以太坊漏洞赏金计划 | ⁦ethereum.org⁩

赏金计划包含的客户端

范围内

我们的漏洞赏金计划涵盖端到端：从协议的健全性（例如区块链共识模型、有线和点对点协议、权益证明 (PoS) 等）和协议/实现合规性，到网络安全和共识完整性。经典的客户端安全性以及密码学原语的安全性也是该计划的一部分。所有漏洞披露和漏洞提交都必须通过我们的漏洞提交表单 (opens in a new tab)进行。

规范漏洞

以太坊规范详细说明了执行层和共识层的设计原理。

共识层规范
执行层规范

查看以下注释可能会有所帮助：

漏洞类型

破坏安全性/最终性的漏洞
拒绝服务 (DOS) 攻击向量
假设中的不一致，例如诚实验证者可能被罚没的情况
计算或参数不一致

规范文档

客户端漏洞

客户端运行以太坊网络，它们需要遵循规范中设定的逻辑，并能安全抵御潜在攻击。我们希望发现的漏洞与协议的实现有关。

目前，执行层客户端（贝苏 (Besu)、埃里贡 (Erigon)、Geth、奈瑟曼德 (Nethermind) 和瑞斯 (Reth)）以及共识层客户端（莱特豪斯 (Lighthouse)、洛德斯塔 (Lodestar)、尼姆巴斯 (Nimbus)、泰库 (Teku) 和普莱斯姆 (Prysm)）均包含在漏洞赏金计划中。

漏洞类型

不符合规范的问题
意外崩溃、远程代码执行 (RCE) 或拒绝服务 (DOS) 漏洞
任何导致与网络其余部分发生不可修复的共识分裂的问题

有用链接

语言编译器漏洞

Solidity 和 Vyper 编译器属于漏洞赏金计划的范围。请提供重现漏洞所需的所有详细信息，例如：触发漏洞的输入程序、受影响的编译器版本、目标 EVM 版本、框架/IDE（如适用）、EVM 执行环境/客户端（如适用）以及操作系统。请尽可能详细地提供重现你所发现漏洞的步骤。

Solidity 和 Vyper 对不受信任输入的编译不提供安全保证——我们不会对编译器在恶意生成的数据上发生的崩溃发放奖励。

有用链接

Solidity

Vyper

存款合约漏洞

信标链存款合约的规范和源代码是漏洞赏金计划的一部分。

有用链接

存款合约规范
存款合约源代码

依赖项漏洞

某些依赖项对于以太坊网络的运行至关重要，其中一些已被添加到漏洞赏金计划中。目前，包含在漏洞赏金计划中的依赖项列表为 C-KZG-4844 和 Go-KZG-4844。

有用链接

C-KZG-4844
Go-ETH-KZG

范围外

只有列在范围内的目标才是漏洞赏金计划的一部分。不符合该计划条件的漏洞包括：

✕基础设施错误——例如网页、DNS、电子邮件等。^*
✕ERC-20 合约错误^*
✕以太坊域名服务 (ENS) 错误（由 ENS 基金会维护）
✕需要用户公开暴露 API（例如 JSON-RPC 或信标 API）的漏洞
✕EngineAPI 被认为是受信任的，不应公开暴露
✕排版错误
✕测试
✕高成本（持续的、CPU 或带宽密集型，和/或需要多个数据包或链上交易）的单对等节点 DoS 攻击
✕任何公开已知的问题（包括论坛帖子、PR、GitHub 问题、提交、博客文章、公开的 Discord 消息等）
✕任何目前对以太坊主网没有直接影响的问题。

^*这些不包含在内，但是，我们有时可以帮助联系受影响的各方

漏洞搜寻规则

漏洞赏金计划是为活跃的以太坊社区设立的一项实验性和酌情奖励计划，旨在鼓励和奖励那些帮助改进平台的人。这不是一场比赛。你应该知道，我们可以随时取消该计划，奖励由以太坊基金会漏洞赏金小组全权决定。此外，我们无法向制裁名单上的个人或受制裁国家（例如朝鲜、伊朗等）的个人发放奖励。当地法律要求我们要求你提供身份证明。你需要承担所有税费。所有奖励均受适用法律的约束。最后，你的测试不得违反任何法律或损害任何不属于你的数据，并且必须在本地运行的测试网上进行。