此页面未翻译,因此特意以英文显示。
参与悬赏计划的客户端
我们的漏洞悬赏计划涵盖所有 环节:从协议的可靠性(如区块链共识模型、线路协议和对等网络协议、权益证明等)及协议/实现是否符合规到网络安全和共识完整性。传统的客户端安全性以及加密加基元的安全性也是该计划的一部分。如有疑问,请发送电子邮件至 bounty@ethereum.org 向我们询问。
以太坊规范详细说明了执行层和共识层的设计原理。
查看以下注释可能会有所帮助:
客户端运行以太坊网络,它们需要遵循规范中规定的逻辑并确保安全防范潜在的攻击。我们想要找出与实施协议相关的漏洞。
目前执行层客户端(Besu、Erigon、Geth 和 Nethermind)和共识层客户端(Lodestar、Nimbus、Teku 和 Prysm)都被列入漏洞奖励计划。当它们完成审计并且可用于生产环境后,更多的客户端会加入进来。
有关该范围包含那些漏洞的详细信息,请参阅 Solidity SECURITY.MD。
Solidity 不对编译不信任输入提供安全保证 - 而且我们不会为 solc 编译器在编译恶意生成的数据时出现崩溃提供奖励。
信标链存款合约的规范和源代码涵盖在漏洞悬赏计划中。
漏洞悬赏计划仅包括悬赏范围中列出的目标漏洞。这意味着我们的基础设置,例如网页、域名系统 (DNS)、邮箱等并不在悬赏范围内。ERC20 合约漏洞通常不属于悬赏范围。然而我们可以帮助联系受影响的各方,例如合约作者或交易方。以 太坊名称服务 (ENS) 由以太坊名称服务基金会维护,不在悬赏范围内。
每发现一个有效漏洞,你都会获得奖励。奖励多少将因严重程度而异。严重程度是按照漏洞对以太坊网络的影响及出现的可能性,依据开放式 Web 应用程序安全项目 (OWASP) 风险评级模型计算的。 查看开放式网络应用程序安全项目方法
以太坊基金会将基于以下因素授予奖励:
描述的质量:组织清晰、描述清楚的提交者可获得更高的奖励。
可复现能力的质量:必须提供概念证明 (POC) 才能获得奖励。请提供测试代码、脚本和详细说明。我们越容易复现和核实漏洞,奖励越高。
修复质量(如果包含):清晰描述了如何修复问题的提交者可获得更高的奖励。
最高 2,000 USD
最多 1,000 积分
严重程度
示例
最高 10,000 USD
最多 5,000 积分
严重程度
示例
最高 50,000 USD
最多 10,000 积分
严重程度
示例
最高 250,000 USD
最多 25,000 积分
严重程度
示例
漏洞悬赏计划是一项针对充满活力的以太坊社区的实验性和自由裁量的奖励计划,旨在鼓励和奖励那些一直帮助改善平台的人。这项计划不是比赛。你应该知道我们可以随时取消该计划,并且奖励金额由以太坊基金会漏洞悬赏小组全权决定。此外,我们无法向在制裁名单上的个人或所在国家/地区(例如朝鲜、伊朗等)在制裁名单上的个人颁发奖励。当地法律要求我们向你索取身份证明。你需要为奖金支付相应税赋。所有奖励均受适用法律的约束。 最后,你的测试不得违反任何法律或损坏任何非你所有的数据并且必须在本地运行的测试网上进行。
找出执行层漏洞,跻身以下排行榜
找到共识层漏洞,以将其添加到排行榜
发邮件给我们: bounty@ethereum.org