[go: up one dir, main page]
Przejdź do głównej zawartości

Otwarte na zgłoszenia

Program nagród za błędy 

Zarób do 250 000 USD i zdobądź miejsce w rankingu, znajdując błędy w protokole, klientach i kompilatorach języka, wpływające na sieć Ethereum.

Zgłoś błądopens in a new tabPrzeczytaj zasady
Zobacz pełne rankingi

Klienty uwzględnione w programie nagród

W zakresie

Nasz program nagród za błędy obejmuje cały ekosystem: od poprawności protokołów (takich jak model konsensusu blockchainu, protokoły sieciowe i p2p, proof-of-stake itp.) oraz zgodności protokołu/implementacji, po bezpieczeństwo sieci i integralność konsensusu. Klasyczne bezpieczeństwo klientów, jak również bezpieczeństwo prymitywów kryptograficznych, również są częścią programu. W razie wątpliwości wyślij wiadomość e-mail na adres bounty@ethereum.org i spytaj nas. Możesz także przesłać zgłoszenie ujawnienia luki/wrażliwości bezpośrednio na adres bounty@ethereum.orgopens email client, przy czym prosimy o zaszyfrowanie wiadomości przy użyciu naszego klucza PGPopens in a new tab.

Błędy specyfikacji

Specyfikacje Ethereum wyszczególniają uzasadnienie projektu warstwy wykonawczej i warstwy konsensusu.

Specyfikacje warstwy konsensusuopens in a new tab
Specyfikacje warstwy wykonawczejopens in a new tab

Rodzaje błędów

  • Błędy naruszające bezpieczeństwo/finalizację
  • Wektory ataków typu „blokada usługi” (DOS)
  • Niespójności w założeniach, takie jak sytuacje, w których można odciąć uczciwych walidatorów
  • Niezgodności obliczeń lub parametrów

Błędy klienta

Klienty prowadzą sieć Ethereum i muszą postępować zgodnie z logiką określoną w specyfikacji oraz muszą być zabezpieczone przed potencjalnymi atakami. Błędy, które chcemy znaleźć, są związane z implementacją protokołu.

Obecnie klienty warstwy wykonawczej (Besu, Erigon, Geth, Nethermind i Reth) i klienty warstwy konsensusu (Lighthouse, Lodestar, Nimbus, Teku i Prysm) są objęte programem nagród za błędy. Kolejne klienty mogą zostać dodane, gdy zakończą się ich audyty i staną się gotowe do użycia w środowisku produkcyjnym.

Rodzaje błędów

  • Problemy niezgodności specyfikacji
  • Nieoczekiwane awarie, podatność na RCE lub blokadę usługi (DOS)
  • Wszelkie problemy powodujące nieodwracalne oddzielenie konsensusu od reszty sieci

Błędy kompilatora języka

Kompilatory Solidity i Vyper są objęte programem nagród za błędy. Prosimy o uwzględnianie wszystkich szczegółów niezbędnych do odtworzenia podatności, takich jak: program wprowadzający dane, który wywołuje błąd, wersja kompilatora, wersja docelowego EVM, framework/IDE (jeśli dotyczy), środowisko wykonawcze/klient EVM (jeśli dotyczy) oraz system operacyjny. Prosimy o opisanie kroków potrzebnych do odtworzenia znalezionego błędu w możliwie największych szczegółach.

Solidity i Vyper nie zapewniają gwarancji bezpieczeństwa w zakresie kompilacji niezaufanych danych wejściowych, i nie przyznajemy nagród za awarie kompilatora wywołane złośliwe wygenerowanymi danymi.

Błędy kontraktu depozytowego

Specyfikacje i kod źródłowy kontraktu depozytowego łańcucha śledzącego są częścią programu nagród za błędy.

Błędy zależności

Niektóre zależności są kluczowe dla działania sieci Ethereum i część z nich została uwzględniona w programie nagród za błędy. Obecnie lista zależności objęta programem obejmuje C-KZG-4844 oraz Go-KZG-4844.

Kwalifikacje wagowe luk w zabezpieczeniach

Waga jest oceniana na podstawie zdolności odkrytej luki do wykonania następujących czynności:

Niska waga

  • Cięcie >0,01% walidatorów
  • Trywialne spowodowanie podziału sieci dotykającego >0,01% sieci
  • Możliwość wyłączenia >0,01% sieci poprzez wysłanie jednego pakietu sieciowego lub transakcji onchain

Średnia waga

  • Cięcie >1% walidatorów
  • Trywialne spowodowanie podziału sieci dotykającego >5% sieci
  • Możliwość wyłączenia >5% sieci poprzez wysłanie jednego pakietu sieciowego lub transakcji onchain

Wysoka waga

  • Cięcie >33% walidatorów
  • Trywialne spowodowanie podziału sieci dotykającego >33% sieci
  • Możliwość wyłączenia >33% sieci poprzez wysłanie jednego pakietu sieciowego lub transakcji onchain

Krytyczna waga

  • Cięcie >50% walidatorów
  • Wykorzystanie błędu w EIP/specyfikacji lub kliencie do łatwego stworzenia nieskończonej ilości ETH, która jest finalizowana przez sieć
  • Kradzież ETH ze wszystkich EOA
  • Spalenie ETH ze wszystkich EOA
  • Wyłączenie całej sieci przez wysłanie jednej złośliwej transakcji onchain, która powoduje awarię wszystkich klientów

Poza zakresem

Tylko cele wymienione w zakresie są częścią Programu Nagród za Błędy. Luki w zabezpieczeniach, które NIE kwalifikują się w ramach programu, obejmują:

  • Błędy infrastruktury – takie jak strony internetowe, DNS, e-mail itp.*
  • Błędy kontraktu ERC-20*
  • Błędy Ethereum Naming Service (ENS) (utrzymywane przez fundację ENS)
  • Luki w zabezpieczeniach wymagające od użytkownika publicznego udostępnienia API, takiego jak JSON-RPC lub Beacon API
  • Błędy typograficzne
  • Testy
  • Ataki DoS na jednego peera wymagające dużego wysiłku (trwałe, intensywnie wykorzystujące procesor lub przepustowość i/lub wymagające więcej niż 1 pakietu lub transakcji onchain)
  • Wszelkie publicznie znane problemy (w tym posty na forum, PR, zgłoszenia na GitHub, commity, posty na blogach, publiczne wiadomości na Discordzie itp.)

*Zazwyczaj nie są one uwzględniane, jednak w takich przypadkach możemy pomóc w dotarciu do poszkodowanych stron, takich jak autorzy lub giełdy

Zgłoś błąd

Za każdy znaleziony faktyczny błąd otrzymasz nagrodę. Ilość przyznawanych nagród zależy od wagi błędu. Waga ta jest obliczana zgodnie z modelem oceny ryzyka OWASP na podstawie wpływu na sieć Ethereum i prawdopodobieństwa. Wyświetl metodę OWASPopens in a new tab

EF przyzna również nagrody na podstawie:

Jakość opisu: wyższe nagrody są wypłacane za jasne, dobrze napisane zgłoszenia.

Jakość odtwarzalności: aby móc otrzymać nagrody, należy dołączyć dowód słuszności koncepcji (PoC). Prosimy o dołączenie kodu testowego, skryptów i szczegółowych instrukcji. Im łatwiej będzie nam odtworzyć i zweryfikować lukę w zabezpieczeniach, tym wyższa będzie nagroda.

Jakość rozwiązania problemu, jeśli jest dołączona: wyższe nagrody są wypłacane za zgłoszenia z jasnym opisem sposobu rozwiązania problemu.

Do 2.000 USD

Niski

Do 2.000 USD

Do 1.000 punktów

Krytyczność

  • Mały wpływ, średnie prawdopodobieństwo
  • Średni wpływ, niskie prawdopodobieństwo

Przykład

Atakujący może czasami wprowadzić węzeł w stan, który powoduje odrzucenie jednego na sto poświadczeń dokonanych przez walidatora

Zgłoś błąd niskiego ryzykaopens in a new tab
Do 10.000 USD

Średni

Do 10.000 USD

Do 5.000 punktów

Krytyczność

  • Duży wpływ, niskie prawdopodobieństwo
  • Średni wpływ, średnie prawdopodobieństwo
  • Mały wpływ, wysokie prawdopodobieństwo

Przykład

Atakujący może z powodzeniem przeprowadzać ataki typu eclipse (zaćmienia informacji) na węzły z identyfikatorami równorzędnymi z 4 wiodącymi bajtami zerowymi

Zgłoś błąd średniego ryzykaopens in a new tab
Do 50.000 USD

Duży

Do 50.000 USD

Do 10.000 punktów

Krytyczność

  • Duży wpływ, średnie prawdopodobieństwo
  • Średni wpływ, wysokie prawdopodobieństwo

Przykład

Atakujący może z powodzeniem podzielić duże części sieci, a uruchomienie luki w zabezpieczeniach jest dla niego banalnie proste

Zgłoś błąd dużego ryzykaopens in a new tab
Do 250.000 USD

Krytyczny

Do 250.000 USD

Do 25.000 punktów

Krytyczność

  • Duży wpływ, wysokie prawdopodobieństwo

Przykład

Atakujący może z powodzeniem przeprowadzić zdalne wykonanie kodu na większościowym kliencie, a uruchomienie luki w zabezpieczeniach jest dla niego banalnie proste

Zgłoś błąd krytycznego ryzykaopens in a new tab

Zasady polowania na błędy

Program nagród za błędy jest eksperymentalnym i uznaniowym programem nagród dla naszej aktywnej społeczności Ethereum, mającym na celu zachęcenie i nagrodzenie tych, którzy pomagają w ulepszaniu platformy. Nie jest to konkurs. Musisz wiedzieć, że możemy odwołać program w dowolnym momencie, a nagrody są przyznawane według wyłącznego uznania panelu ds. nagród za błędy Fundacji Ethereum. Ponadto nie możemy przyznawać nagród osobom, które znajdują się na listach sankcyjnych lub przebywają w krajach znajdujących się na listach sankcyjnych (np. Korea Północna, Iran itd.). Lokalne przepisy wymagają, abyśmy poprosili o dowód Twojej tożsamości. Odpowiadasz za wszelkie podatki. Wszystkie nagrody podlegają obowiązującemu prawu. Testy nie mogą naruszać żadnego prawa ani narażać na szwank żadnych danych, które nie należą do Ciebie, i muszą odbywać się w lokalnie działających sieciach testowych.

  • Błędy bez POC, które zostały już zgłoszone przez innego użytkownika lub są już znane administratorom specyfikacji i klienta, nie kwalifikują się do nagród.
  • Publiczne ujawnienie luki lub zgłoszenie jej innym podmiotom bez uprzedniej zgody powoduje utratę prawa do nagrody.
  • Pracownicy i wykonawcy Fundacji Ethereum lub zespołów klientów objętych programem nagród za błędy mogą uczestniczyć w programie wyłącznie w zakresie gromadzenia punktów i nie otrzymują nagród pieniężnych.
  • Program nagród Ethereum bierze pod uwagę wiele zmiennych przy określaniu nagród. Ustalenia kwalifikowalności, wyniku i wszystkich warunków związanych z nagrodą zależą od wyłącznej i ostatecznej decyzji panelu ds. nagród za błędy Fundacji Ethereum.

Ranking nagród za błędy w warstwie wykonawczej

Znajdź błędy warstwy wykonawczej, aby zostać dodanym do tego rankingu

Ranking nagród za błędy w warstwie konsensusu

Znajdź błędy warstwy konsensusu, aby zostać dodanym do tego rankingu

Często zadawane pytania

Strona ostatnio zaktualizowana: 16 lutego 2026

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+5

Pytania?

Wyślij nam wiadomość e-mail: bounty@ethereum.orgopens email client

Czy ta strona była pomocna?