Aperto per le candidature

Programma di Bug Bounty

Guadagna fino a 1.000.000 USD e un posto in classifica trovando bug del protocollo, dei client e del compilatore del linguaggio che interessano la rete di Ethereum.

Invia un bug Leggi le regole

1
hGa (opens in a new tab)
In place number 1 with 67000 pointsMartin Holst Swende (See Github Profile) (opens in a new tab)
67000 punti
2
rGa (opens in a new tab)
In place number 2 with 60000 pointsRevofusion (See Github Profile) (opens in a new tab)
60000 punti
3
gGa (opens in a new tab)
In place number 3 with 53100 pointsGuido Vranken (See Github Profile) (opens in a new tab)
53100 punti
4
pGa (opens in a new tab)
In place number 4 with 42400 pointsprotolambda (See Github Profile) (opens in a new tab)
42400 punti
5
sGa (opens in a new tab)
In place number 5 with 35000 pointsSam Sun (See Github Profile) (opens in a new tab)
35000 punti

Vedi le classifiche complete

Client inclusi nelle taglie

In ambito

Il nostro programma di bug bounty si estende da un capo all'altro: dalla solidità dei protocolli (come il modello di consenso della blockchain, i protocolli wire e p2p, la prova di stake, ecc.) e la conformità del protocollo/implementazione alla sicurezza della rete e all'integrità del consenso. Anche la sicurezza classica dei client e la sicurezza delle primitive crittografiche fanno parte del programma. Tutte le divulgazioni di bug e le segnalazioni di vulnerabilità devono essere effettuate tramite il nostro modulo di invio dei bug (opens in a new tab).

Bug delle specifiche

Le specifiche di Ethereum dettagliano la logica di progettazione per il livello di esecuzione e il livello di consenso.

Specifiche del livello di consenso
Specifiche del livello di esecuzione

Potrebbe essere utile consultare le seguenti annotazioni:

Tipi di bug

Bug che compromettono la sicurezza/finalità
Vettori di negazione del servizio (DOS)
Incoerenze nelle ipotesi, come situazioni in cui i validatori onesti possono essere puniti
Incoerenze di calcolo o dei parametri

Documenti delle specifiche

Beacon chain

Scelta della biforcazione

Contratto di deposito in Solidity

Rete peer-to-peer

Bug dei client

I client eseguono la rete di Ethereum e devono seguire la logica stabilita nelle specifiche ed essere sicuri contro potenziali attacchi. I bug che vogliamo trovare sono relativi all'implementazione del protocollo.

Attualmente i client del livello di esecuzione (Besu, Erigon, Geth, Nethermind e Reth) e i client del livello di consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) sono inclusi nel Programma di Bug Bounty.

Tipi di bug

Problemi di non conformità alle specifiche
Arresti anomali imprevisti, RCE o vulnerabilità di negazione del servizio (DOS)
Qualsiasi problema che causi divisioni irreparabili del consenso dal resto della rete

Link utili

Bug del compilatore del linguaggio

I compilatori Solidity e Vyper rientrano nell'ambito del programma di bug bounty. Includi tutti i dettagli necessari per riprodurre la vulnerabilità, come: programma di input che innesca il bug, versione del compilatore interessata, versione EVM di destinazione, Framework/IDE se applicabile, ambiente di esecuzione EVM/client se applicabile e sistema operativo. Includi i passaggi per riprodurre il bug che hai trovato nel modo più dettagliato possibile.

Solidity e Vyper non offrono garanzie di sicurezza riguardo alla compilazione di input non attendibili e non emettiamo ricompense per gli arresti anomali del compilatore su dati generati in modo dannoso.

Link utili

Solidity

Vyper

Bug del contratto di deposito

Le specifiche e il codice sorgente del contratto di deposito della beacon chain fanno parte del programma di bug bounty.

Link utili

Specifiche del contratto di deposito
Codice sorgente del contratto di deposito

Bug delle dipendenze

Alcune dipendenze sono cruciali per il funzionamento della rete di Ethereum e alcune di queste sono state aggiunte al programma di bug bounty. Attualmente, l'elenco delle dipendenze incluse nel programma di bug bounty sono C-KZG-4844 e Go-KZG-4844.

Link utili

C-KZG-4844
Go-KZG-4844

Fuori ambito

Solo gli obiettivi elencati sotto in ambito fanno parte del Programma di Bug Bounty. Le vulnerabilità che NON si qualificano per il programma includono:

✕Bug dell'infrastruttura, come pagine web, dns, e-mail, ecc.^*
✕Bug dei contratti ERC-20^*
✕Bug di Ethereum Naming Service (ENS) (mantenuto dalla fondazione ENS)
✕Vulnerabilità che richiedono all'utente di aver esposto pubblicamente un'API, come JSON-RPC o la Beacon API
✕Errori tipografici
✕Test
✕Attacchi DoS a singolo peer ad alto sforzo (sostenuti, ad alta intensità di CPU o larghezza di banda e/o che richiedono più di 1 pacchetto o transazione on-chain)
✕Qualsiasi problema noto pubblicamente (inclusi post sui forum, PR, problemi su github, commit, post sui blog, messaggi pubblici su discord, ecc.)
✕Qualsiasi cosa che attualmente non abbia un impatto diretto sulla rete principale di Ethereum.

^*Questi non sono inclusi, tuttavia, a volte possiamo aiutare a contattare le parti interessate

Regole per la caccia ai bug

Il programma di bug bounty è un programma di ricompense sperimentale e discrezionale per la nostra attiva community di Ethereum, per incoraggiare e premiare coloro che stanno aiutando a migliorare la piattaforma. Non è una competizione. Devi sapere che possiamo annullare il programma in qualsiasi momento e i premi sono a esclusiva discrezione del comitato di bug bounty della Ethereum Foundation. Inoltre, non siamo in grado di emettere premi a individui che si trovano in liste di sanzioni o che si trovano in paesi in liste di sanzioni (es. Corea del Nord, Iran, ecc.). Le leggi locali ci impongono di richiedere una prova della tua identità. Sei responsabile di tutte le tasse. Tutti i premi sono soggetti alla legge applicabile. Infine, i tuoi test non devono violare alcuna legge o compromettere alcun dato che non sia tuo e devono svolgersi su reti di test in esecuzione locale.

1I problemi senza una POC o che sono già stati inviati da un altro utente o che sono già noti ai manutentori delle specifiche e dei client non sono idonei per le ricompense delle taglie.
2La divulgazione pubblica di una vulnerabilità o la sua segnalazione ad altre parti senza previo accordo la rende non idonea per una taglia.
3I dipendenti e gli appaltatori della Ethereum Foundation, i beneficiari di sovvenzioni della Ethereum Foundation o i team dei client nell'ambito del programma di taglie possono partecipare al programma solo per l'accumulo di punti e non riceveranno ricompense monetarie.
4Il programma di taglie di Ethereum considera una serie di variabili nel determinare le ricompense. Le determinazioni di idoneità, punteggio e tutti i termini relativi a un premio sono a esclusiva e finale discrezione del comitato di bug bounty della Ethereum Foundation.

Qualifiche di gravità della vulnerabilità

La gravità viene valutata in base alla capacità unica di ciascuna vulnerabilità scoperta di fare quanto segue:

Bassa gravità

Punire lo >0,01% dei validatori
Causare banalmente divisioni della rete che interessano lo >0,01% della rete
Essere in grado di abbattere lo >0,01% della rete inviando un singolo pacchetto di rete o una transazione on-chain

Media gravità

Punire l<strong>1%</strong> dei validatori
Causare banalmente divisioni della rete che interessano il >5% della rete
Essere in grado di abbattere il >5% della rete inviando un singolo pacchetto di rete o una transazione on-chain

Alta gravità

Punire il >33% dei validatori
Causare banalmente divisioni della rete che interessano il >33% della rete
Essere in grado di abbattere il >33% della rete inviando una singola transazione on-chain

Gravità critica

Punire il >50% dei validatori
Sfruttare un bug di una EIP/specifica o di un client per creare facilmente una quantità infinita di ETH che viene finalizzata dalla rete
Rubare ETH da tutti gli account controllati esternamente
Bruciare ETH da tutti gli account controllati esternamente
Abbattere l'intera rete inviando una singola transazione on-chain dannosa che finisce per far arrestare in modo anomalo tutti i client