参与悬赏计划的客户端
有效漏洞
本漏洞悬赏计划专注于查找共识层信标链规范、Lighthouse、Nimbus、Teku、Prysm 和 Lodestar 等客户端实现中的漏洞。
信标链规范漏洞
信标链规范详细说明了设计初衷和通过信标链升级对以太坊进行更改的建议。
Execution Layer Specifications
查看以下注释可能会有所帮助:
漏洞类型
- 安全性/触发崩溃的确定性漏洞
- 拒绝服务 (DOS) 的潜在漏洞
- 假设的不一致,例如诚实的验证者被惩罚的情况
- 计算或参数的不一致性
共识层客户端漏洞
一旦升级完成部署,这些客户端将运行信标链。客户端需要遵循规范中规定的逻辑,并确保免受潜在攻击的破坏。我们想要查找与协议实施相关的漏洞。
目前,如果您发现 Lighthouse、Nimbus、Teku 和 Prysm 的漏洞,将有机会获得全部赏金奖励。Lodestar 也是其中之一,但在进一步的审计完成之前,积分和奖励被限制在 10%(最大报酬为 5000 DAI)。系统可能会添加更多的客户端,因为他们完成了审计,并为生产做好了准备。
漏洞类型
- 规范不兼容问题
- 意外崩溃或拒绝服务 (DOS) 漏洞
- 导致共识与网络其他部分不可弥补地分裂的问题
Solidity bugs
See the Solidity SECURITY.MD for more details about what is included in this scope.
Solidity does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the solc compiler on maliciously generated data.
帮助链接
SECURITY.md
Deposit Contract bugs
The specificiations and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
未包含
合并和分片链的升级仍在积极开发中,所以尚未纳入此悬赏计划。
提交漏洞
您每发现一个漏洞,都会得到积分奖励。您获得的积分取决于漏洞的严重程度。Lodestar 的漏洞目前可以奖励下面列出的 10% 的积分,因为更多的审计工作正在进行中,有待完成。以太坊基金会 (EF) 使用开放式网络应用程序安全项目方法来确定漏洞的严重程度。 查看开放式网络应用程序安全项目方法
以太坊基金会将基于以下规则奖励积分:
描述的质量:组织清晰、描述清楚的提交者可获得更高的奖励。
可复现能力的质量:请包含测试代码、脚本或者其它详细的指令。我们越容易复现并确认漏洞,您获得的奖励就越高。
修复质量(如果包含):清晰描述了如何修复问题的提交者可获得更高的奖励。
低
最多 2,000 DAI
最多 1,000 积分
严重程度
- 低影响力,中可能性
- 中影响力,低可能性
示例
中
最多 10,000 DAI
最多 5,000 积分
严重程度
- 高影响力,低可能性
- 中影响力,中可能性
- 低影响力,高可能性
示例
高
最多 20,000 DAI
最多 10,000 积分
严重程度
- 高影响力,中可能性
- 中影响力,高可能性
示例
漏洞悬赏规则
漏洞悬赏计划是针对我们活跃的以太坊社区的一项实验性和自由裁量的奖励计划,旨在鼓励和奖励那些正在帮助改善平台的人。这不是比赛。您需要知道我们可以随时取消该计划,并且奖励金额由以太坊基金会漏洞悬赏小组全权决定。此外,我们无法向在制裁名单上的个人或所在国家/地区(例如朝鲜、伊朗等)在制裁名单上的个人颁发奖励。您需要为奖金支付相应税赋。所有奖励均受适用法律的约束。最后,您的测试不得违反任何法律或损害任何非您拥有的数据。
- 已经被其它参与者提交或者已经被规范提及的问题,以及客户端的维护者均不能参与悬赏计划。
- 已经公开的漏洞不适用于悬赏计划。
- 以太坊基金会的研究者和共识层客户端团队的雇员无法参与悬赏计划。
- 以太坊悬赏计划将考虑一系列影响奖赏金额的因素。参与资格、分数以及所有奖赏相关的因素将由以太坊基金会漏洞悬赏小组全权决定。
Execution Layer Bug Bounty leaderboard
Find execution layer bugs to get added to this leaderboard
漏洞悬赏排行榜
找到共识层漏洞,以将其添加到排行榜
常见问题
What should a good vulnerability submission look like?
See a real example of a quality vulnerability submission.
Is the bug bounty program is time limited?
No.
How are bounties paid out?
Rewards are paid out in ETH or DAI.
Can I donate my reward to charity?
Yes!
I reported an issue / vulnerability but have not received a response!
Please allow a few days for someone to respond to your submission.
I want to be anonymous / I do not want my name on the leader board.
You can do this, but it might make you ineligble for rewards.
What are the points in the leaderboard?
Every found vulnerability / issue is assigned a score
Do you have a PGP key?
Yes. Expand for details.
有问题?
发邮件给我们: bounty@ethereum.org
