Deschis pentru rapoarte
Program de recompense pentru identificarea vulnerabilităților
Câștigă până la 250.000 USD și un loc în clasament prin identificarea de vulnerabilități ale protocolului, clientului și Solidity care afectează rețeaua Ethereum.
Clienți incluși în recompense











Domeniul
Programul nostru de recompense pentru identificarea vulnerabilităților se desfășoară de la un capăt la celălalt: de la sănătatea protocoalelor (precum modelul de consens blockchain, protocoalele prin fir și p2p, dovada mizei, etc.) și conformitatea protocolului/implementării până la securitatea rețelei și integritatea consensului. Securitatea clientului clasic și securitatea primitivelor criptografice fac parte, de asemenea, din program. Dacă ai dubii, trimite un e-mail la bounty@ethereum.org cu întrebări.
Erori de specificații
Specificațiile Ethereum detaliază justificarea pentru stratul de execuție și stratul de consens.
Specificațiile stratului de execuție
Ar putea să îți servească următoarele adnotări:
Tipuri de bug-uri
- Bug-uri de securitate/spargere a finalității
- Vectori de refuz al serviciului (DOS)
- Inconsecvențele în prezumții, cum ar fi situațiile în care validatorii cinstiți pot fi penalizați financiar
- Inconsecvențele de calcul sau de parametri
Documentele cu specificații
Bug-uri de clienți
Clienții execută Rețeaua Ethereum și trebuie să urmeze logica stabilită în specificații și să fie securizați împotriva atacurilor potențiale. Erorile pe care dorim să le găsim sunt legate de implementarea protocolului.
În prezent, clienții stratului de execuție (Besu, Erigon, Geth și Nethermind) și clienții stratului de consens (Lighthouse, Lodestar, Nimbus, teku și Prysm) sunt incluși în programul Recompensă pentru depistarea disfuncționalităților. Pot fi adăugați mai mulți clienți pe măsură ce trec de audituri și devin gata de lansare.
Tipuri de bug-uri
- Probleme de neconformitate cu specificațiile
- Blocări neașteptate, RCS sau vulnerabilități refuz al serviciului (DOS)
- Orice probleme care provoacă diviziuni ireparabile ale consensului de restul rețelei
Erori Solidity
Consultă fișierul SECURITY.MD Solidity pentru mai multe detalii despre ce este inclus în acest domeniu.
Solidity nu dispune de garanții de securitate cu privire la compilarea intrărilor care nu sunt fiabile și nu vom emite recompense pentru blocările compilatorului solc pentru datele generate cu rea intenție.
Erori ale contractului de depunere
Specificațiile și codul sursă al Contactului de depunere Lanț Beacon face parte din programul de recompense pentru interceptarea disfuncționalităților.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Vulnerability severity qualifications
Severity is assessed based on a discovered vulnerability's ability to do the following:
Low severity
- Slash >0.01% of validators
- Trivially cause network splits affecting >0.01% of the network
- Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
- Slash >1% of validators
- Trivially cause network splits affecting >5% of the network
- Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
- Slash >33% of validators
- Trivially cause network splits affecting >33% of the network
- Be able to bring down >33% of the network by sending a single network packet or an onchain transaction
Critical severity
- Slash >50% of validators
- Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
- Steal ETH from all EOAs
- Burn ETH from all EOAs
- Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients
În afara domeniului de aplicare
Numai obiectivele enumerate în cadrul domeniului de aplicare fac parte din programul de recompense pentru depistarea disfuncționalităților. Aceasta înseamnă că, de exemplu, infrastructura noastră, precum paginile web, dns, e-mailul etc., nu fac parte din domeniul de aplicare a recompenselor. Cu toate acestea, putem ajuta la contactarea părților afectate, precum autori sau schimburi. ENS este întreținut de fundația ENS și nu face parte din programul de recompense.
- Infrastructure bugs—such as webpages, dns, email, etc.*
- ERC-20 contract bugs*
- Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
- Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
- Typographical errors
- Tests
- High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
- Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases
Semnalează un bug
Vei primi recompense pentru fiecare vulnerabilitate pe care o identifici. Cantitatea recompenselor acordate va varia în funcție de Severitate. Severitatea este calculată conform modelului de evaluare a riscurilor OWASP, bazat pe impactul asupra Rețelei Ethereum și pe probabilitate. Vezi metoda OWASP
De asemenea, EF va oferi recompense pe baza:
Calitatea descrierii: se plătesc recompense mai mari pentru rapoartele clare, bine scrise.
Calitatea reproductibilității: o dovadă de concept (POC) care trebuie inclusă pentru a fi eligibil pentru recomepnse. Include codul testului, scripturi și instrucțiuni detaliate. Cu cât ne va fi mai ușor să reproducem și să verificăm vulnerabilitatea, cu atât mai mare va fi recompensa.
Calitatea remedierii, dacă este inclusă: se plătesc recompense mai mari pentru rapoartele ce descriu clar cum se remediază problema.
Scăzut
Până la 2.000 USD
Până la 1.000 de puncte
Gravitate
- Impact redus, probabilitate medie
- Impact mediu, probabilitate mică
Exemplu
Atacatorul poate pune uneori un nod într-o stare care îl determină să invalideze câte una la fiecare o sută de atestări efectuate de un validator
Mediu
Până la 10.000 USD
Până la 5.000 de puncte
Gravitate
- Impact mare, probabilitate mică
- Impact mediu, probabilitate medie
- Impact redus, probabilitate mare
Exemplu
Atacatorul poate efectua cu succes atacuri eclipsă asupra nodurilor cu peer-id-uri cu 4 octeți de bază zero
Ridicat
Până la 50.000 USD
Până la 10.000 de puncte
Gravitate
- Impact mare, probabilitate medie
- Impact mediu, probabilitate mare
Exemplu
Atacatorul poate realiza cu succes partiții de rețea majore și este fără interes pentru un atacator să declanșeze vulnerabilitatea
Critic
Până la 250.000 USD
Până la 25.000 de puncte
Gravitate
- Impact mare, probabilitate ridicată
Exemplu
Atacatorul poate efectua rularea codului de la distanță într-un client cu majoritate și este banal pentru un atacator să declanșeze vulnerabilitatea
Regulile pentru vânătoarea de bug-uri
Programul de interceptare a disfuncționalităților este un program de recompense experimental și discreționar pentru comunitatea noastră Ethereum activă, pentru a încuraja și recompensa pe cei care ajută la îmbunătățirea platformei. Nu este un concurs. Trebuie să știi că putem anula programul în orice moment și recompensele sunt la discreția exclusivă a panoului de recompense pentru erori al Fundației Ethereum. În plus, nu ptem emite recompense pentru cei care se află pe liste cu sancțiuni sau care se află în țări aflate pe liste cu sancțiuni (de exemplu Koreea de Nord, Iran, etc.). Legile locale ne impun să cerem dovada identității. Sunteți responsabili de plata tuturor taxelor. Toate recompensele sunt supuse legii aplicabile. În cele din urmă, testele nu trebuie să încalce legi și nu trebuie să compromită date care nu vă aparțin și trebuie efectuate pe rețele de testare locale.
- Problemele fără un POC sau care au fost deja raportate de alt utilizator sau care sunt deja cunoscute de cei care întrețin specificațiile și clienții nu sunt eligibile pentru recompense privind disfuncționalitățile.
- Dezvăluirea publică a unei vulnerabilități o face neeligibilă pentru recompensă.
- Angajații și contractorii Fundației Ethereum sau echipele de clienți din cadrul programului de recompense pot participa la program numai prin acumularea de puncte și nu vor primi recompense monetare.
- Programul de recompense Ethereum ia în considerare o serie de variabile la stabilirea recompenselor. Stabilirea eligibilității, a punctajului și a tuturor condițiilor legate de un premiu sunt la discreția unică și finală a comisiei de recompense pentru găsirea bug-urilor a Fundației Ethereum.
Ai întrebări?
Trimiteți-ne un e-mail: bounty@ethereum.org