Open voor inzendingen
Beloningen voor bugs in de consensuslaag
Verdien tot $ 50.000 USD en een plaats op het leaderboard door het vinden van bugs in protocollen en clients van de consensuslaag.
Clients uitgelicht in de premies











Geldige bugs
Dit bug bounty-programma is gericht op het vinden van bugs in de Beacon Chain-specificatie van de kernconsensuslaag en de Lighthouse-, Nimbus-, Teku- en Prysm-client-implementaties.
Bugs in de Beacon Chain-specificaties
De specificatie van de Beacon Chain beschrijft de grondgedachte van het ontwerp en de voorgestelde wijzigingen aan Ethereum via de Beacon Chain-upgrade.
Execution Layer Specifications
Het kan nuttig zijn om de volgende aantekeningen te bekijken:
Typen bugs
- Bugs die de veiligheid/finaliteit breken
- Denial of service (DOS)-vectors
- Inconsistenties in veronderstellingen, zoals situaties waar eerlijke validators kunnen worden gereduceerd
- Berekenings- of parameterinconsistenties
Specificatiedocumenten
Bugs in consensuslaag-client
De clients zullen de Beacon Chain uitvoeren zodra de upgrade is geïmplementeerd. Clients moeten de logica van de specificatie volgen en beveiligd zijn tegen mogelijke aanvallen. De bugs die we willen vinden zijn in verband met de tenuitvoerlegging van het protocol.
Momenteel komen Lighthouse-, Nimbus-, Teku- en Prysm-bugs in aanmerking voor de volledige beloning. Lodestar komt ook in aanmerking, maar tot verdere audits voltooid zijn, zijn de punten en beloningen beperkt tot 10% (maximale uitbetaling is 5.000 DAI). Er kunnen meer clients worden toegevoegd naarmate ze audits afronden en productie-klaar worden.
Typen bugs
- Problemen van niet-naleving in verband met specificaties
- Onverwachte crashes of 'Denial of Service' (DOS)-kwetsbaarheden
- Problemen die leiden tot onherstelbare consensussplitsingen van de rest van het netwerk
Language compiler bugs
The Solidity and Vyper compilers are in scope of the bug bounty program. Please include all details necessary to reproduce the vulnerability such as: Input program that triggers the bug, Compiler version affected, Target EVM version, Framework/IDE if applicable, EVM execution environment/client if applicable and Operating system, Please include steps to reproduce the bug you have found in as much detail as possible.
Solidity and Vyper does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the compiler on maliciously generated data.
Deposit Contract bugs
The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Vulnerability severity qualifications
Severity is assessed based on a discovered vulnerability's ability to do the following:
Low severity
- Slash >0.01% of validators
- Trivially cause network splits affecting >0.01% of the network
- Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
- Slash >1% of validators
- Trivially cause network splits affecting >5% of the network
- Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
- Slash >33% of validators
- Trivially cause network splits affecting >33% of the network
- Be able to bring down >33% of the network by sending a single network packet or an onchain transaction
Critical severity
- Slash >50% of validators
- Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
- Steal ETH from all EOAs
- Burn ETH from all EOAs
- Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients
Niet inbegrepen
De merge and shardketen-upgrades zijn nog in actieve ontwikkeling en zijn dus nog niet opgenomen als onderdeel van dit beloningsprogramma.
- Infrastructure bugs—such as webpages, dns, email, etc.*
- ERC-20 contract bugs*
- Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
- Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
- Typographical errors
- Tests
- High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
- Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases
Dien een bug in
Voor elke bug die u vindt krijgt u punten toegekend. De punten die u verdient zijn afhankelijk van de ernst van de bug. Lodestar-bugs krijgen momenteel 10% van de hieronder vermelde punten toegekend, terwijl aanvullende audits voltooid gaan worden. De Ethereum Foundation (EF) bepaalt de ernst met de OWASP-methode. Bekijk de OWASP-methode
De EF zal ook punten toekennen op basis van:
Kwaliteit van de beschrijving: Hogere beloningen worden betaald voor duidelijke, goed geschreven inzendingen.
Kwaliteit van de reproduceerbaarheid: voeg testcode, scripts en gedetailleerde instructies toe. Hoe makkelijker het is voor ons om de kwetsbaarheid te reproduceren en te verifiëren, hoe hoger de beloning.
Kwaliteit van de correctie, indien inbegrepen: hogere beloningen worden betaald voor inzendingen met een duidelijke beschrijving van hoe het probleem op te lossen.
Laag
Tot 2.000 DAI
Tot 1.000 punten
Ernst
- Lage impact, gemiddelde kans
- Gemiddelde impact, lage kans
Voorbeeld
Een aanvaller kan soms een node in een staat plaatsen die ervoor zorgt dat het een bevestiging laat vallen uit elke honderd bevestigingen die door een validator worden gemaakt
Medium
Tot 10.000 DAI
Tot 5.000 punten
Ernst
- Hoge impact, lage kans
- Gemiddelde impact, gemiddelde kans
- Lage impact, hoge kans
Voorbeeld
Een aanvaller kan succesvol eclipsaanvallen uitvoeren op nodes met peer-id's met de 4 eerste nul bytes
Hoog
Tot 20.000 DAI
Tot 10.000 punten
Ernst
- Hoge impact, gemiddelde kans
- Gemiddelde impact, hoge kans
Voorbeeld
Er is sprake van een consensus-bug tussen twee clients, maar het is moeilijk of onpraktisch voor de aanvaller om de gebeurtenis te activeren.
Kritiek
Tot 50.000 DAI
Tot 25.000 punten
Ernst
- Hoge impact, hoge kans
Voorbeeld
Er is sprake van een consensus-bug tussen twee clients, en het is triviaal voor de aanvaller om de gebeurtenis te activeren.
Bug hunting-regels
Het bug bounty-programma is een experimenteel en discretionair beloningsprogramma voor onze actieve Ethereum-gemeenschap om degenen die helpen het platform te verbeteren te stimuleren en te belonen. Het is geen competitie. U moet weten dat we het programma op elk moment kunnen annuleren, en beloningen zijn naar eigen goeddunken van het bug bounty-paneel van de Ethereum Foundation. Bovendien kunnen we geen beloningen geven aan personen die op sanctielijsten staan of in landen op sanctielijsten staan (bijv. Noord-Korea, Iran, enz). U bent verantwoordelijk voor alle belastingen. Alle beloningen zijn onderworpen aan toepasselijk recht. Tot slot mag uw test geen enkele wet overtreden of geen gegevens in gevaar brengen die niet van u zijn.
- Problemen die al door een andere gebruiker zijn ingediend of al bekend zijn bij de onderhouders van specificaties en clients, komen niet in aanmerking voor beloningen.
- Openbaarmaking van een kwetsbaarheid aan het publiek zorgt ervoor dat deze niet in aanmerking komt voor een beloning.
- Ethereum Foundation-onderzoekers en -medewerkers van de consensuslaag-clientteams komen niet in aanmerking voor beloningen.
- Een Ethereum bounty-programma overweegt een aantal variabelen bij het bepalen van beloningen. Alleen het bug bounty-paneel van de Ethereum Foundation kan bepalingen doen over het in aanmerking komen, de score en alle voorwaarden met betrekking tot een beloning.
Vragen?
Stuur ons een e-mail: bounty@ethereum.org