Programme de récompense de chasse aux bogues Eth2

Ouvert pour soumissions

Primes de bogues Eth2

Gagnez jusqu'à 50 000 $ US et une place dans le classement en trouvant des bogues du protocole Eth2 et du client.

Soumettre un bogue Lire le règlement

protolambda

42400 points

Quan Thoi Minh Nguyen

Voir le classement complet

Fonctionnalités "clients" donnant droit à récompense

Bogues valides

Ce programme de chasse aux bogues est axé sur la recherche de bogues dans la spécifications principales de la chaîne phare Eth2 et dans les implémentations du client Prysm, Lighthouse et Teku.

Les bogues de spécification de la chaîne phare

Les spécifications de la chaîne phare (la chaîne phare) détaillent la justification de la conception et les changements proposés pour Ehtereum via la mise à niveau de la chaîne phare (la chaîne phare).

Lire toutes les spécifications

Il peut être utile de vérifier les annotations suivantes :

Types de bogues

bogues de sécurité/détournant la finalité.
vecteurs de déni de service (DOS)
les incohérences dans les hypothèses, comme les situations où des validateurs honnêtes peuvent être coupés.
incohérences de calcul ou de paramètre.

Documents de spécification

Chaîne phare

Choix de bifurcation

Contrat de dépôt Solidity

Réseau P2P

Bogues du client Eth2

Les clients exécuteront la chaîne phare une fois la mise à niveau déployée. Les clients devront suivre la logique décrite dans la spécification et être sécurisés contre les attaques potentielles. Les bogues que nous voulons trouver sont liés à l'implémentation du protocole.

Actuellement, les bogues de Lighthouse, Nimbus, Teku et Prysm sont éligibles pour cette prime. D'autres clients peuvent être ajoutés au fur et à mesure qu'ils terminent les audits et deviennent prêts pour la production.

Types de bogues

spécification de problèmes de non conformité.
des crashes inattendus ou des failles de déni de service (DOS).
tout problème causant un consensus irréparable se sépare du reste du réseau.

Liens utiles

Non inclus

Les mises à niveau de la chaîne de fragments et de l'arrimage sont toujours en cours de développement et ne sont pas encore incluses dans ce programme de récompenses.

Soumettre un bogue

Pour chaque bogue que vous trouverez vous recevrez des points. Les points que vous gagnez dépendent de la gravité du bogue. L'Ethereum Foundation (EF) détermine la sévérité à l'aide de la méthodologie OWASP. Voir la méthode OWASP

L'EF attribuera également des points sur la base de :

Qualité de la description: Des récompenses plus élevées sont payées pour les soumissions claires et bien écrites.

Qualité de reproductibilité: Veuillez inclure le code de test, les scripts et les instructions détaillées. Plus il est facile pour nous de reproduire et de vérifier la vulnérabilité, plus la récompense est élevée.

Qualité de la correction, si inclus : Des récompenses plus élevées sont payées pour les soumissions décrivant clairement la façon de résoudre le problème.

Echanger des points

1 point

Chargement des données en cours...

L'Ethereum Foundation versera la valeur en USD convertie en cryptomonnaie ETH ou DAI.

L'Ethereum Foundation se réserve le droit de modifier ces conditions sans préavis.

Jusqu'à 1 000 points

Faible

Jusqu'à 2 000 DAI

Gravité

Faible impact, probabilité moyenne
Impact modéré, probabilité faible

Exemple

Les attaquants peuvent parfois mettre un nœud dans un état qui l'amène à ne pas traiter une attestation sur cent faite par un validateur

Soumettre un bogue à risque faible

Jusqu'à 5 000 points

Modéré

Jusqu'à 10 000 DAI

Gravité

Impact élevé, probabilité faible
Impact moyen, probabilité moyenne
Impact faible, probabilité élevée

Exemple

L'attaquant peut mener avec succès des attaques éclairs sur des nœuds avec des Ids de pairs commençant par 4 octets zéros

Soumettre un bogue à risque modéré

Jusqu'à 10 000 points

Élevé

Jusqu'à 20 000 DAI

Gravité

Impact élevé, probabilité moyenne
Impact moyen, probabilité élevée

Exemple

Il existe un bogue dans le consensus entre 2 clients, mais c'est difficile ou presque impossible pour un attaquant de le déclencher.

Soumettre un bogue à risque élevé

Jusqu'à 25 000 points

Critique

Jusqu'à 50 000 DAI

Gravité

High impact, high likelihood

Exemple

Il existe un bogue de consensus entre deux clients, et il est facile pour un attaquant de déclencher l'événement.

Soumettre un bogue à risque critique

Règles pour la chasse aux bogues

Le programme de récompenses des bogues est expérimental et discrétionnaire, et est destiné à notre communauté active afin d'encourager et récompenser ceux qui aident à l'amélioration de la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme n'importe quand, et les récompenses sont attribuées à la discrétion du comité du programme de récompenses des bogues de l'Ethereum Foundation. De plus, nous ne pourrons pas attribuer de récompenses aux personnes qui sont sur la liste des personnes bannies ou faisant partie de pays étant sur la liste de pays bannis.(ex Corée du Nord, Iran, etc.). Vous êtes responsables pour les implications fiscales. Toutes les récompenses sont assujetties aux lois applicables. En conclusion, vos évaluations ne doivent pas violer de lois ou compromettre des données qui ne vous appartiennent pas.

Les problèmes qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus par les responsables des spécifications et du client ne sont pas éligibles pour des primes de récompenses.
La divulgation publique d'une vulnérabilité la rend inadmissible à une récompense.
Les chercheurs de l'Ethereum Foundation et les employés des équipes clientes d'Eth2 ne sont pas éligibles à une récompense.
Le programme de récompenses d'Ethereum prend en compte plusieurs facteurs pour l'attribution des récompenses. Les conditions pour l'éligibilité, le pointage ainsi que les termes en lien avec l'attribution d'une récompense sont à la seule et entière discrétion du comité du programme de récompense de l'Ethereum Foundation.