跳转至主要内容

帮助翻译此页面

🌏

由于尚未翻译,本页面内容仍为英文。请帮助我们翻译此内容。

翻译页面

没有错误!🐛

此页面未翻译,因此特意以英文显示。

已开放供提交

漏洞悬赏计划 🐛
找出协议、客户端和 Solidity 语言中影响到以太坊网络的漏洞,最高可赢取 $250,000 USD 并登上排行榜。
提交漏洞阅读规则
1
protolambda GitHub avatar
protolambda
42400 积分
🏆
2
guidovranken GitHub avatar
Guido Vranken
39350 积分
🥈
3
holiman GitHub avatar
Martin Holst Swende
38000 积分
🥉
4
samczsun GitHub avatar
Sam Sun
35000 积分
5
chainsecurity GitHub avatar
ChainSecurity
21000 积分
查看完整排行榜

参与悬赏计划的客户端

适用范围

我们的漏洞悬赏计划涵盖所有环节:从协议的可靠性(如区块链共识模型、线路协议和对等网络协议、工作量证明、权益证明等)及协议/实施是否符合规到网络安全和共识完整性。传统的客户端安全性以及加密加基元的安全性也是该计划的一部分。如有疑问请发送电子邮件至 bounty@eysum.org 向我们询问。

📒

规范漏洞

以太坊规范详细说明了执行层和共识层的设计原理。

共识层规范
执行层规范

漏洞类型

  • 安全性/触发崩溃的确定性漏洞
  • 拒绝服务 (DOS) 的潜在漏洞
  • 假设的不一致,例如诚实的验证者被惩罚的情况
  • 计算或参数的不一致性

规范文档

信标链
分支选择
Solidity 存款合约
点对点网络
💻

客户端漏洞

客户端运行以太坊网络,它们需要遵循规范中规定的逻辑并确保安全防范潜在的攻击。我们想要找出与实施协议相关的漏洞。

目前执行层客户端(Besu、Erigon、Geth 和 Nethermind)和共识层客户端(Lodestar、Nimbus、Teku 和 Prysm)都被列入漏洞奖励计划。当它们完成审计并且可用于生产环境后,更多的客户端会加入进来。

漏洞类型

  • 规范不兼容问题
  • 意外崩溃、远程代码执行或拒绝服务 (DOS) 漏洞
  • 导致共识与网络其他部分不可弥补地分裂的问题

帮助链接

Besu
Erigon
Geth
Lighthouse
Lodestar
Nimbus
Nethermind
Prysm
Teku
📖

Solidity 漏洞

有关该范围包含那些漏洞的详细信息,请参阅 Solidity SECURITY.MD。

Solidity 不对编译不信任输入提供安全保证 - 而且我们不会为 solc 编译器在编译恶意生成的数据时出现崩溃提供奖励。

帮助链接

SECURITY.md
📜

存款合约漏洞

信标链存款合约的规范和源代码涵盖在漏洞悬赏计划中。

超出范围

漏洞悬赏计划仅包括悬赏范围中列出的目标漏洞。这意味着我们的基础设置,例如网页、域名系统 (DNS)、邮箱等并不在悬赏范围内。REC20 合约漏洞通常不属于悬赏范围。然而我们可以帮助联系受影响的各方,例如合约作者或交易方。以太坊名称服务 (ENS) 由以太坊名称服务基金会维护,不在悬赏范围内。

提交漏洞

每发现一个有效漏洞,你都会获得奖励。奖励多少将因严重程度而异。严重程度是按照漏洞对以太坊网络的影响及出现的可能性,依据开放式 Web 应用程序安全项目 (OWASP) 风险评级模型计算的。 查看开放式网络应用程序安全项目方法

以太坊基金会将基于以下因素授予奖励:

描述的质量:组织清晰、描述清楚的提交者可获得更高的奖励。

可复现能力的质量:必须提供概念证明 (POC) 才能获得奖励。请提供测试代码、脚本和详细说明。我们越容易复现和核实漏洞,奖励越高。

修复质量(如果包含):清晰描述了如何修复问题的提交者可获得更高的奖励。

最高 2,000 USD

最高 2,000 USD

最多 1,000 积分

严重程度

  • 低影响力,中可能性
  • 中影响力,低可能性

示例

攻击者有时可以促使一个节点进入一种非正常的状态:以 1/100 的概率丢失验证者发来的证明信息。
提交低风险漏洞
最高 10,000 USD

最高 10,000 USD

最多 5,000 积分

严重程度

  • 高影响力,低可能性
  • 中影响力,中可能性
  • 低影响力,高可能性

示例

攻击者可以成功针对一类节点(对等点 ID 以 4 个 0 字节开头)发动日蚀攻击
提交中风险漏洞
最高 50,000 USD

最高 50,000 USD

最多 10,000 积分

严重程度

  • 高影响力,中可能性
  • 中影响力,高可能性

示例

两个客户端之间存在共识漏洞,但是它们并不容易成为攻击者的目标或这样做并不切实际。
提交高风险漏洞
最高 250,000 USD

高危

最高 250,000 USD

最多 25,000 积分

严重程度

  • 高影响力、高可能性

示例

一种主流客户端中存在远程代码执行漏洞,并且攻击者很容易触发该漏洞。
提交高危风险漏洞

漏洞悬赏规则

漏洞悬赏计划是一项针对充满活力的以太坊社区的实验性和自由裁量的奖励计划,旨在鼓励和奖励那些一直帮助改善平台的人。这项计划不是比赛。你应该知道我们可以随时取消该计划,并且奖励金额由以太坊基金会漏洞悬赏小组全权决定。此外,我们无法向在制裁名单上的个人或所在国家/地区(例如朝鲜、伊朗等)在制裁名单上的个人颁发奖励。当地法律要求我们向你索取身份证明。你需要为奖金支付相应税赋。所有奖励均受适用法律的约束。最后,你的测试不得违反任何法律或损坏任何非你所有的数据并且必须在本地运行的测试网上进行。

  • 未提供概念证明的问题、已经被其他用户提交过的问题或者规范及客户端维护人员已了解的问题,不符合奖励条件。
  • 已经公开的漏洞不适用于悬赏计划。
  • 以太坊基金会的员工和承包商或赏金计划范围内的客户端团队只能在积分累积的情况下参与该计划,并且不会获得金钱奖励。
  • 以太坊悬赏计划将考虑一系列影响奖赏金额的因素。参与资格、分数以及所有奖赏相关的因素将由以太坊基金会漏洞悬赏小组全权决定。

执行层漏洞奖金排行榜

找出执行层漏洞,跻身以下排行榜

1
holiman GitHub avatar
Martin Holst Swende
35500 积分
🏆
2
samczsun GitHub avatar
Sam Sun
35000 积分
🥈
3
guidovranken GitHub avatar
Guido Vranken
21750 积分
🥉
4
chainsecurity GitHub avatar
ChainSecurity
21000 积分
5
junorouse GitHub avatar
Juno Im
20500 积分
6
uknowy GitHub avatar
Yoonho Kim (team Hithereum)
20000 积分
7
johnyangk GitHub avatar
John Youngseok Yang (Software Platform Lab)
20000 积分
8
peckshield GitHub avatar
PeckShield
17000 积分
9
itsunixiknowthis GitHub avatar
ItsUnixIKnowThis
15000 积分
10
catageek GitHub avatar
Bertrand Masius
15000 积分
11
tintinweb GitHub avatar
Tin
12500 积分
12
Ralph Pichler
12500 积分
13
Bob Conan
12000 积分
14
lukaszmatczak GitHub avatar
Łukasz Matczak
11000 积分
15
Heilman/Marcus/Goldberg
10000 积分
16
jonasnick GitHub avatar
Jonas Nick
10000 积分
17
jtoman GitHub avatar
John Toman
10000 积分
18
Sebastian Henningsen
8000 积分
19
Dominic Brütsch
7500 积分
20
HarryR GitHub avatar
Harry Roberts
5000 积分
21
p- GitHub avatar
Peter Stöckli
5000 积分
22
Dedaub GitHub avatar
Neville Grech
5000 积分
23
EthHead GitHub avatar
EthHead
5000 积分
24
axic GitHub avatar
Alex Beregszaszi
3500 积分
25
SergioDemianLerner GitHub avatar
Sergio Demian Lerner
2500 积分
26
danhper GitHub avatar
Daniel Perez
2500 积分
27
yaronvel GitHub avatar
Yaron Velner
2000 积分
28
whitj00 GitHub avatar
Whit Jackson
2000 积分
29
Ming Chuan Lin
2000 积分
30
melonport GitHub avatar
Melonport team
2000 积分
31
maurelian GitHub avatar
Maurelian
2000 积分
32
Cjentzsch GitHub avatar
Christoph Jentzsch
2000 积分
33
hwanjo GitHub avatar
Hwanjo Heo
1500 积分
34
DVPNET GitHub avatar
DVP (dvpnet.io)
1200 积分
35
Vasily Vasiliev
1000 积分
36
talko GitHub avatar
talko
1000 积分
37
swaldman GitHub avatar
Steve Waldman
1000 积分
38
ptk GitHub avatar
Panu Kekäläinen
1000 积分
39
montyly GitHub avatar
Josselin Feist
1000 积分
40
henrit GitHub avatar
Henrit
1000 积分
41
BlameByte GitHub avatar
Marc Bartlett
1000 积分
42
Barry Whitehat
1000 积分
43
badmofo GitHub avatar
Lucas Ryan
1000 积分
44
agroce GitHub avatar
Alex Groce
1000 积分
45
n0thingness GitHub avatar
Daniel Briskin
750 积分
46
daenamkim GitHub avatar
Daenam Kim
750 积分
47
Myeongjae Lee
500 积分
48
Marcin Noga (Cisco/Talos Security)
500 积分
49
jazzybedi
500 积分
50
feeker GitHub avatar
Feeker - 360 ESG Codesafe Team
500 积分
51
ethernomad GitHub avatar
Jonathan Brown
500 积分
52
davidmurdoch GitHub avatar
David Murdoch
500 积分
53
wadeAlexC GitHub avatar
Alexander Wade
500 积分
54
gitpusha GitHub avatar
Luis Schliesske
200 积分

常见问题

What should a good vulnerability submission look like?

See a real example of a quality vulnerability submission.

Description: Remote Denial-of-service using non-validated blocks

Attack scenario: An attacker can send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Impact: An attacker can abuse CPU utilization on remote nodes, possibly causing full DoS.

Components: Go client version v0.6.8

Reproduction: Send a block to a Go node that contains many txs but no valid PoW.

Details: Blocks are validated in the method Process(Block, dontReact). This method performs expensive CPU-intensive tasks, such as executing transactions (sm.ApplyDiff) and afterward it verifies the proof-of-work (sm.ValidateBlock()). This allows an attacker to send blocks that may require a high amount of computation (the maximum gasLimit) but has no proof-of-work. If the attacker sends blocks continuously, the attacker may force the victim node to 100% CPU utilization.

Fix: Invert the order of the checks.

Is the bug bounty program is time limited?

No.

No end date is currently set. See the Ethereum Foundation blog for the latest news.

How are bounties paid out?

Rewards are paid out in ETH or DAI.

Rewards are paid out in ETH or DAI after the submission has been validated, usually a few days later. Local laws require us to ask for proof of your identity. In addition, we will need your ETH address.

Can I donate my reward to charity?

Yes!

We can donate your reward to an established charitable organization of your choice.

I reported an issue / vulnerability but have not received a response!

Please allow a few days for someone to respond to your submission.

We aim to respond to submissions as fast as possible. Feel free to email us at bounty@ethereum.org if you have not received a response within a day or two.

I want to be anonymous / I do not want my name on the leader board.

You can do this, but it might make you ineligble for rewards.

Submitting anonymously or with a pseudonym is OK, but will make you ineligible for ETH/DAI rewards. To be eligible for ETH/DAI rewards, we require your real name and a proof of your identity. Donating your bounty to a charity doesn’t require your identity.

Please let us know if you do not want your name/nick displayed on the leader board.

What are the points in the leaderboard?

Every found vulnerability / issue is assigned a score

Every found vulnerability / issue is assigned a score. Bounty hunters are ranked on our leaderboard by total points.

Do you have a PGP key?

Yes. Expand for details.

Please use AE96 ED96 9E47 9B00 84F3 E17F E88D 3334 FA5F 6A0A

PGP Key

有问题?

发邮件给我们: bounty@ethereum.org

✉️

本页面对您有帮助吗?

网站最后更新: 2022年10月4日

使用以太坊

  • 查找钱包
  • 获取 ETH
  • 去中心化应用 (dapps)
  • 第二层
  • 运行一个节点
  • 稳定币
  • 质押以太币

生态系统

  • 社区中心
  • 以太坊基金会
  • 以太坊基金会博客
  • 生态系统支持方案
  • 以太坊漏洞悬赏计划
  • 生态系统资助计划
  • 以太坊品牌资产
  • Devcon