誠實的驗證者可能被罰沒的情況
計算或參數不一致

規格文件

客戶端錯誤

客戶端運行以太坊網路，它們需要遵循規格中設定的邏輯，並確保安全以防範潛在攻擊。我們希望找到的錯誤與協定的實作有關。

目前執行層客戶端（貝蘇、艾瑞貢、Geth、奈瑟邁與瑞斯）和共識層客戶端（萊特豪斯、洛德斯塔、寧布斯、泰庫與普萊斯姆）均包含在漏洞賞金計畫中。

錯誤類型

不符合規格的問題
非預期的崩潰、遠端程式碼執行 (RCE) 或阻斷服務 (DOS) 漏洞
任何導致與網路其餘部分產生無法修復的共識分裂的問題

實用連結

語言編譯器錯誤

Solidity 和 Vyper 編譯器屬於漏洞賞金計畫的範圍。請提供重現漏洞所需的所有詳細資訊，例如：觸發錯誤的輸入程式、受影響的編譯器版本、目標 EVM 版本、框架/IDE（如果適用）、EVM 執行環境/客戶端（如果適用）以及作業系統。請盡可能詳細地提供重現您所發現錯誤的步驟。

Solidity 和 Vyper 對於不受信任輸入的編譯不提供安全保證，我們也不會對編譯器因惡意產生的資料而崩潰的情況發放獎勵。

實用連結

Solidity

Vyper

存款合約錯誤

信標鏈存款合約的規格和原始碼是漏洞賞金計畫的一部分。

實用連結

存款合約規格
存款合約原始碼

相依性錯誤

某些相依性對於以太坊網路的運作至關重要，其中一些已加入漏洞賞金計畫。目前，包含在漏洞賞金計畫中的相依性清單為 C-KZG-4844 和 Go-KZG-4844。

實用連結

C-KZG-4844
Go-ETH-KZG

範圍外

只有列在範圍內的目標才屬於漏洞賞金計畫的一部分。不符合該計畫資格的漏洞包括：

✕基礎設施錯誤——例如網頁、DNS、電子郵件等。^*
✕ERC-20 合約錯誤^*
✕以太坊域名服務 (ENS) 錯誤（由 ENS 基金會維護）
✕要求使用者公開暴露 API 的漏洞，例如 JSON-RPC 或信標 API
✕EngineAPI 被視為受信任的，不應公開暴露
✕錯別字
✕測試
✕高成本（持續性、耗費大量 CPU 或頻寬，和／或要求超過 1 個封包或鏈上交易）的單一對等節點 DoS 攻擊
✕任何公開已知的問題（包含論壇貼文、PR、GitHub 問題、提交紀錄、部落格文章、公開的 Discord 訊息等）
✕任何目前對以太坊主網沒有直接影響的事物。

^*這些不包含在內，但是，我們有時可以協助聯絡受影響的各方

漏洞尋找規則

漏洞賞金計畫是為我們活躍的以太坊社群提供的一項實驗性且具裁量權的獎勵計畫，旨在鼓勵和獎勵那些幫助改善平台的人。這不是一場比賽。您應該了解，我們可以隨時取消該計畫，且獎勵由以太坊基金會漏洞賞金小組全權決定。此外，我們無法向制裁名單上的個人或位於制裁名單國家（例如北韓、伊朗等）的個人發放獎勵。當地法律要求我們要求您提供身分證明。您需自行負擔所有稅賦。所有獎勵均受適用法律約束。最後，您的測試不得違反任何法律或損害任何不屬於您的資料，並且必須在本地運行的測試網上進行。