已开放供提交
漏洞悬赏计划
找出协议、客户端和 Solidity 语言中影响以太坊网络的漏洞,最高可赢取 $250,000 USD 并跻身排行榜。
参与悬赏计划的客户端
适用范围
我们的漏洞赏金计划涵盖端到端:从协议的健全性(例如区块链共识模型、有线和对等网络协议、权益证明等)和协议/实现合规性到网络安全和共识完整性。经典的客户端安全性以及加密原语的安全性也是该计划的一部分。如有疑问,请发送电子邮件至 bounty@ethereum.org 并询问我们。你还可以直接向 bounty@ethereum.org(opens in a new tab) 提交披露/漏洞,在这种情况下,我们要求你使用我们的 PGP 密钥(opens in a new tab)为信息加密
规范漏洞
以太坊规范详细说明了执行层和共识层的设计原理。
执行层规范(opens in a new tab)
查看以下注释可能会有所帮助:
漏洞类型
- 破坏安全性/最终确定性的漏洞
- 拒绝服务 (DOS) 的潜在漏洞
- 假设的不一致,例如诚实的验证者可能被惩罚的情况
- 计算或参数不一致
客户端漏洞
客户端运行以太坊网络,它们需要遵循规范中规定的逻辑并确保安全防范潜在的攻击。我们想要找出与实施协议相关的漏洞。
目前执行层客户端(Besu、Erigon、Geth、Nethermind、Reth)和共识层客户端(Lighthouse、Lodestar、Nimbus、Teku 和 Prysm)都被列入漏洞奖金计划。当它们完成审计并且可用于生产环境后,更多的客户端会加入进来。
漏洞类型
- 规范不兼容问题
- 意外崩溃、远程代码执行或拒绝服务 (DOS) 漏洞
- 导致与网络其他部分出现无法恢复的共识分歧的任何问题
Solidity 漏洞
有关该范围包含那些漏洞的详细信息,请参阅 Solidity SECURITY.MD。
Solidity 不对编译不信任输入提供安全保证 - 而且针对 solc 编译器在编译恶意生成的数据时出现崩溃,我们不会提供奖励。
存款合约漏洞
信标链存款合约的规范和源代码涵盖在漏洞悬赏计划中。
依赖关系错误
某些依赖关系对于以太坊网络的运行至关重要,其中一些已被添加到漏洞赏金计划中。目前,漏洞赏金计划中包含的依赖项列表是 C-KZG-4844 和 Go-KZG-484。
超出范围
漏洞悬赏计划仅包括适用范围中列出的目标漏洞。这意味着我们的基础设置,例如网页、域名系统、电子邮件等并不在悬赏范围内。ERC20 合约漏洞通常不属于悬赏范围。然而我们可以帮助联系受影响的各方,例如合约作者或交易所。以太坊域名服务由以太坊域名服务基金会维护,不在悬赏范围内。要求用户公开应用程序接口(如 JSON-RPC 或 Beacon API)的漏洞在漏洞悬赏计划的范围之外。
提交漏洞
每发现一个有效漏洞,你都会获得奖励。奖励多少将因漏洞严重程度而异。严重程度是按照漏洞对以太坊网络的影响及出现的可能性,依据开放式 Web 应用程序安全项目风险评级模型计算的。 查看开放式 Web 应用程序安全项目方法(opens in a new tab)
以太坊基金会还将基于以下因素提供奖励:
描述的优劣:组织清晰、描述清楚的漏洞提交可获得更高的奖励。
可复现性的优劣:必须提供概念证明 (POC) 才符合奖励条件。请提供测试代码、脚本和详细说明。我们越容易复现和核实漏洞,奖励越高。
修复方式的优劣(如果包含):清晰描述了如何修复问题的漏洞提交可获得更高的奖励。
低
最高 2,000 USD
最多 1,000 积分
严重程度
- 低影响力,中等可能性
- 中等影响力,低可能性
示例
Medium
最高 10,000 USD
最多 5,000 积分
严重程度
- 高影响力,低可能性
- 中等影响力,中等可能性
- 低影响力,高可能性
示例
高
最高 50,000 USD
最多 10,000 积分
严重程度
- 高影响力,中等可能性
- 中等影响力,高可能性
示例
高危
最高 250,000 USD
最多 25,000 积分
严重程度
- 高影响力,高可能性
示例
漏洞悬赏规则
漏洞悬赏计划是一项针对活跃以太坊社区的可自由裁量的实验性奖励计划,旨在鼓励和奖励那些一直帮助改善平台的人。这项计划不是比赛。你应该知道我们可以随时取消该计划,并且奖励由以太坊基金会漏洞悬赏小组全权决定。此外,我们无法向制裁名单上的个人或所在国家/地区(例如朝鲜、伊朗等)在制裁名单上的个人颁发奖励。当地法律要求我们向你索取身份证明。你需支付所有和奖励相关的税赋。所有奖励均受适用法律的约束。最后,你的测试不得违反任何法律或损坏任何非你所有的数据并且必须在本地运行的测试网上进行。
- 未提供概念证明的问题、已经被其他用户提交过的问题或者规范及客户端维护人员已了解的问题,不符合奖励条件。
- 未经事先同意公开披露漏洞或将其向其他方报告,都会使漏洞不符合奖励条件。
- 以太坊基金会的员工和承包商或悬赏计划范围内的客户端团队可参与该计划,但只能累积积分且不会获得金钱奖励。
- 以太坊悬赏计划在决定奖励时会考虑许多可变因素。参与资格的判定、分数以及所有奖励相关事项由以太坊基金会漏洞悬赏小组全权决定。
执行层漏洞奖金排行榜
找到执行层漏洞,跻身本排行榜
共识层漏洞奖金排行榜
找出共识层漏洞,跻身本排行榜
- 5
常见问题
有问题?
发电子邮件给我们: bounty@ethereum.org(opens in a new tab)