Заявки на участь ще приймаються
Програма винагород за пошук помилок
Заробіть до 250 000 дол. США й увійдіть до таблиці лідерів, знаходячи помилки в протоколі, клієнтах і Solidity, що впливають на мережу Ethereum.
Клієнти, що беруть участь у винагородах











Охоплюється програмою
Наша програма винагород за пошук помилок охоплює всі етапи: від надійності протоколів (як-от модель консенсусу блокчейну, проводові й однорангові протоколи, доказ частки тощо), сумісності протоколів і впровадження до безпеки мережі й цілісності консенсусу. Програма також розповсюджується на класичну систему захисту клієнтів і криптографічних примітивів. Якщо маєте сумніви, звертайтеся із запитаннями на електронну адресу bounty@ethereum.org.
Помилки специфікацій
У специфікаціях Ethereum детально описується обґрунтування дизайну виконавчого рівня та рівня консенсусу.
Специфікації виконавчого рівня
Було б корисно переглянути такі коментарі:
Типи помилок
- Помилки безпеки / помилки, що порушують завершеність
- Вектори DOS-атак
- Невідповідність у припущеннях, як-от ситуації, коли чесних валідаторів можна скоротити
- Невідповідності в розрахунках або параметрах
Документи специфікацій
Помилки клієнта
Клієнти запускають мережу Ethereum і повинні дотримуватися логіки, викладеної в специфікації, а також бути захищеними від потенційних атак. Помилки, які ми хочемо знайти, пов’язані з впровадженням протоколу.
Наразі клієнти виконавчого рівня (Besu, Erigon, Geth і Nethermind) і клієнти рівня консенсусу (Lighthouse, Lodestar, Nimbus, Teku та Prysm) включені до програми винагород за пошук помилок. Інших клієнтів можуть додати після завершення аудиту, коли вони будуть готові до функціонування.
Типи помилок
- Проблеми з невідповідністю специфікації
- Несподівані збої, вразливості RCE або відмови в обслуговуванні (DOS)
- Будь-які проблеми, що ведуть до незворотних від’єднань консенсусу від решти мережі
Помилки Solidity
Див. SECURITY.MD мовою програмування Solidity, щоб отримати детальнішу інформацію про те, що охоплює ця категорія.
Solidity не забезпечує гарантій безпеки щодо компіляції ненадійних введених даних, і ми не видаємо винагороди за збої компілятора solc на зловмисно згенерованих даних.
Помилки депозитного контракту
Специфікації та вихідний код депозитного контракту Beacon Chain є частиною програми винагород за пошук помилок.
Dependency bugs
Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.
Vulnerability severity qualifications
Severity is assessed based on a discovered vulnerability's ability to do the following:
Low severity
- Slash >0.01% of validators
- Trivially cause network splits affecting >0.01% of the network
- Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
- Slash >1% of validators
- Trivially cause network splits affecting >5% of the network
- Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
- Slash >33% of validators
- Trivially cause network splits affecting >33% of the network
- Be able to bring down >33% of the network by sending a single network packet or an onchain transaction
Critical severity
- Slash >50% of validators
- Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
- Steal ETH from all EOAs
- Burn ETH from all EOAs
- Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients
За межами програми
Тільки цілі, наведені в списку об’єктів у межах програми, беруть участь у програмі винагород за пошук помилок. Це означає, що, наприклад, наша інфраструктура, як-от вебсторінки, DNS, електронна пошта тощо, не входять в обсяги пошуку. Помилки контракту ERC20 зазвичай не входять в обсяги пошуку. Але ми можемо допомогти зв’язатися з постраждалими сторонами, як-от відповідні автори або обмінники. Керування ENS здійснюється фондом ENS і також не входить в обсяги пошуку.
- Infrastructure bugs—such as webpages, dns, email, etc.*
- ERC-20 contract bugs*
- Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
- Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
- Typographical errors
- Tests
- High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
- Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases
Повідомити про помилку
За кожну знайдену дійсну помилку ви зароблятимете винагороди. Кількість присуджених винагород залежатиме від серйозності помилок. Серйозність визначається відповідно до моделі оцінки ризиків OWASP на основі впливу на мережу Ethereum і рівня ймовірності. Перегляньте метод OWASP
EF також надаватиме винагороди на основі таких факторів:
Якість опису: що чіткіший і зрозуміліший опис помилки ви подасте, то вищу винагороду отримаєте.
Якість відтворюваності: щоб мати право на винагороду, необхідно додати доказ концепції (Proof of Concept, POC). Додайте тестовий код, сценарії та детальні інструкції. Що простіше для нас відтворити й перевірити вразливість, то вища нагорода.
Якість виправлення, якщо включено: вищі винагороди виплачуються за подані матеріали з чітким описом того, як усунути проблему.
Низький
До 2000 дол. США
До 1000 балів
Серйозність
- Незначний вплив, середня ймовірність
- Середній вплив, низька ймовірність
Приклад
Іноді зловмисник може перевести вузол у стан, який спричиняє видалення однієї атестації з кожних ста, зроблених валідатором
Середній
До 10 000 дол. США
До 5000 балів
Серйозність
- Серйозний вплив, низька ймовірність
- Середній вплив, середня ймовірність
- Низький вплив, висока ймовірність
Приклад
Зловмисник може здійснювати успішні атаки затемнення на вузли з одноранговими ідентифікаторами з 4 провідними нульовими байтами
Серйозний
До 50 000 дол. США
До 10 000 балів
Серйозність
- Серйозний вплив, середня ймовірність
- Середній вплив, висока ймовірність
Приклад
Зловмисник може успішно розділяти великі частини мережі, а також із легкістю ініціювати виникнення вразливості
Критичний
До 250 000 дол. США
До 25 000 балів
Серйозність
- Серйозний вплив, висока ймовірність
Приклад
Зловмисник може успішно провести виконання віддаленого коду у важливому клієнті, а також із легкістю ініціювати виникнення вразливості
Правила пошуку помилок
Програма винагород за пошук помилок — це експериментальна та дискреційна програма винагород для нашої активної спільноти Ethereum, щоб заохочувати та винагороджувати тих, хто допомагає покращувати платформу. Це не змагання. Ви повинні знати, що ми можемо скасувати програму в будь-який час і що нагороди призначаються на власний розсуд ради з винагород за пошук помилок Ethereum Foundation. Крім того, ми не можемо видавати нагороди особам, які внесені до санкційних списків або перебувають у країнах із санкційних списків (наприклад, у Північній Кореї, Ірані тощо). Місцеві закони вимагають від нас запитувати документ, що підтверджує вашу особу. Ви несете відповідальність за всі податки. Усі нагороди регулюються чинним законодавством. Нарешті, ваше тестування не повинно порушувати жодного закону або компрометувати будь-які дані, які не належать вам, а також має проводитися в локальних тестових мережах.
- Проблеми без доказу концепції (POC) або які вже були подані іншим користувачем чи вже відомі фахівцям із супроводження специфікації та клієнта, не дають права на отримання винагород.
- Публічне розкриття вразливості робить неможливим отримання винагороди.
- Працівники та підрядники Ethereum Foundation або команди, що працюють над клієнтом, залучені до програми винагород, можуть брати в ній участь лише за нарахування балів і не отримуватимуть грошові винагороди.
- Програма винагород Ethereum враховує ряд змінних під час визначення винагород. Придатність, оцінки та всі умови, пов’язані з нагородою, остаточно визначаються радою з винагород за пошук помилок Ethereum Foundation.
Запитання?
Напишіть нам: bounty@ethereum.org