Eth2-Bug-Hunting-Programm

Für Einreichungen offen

Eth2-Bug-Prämien

Verdiene bis zu $50.000 USD und einen Platz in der Rangliste, indem du Eth2-Protokoll- und Client-Bugs findest.

Bug melden Regeln lesen

protolambda

42400 Punkte

Quan Thoi Minh Nguyen

Vollständige Rangliste anzeigen

In den Belohnungen aufgeführte Clients

Gültige Bugs

Dieses Bug-Bounty-Programm konzentriert sich auf das Finden von Bugs in der Kernspezifikation der Eth2-Beacon Chain und den Client-Implementierungen von Prysm, Lighthouse und Teku.

Bugs der Beacon Chain-Spezifikation

Die Beacon Chain-Spezifikation beschreibt die Grundprinzipien des Designs und vorgeschlagene Änderungen von Ethereum durch das Beacon Chain-Upgrade im Detail.

Vollständige Spezifikation lesen

Es könnte hilfreich sein, die folgenden Anmerkungen zu prüfen:

Arten von Bugs

Sicherheits-/Endgültigkeitsverletzende Bugs.
Denial of Service (DOS) -Vektoren
Inkonsistenzen in den Annahmen, wie Situationen, in denen ehrliche Validierer geslasht werden.
Berechnungs- oder Parameterinkonsistenzen.

Spezifikationsdokumente

Beacon Chain

Fork Choice

Solidity-Deposit-Vertrag

Peer-to-peer Netzwerk

Eth2-Client-Bugs

Die Clients werden die Beacon Chain ausführen, sobald das Upgrade freigegeben wurde. Clients müssen der in der Spezifikation festgelegten Logik folgen und vor möglichen Angriffen sicher sein. Die Fehler, die wir finden wollen, beziehen sich auf die Implementierung des Protokolls.

Nur Lighthouse-, Nimbus-, Teku-, und Prysm-Bugs sind derzeit für diese Belohnung berechtigt. Weitere Clients werden hinzugefügt, sobald sie Überprüfungen abschließen und für die Produktion bereit sind.

Arten von Bugs

Probleme mit der Nichteinhaltung der Spezifikation.
unerwartete Abstürze oder Denial of Service (DOS)-Schwachstellen.
alle Probleme, die irreparable Abspaltungen vom Konsens des restlichen Netzwerks verursachen.

Hilfreiche Links

Nicht enthalten

Die Shard Chain- und Docking-Upgrades sind noch in akiver Entwicklung und daher noch nicht als Teil dieses Belohnungsprogramms enthalten.

Bug melden

Für jeden Bug, den du findest, wirst du Punkte bekommen. Die Punkte, die du verdienst, hängen vom Ausmaß des Bugs ab. Die Ethereum-Stiftung (EF) bestimmt den Schweregrad mit der OWASP-Methode. OWASP-Methode anzeigen

Die EF wird auch Punkte vergeben, basierend auf:

Beschreibungsqualität: Höhere Prämien werden für klare, gut geschriebene Beiträge gezahlt.

Qualität der Reproduzierbarkeit: Bitte füge Testcode, Skripte und detaillierte Anweisungen bei. Je einfacher es für uns ist, die Vulnerabilität zu reproduzieren und zu überprüfen, desto höher die Belohnung.

Qualität der Fehlerbehebung, falls enthalten: Höhere Prämien werden für Beiträge mit einer klaren Beschreibung, wie das Problem behoben werden kann, gezahlt.

Punktebörse

1 Punkt

Daten werden geladen...

Die Ethereum Foundation zahlt den Wert von USD in ETH oder DAI aus.

Die Ethereum Foundation behält sich das Recht vor, dies ohne vorherige Ankündigung zu ändern.

Bis zu 1.000 Punkte

Gering

Bis zu 2.000 DAI

Schweregrad

Geringe Auswirkung, mittlere Wahrscheinlichkeit
Mittlere Auswirkung, geringe Wahrscheinlichkeit

Beispiel

Ein Angreifer kann manchmal einen Node in einen Zustand versetzen, der ihn dazu veranlasst, eine von hundert Bescheinigungen zu verlieren, die von einem Validierer gemacht wurden

Bug mit geringem Risiko melden

Bis zu 5.000 Punkte

Mittel

Bis zu 10.000 DAI

Schweregrad

Hohe Auswirkung, geringe Wahrscheinlichkeit
Mittlere Auswirkung, mittlere Wahrscheinlichkeit
Geringe Auswirkung, hohe Wahrscheinlichkeit

Beispiel

Ein Angreifer kann erfolgreich einen Eclipse-Angriff auf Nodes mit Peer-IDs mit 4 führenden Nullbytes ausführen

Bug mit mittlerem Risiko melden

Bis zu 10.000 Punkte

Hoch

Bis zu 20.000 DAI

Schweregrad

Hohe Auswirkung, mittlere Wahrscheinlichkeit
Mittlere Auswirkung, hohe Wahrscheinlichkeit

Beispiel

Es gibt einen Consensus Bug zwischen zwei Clients, aber es ist schwierig oder unpraktisch für den Angreifer das Ereignis auszulösen.

Bug mit hohem Risiko melden

Bis zu 25.000 Punkte

Kritisch

Bis zu 50.000 DAI

Schweregrad

Hohe Auswirkung, hohe Wahrscheinlichkeit

Beispiel

Es gibt einen Consensus Bug zwischen zwei Clients und es ist trivial für einen Angreifer das Ereignis auszulösen.

Bug mit kritischem Risiko melden

Regeln für die Fehlersuche

Das Fehlerbelohnungsprogramm ist ein experimentelles und unserem Ermessen überlassenes Prämienprogramm für unsere aktive Ethereum-Community, um diejenigen zu ermutigen und zu belohnen, die zur Verbesserung der Plattform beitragen. Es ist kein Wettbewerb. Es ist zu beachten, dass wir uns vorbehalten, das Programm jederzeit abzubrechen. Auszeichnungen werden nach alleinigem Ermessen des Bug-Bounty-Programm-Gremiums der Ethereum-Stiftung vergeben. Außerdem können wir keine Auszeichnungen an Personen vergeben, die auf Sanktionslisten stehen oder sich in Ländern auf Sanktionslisten befinden (bspw. in Nordkorea, Iran etc.). Jeder ist selbst für die korrekte Versteuerung verantwortlich. Alle Auszeichnungen unterliegen dem geltenden Recht. Das Testen darf zudem keine Gesetze verletzen oder Daten kompromittieren, die nicht die eigenen sind.

Probleme, die bereits von einem anderen Nutzer eingereicht wurden oder die bereits Spezifikations- oder Client-Betreuern bekannt sind, berechtigen nicht zu Belohnungsprämien.
Die öffentliche Bekanntgabe einer Sicherheitslücke führt dazu, dass sie nicht für eine Belohnung in Frage kommt.
Forscher der Ethereum Foundation und Mitarbeiter von Eth2-Kundenteams sind nicht zu Belohnungen berechtigt.
Das Ethereum Bounty-Programm berücksichtigt eine Reihe von Variablen bei der Bestimmung der Belohnungen. Die Anspruchsprüfung, die Berechnung des Scores und alle weiteren Bestimmungen bezüglich einer Belohnung liegen im alleinigen und endgültigen Ermessen des Ethereum Foundation Bug-Bounty-Panels.