Programma bounty per la ricerca dei bug di Eth2

Aperto alle segnalazioni

Bug bounty Eth2

Guadagna fino a $50.000 USD e un posto in classifica trovando bug nel protocollo Eth2 e nei client.

Invia un bug Leggi le regole

protolambda

42400 punti

Quan Thoi Minh Nguyen

Vedi classifica completa

Client presenti nei bounty

Bug validi

Questo programma di bug bounty si concentra sulla ricerca di bug nelle specifiche principali della beacon chain di Eth2 e nelle implementazioni dei client Prysm, Lighthouse e Teku.

I bug delle specifiche della beacon chain

La specifica della beacon chain illustra nel dettaglio la logica della progettazione e propone modifiche ad Ethereum attraverso l'aggiornamento della beacon chain.

Leggi le specifiche complete

Può essere utile consultare le seguenti annotazioni:

Tipi di bug

bug di sicurezza/compromissione della finalità.
vettori denial of service (DOS)
incongruenze nelle ipotesi, come situazioni in cui validatori onesti possono essere espulsi.
incongruenze di calcolo o dei parametri.

Documenti di specifica

beacon chain

Scelta del fork

Contratto di deposito Solidity

Networking peer-to-peer

Bug client Eth2

I client eseguiranno la beacon chain quando l'aggiornamento sarà stato distribuito. Dovranno seguire la logica stabilita nella specifica ed essere al sicuro da potenziali attacchi. I bug che vogliamo trovare sono legati all'implementazione del protocollo.

Attualmente i bug Lighthouse, Nimbus, Teku e Prysm sono idonei per questa taglia. È possibile aggiungere più clienti man mano che completano gli audit e diventano pronti per la produzione.

Tipi di bug

problemi di non-conformità della specifica.
crash imprevisti o vulnerabilità di tipo denial of service (DOS).
ogni questione che causa una divisione del consenso dal resto della rete.

Link utili

Non incluso

La shard chain e gli aggiornamenti docking sono ancora in fase di sviluppo attivo e quindi non verranno inclusi all'interno di questo programma bounty.

Invia un bug

Per ogni bug ti verranno assegnati dei punti. I punti guadagnati dipendono dalla gravità del bug. La Ethereum Foundation (EF) determina la gravità con il metodo OWASP. Visualizza metodo OWASP

La Ethereum Foundation assegnerà inoltre punti in base a:

Qualità della descrizione: Le ricompense più elevate sono pagate per le comunicazioni chiare e ben scritte.

Qualità della riproducibilità: Si prega di includere il codice di test, script e istruzioni dettagliate. Più facile sarà per noi riprodurre e verificare la vulnerabilità, maggiore sarà la ricompensa.

Qualità della correzione, se incluso: ricompense più elevate sono assegnate per le comunicazioni che includono una descrizione chiara su come risolvere il problema.

Scambio dei punti

1 punto

Caricamento dati in corso...

La Ethereum Foundation pagherà il valore dei dollari americani in ETH o DAI.

La Ethereum Foundation si riserva il diritto di modificare questa disposizione senza preavviso.

Fino a 1.000 punti

Basso

Fino a 2.000 DAI

Gravità

Impatto basso, probabilità media
Impatto medio, probabilità bassa

Esempio

Un utente malintenzionato potrebbe impostare un nodo su uno stato che faccia fallire una su cento attestazioni eseguite da un validatore

Segnala bug a rischio basso

Fino a 5.000 punti

Medio

Fino a 10.000 DAI

Gravità

Impatto alto, probabilità bassa
Impatto medio, probabilità media
Impatto basso, probabilità alta

Esempio

Un utente malintenzionato può condurre con successo attacchi eclipse su nodi con Id peer aventi byte a 4 zeri iniziali

Segnala bug a rischio medio

Fino a 10.000 punti

Alto

Fino a 20.000 DAI

Gravità

Impatto alto, probabilità media
Impatto medio, probabilità alta

Esempio

C'è un bug di consenso tra due client, ma è difficile o poco pratico per un utente malintenzionato attivare l'evento.

Invia bug a rischio alto

Fino a 25.000 punti

Critico

Fino a 50.000 DAI

Gravità

Impatto alto, probabilità alta

Esempio

C'è un bug di consenso tra due client ed è molto semplice per un utente malintenzionato attivare l'evento.

Invia bug a rischio critico

Regole per la ricerca di bug

Il programma bug bounty è un programma di ricompense sperimentale e discrezionale rivolto alla nostra community Ethereum attiva, per incoraggiare e premiare coloro che contribuiscono a migliorare la piattaforma. Non è una gara. È importante sapere che potremmo annullare il programma in qualsiasi momento e le ricompense sono a sola discrezione della commissione di bug bounty della Ethereum Foundation. Inoltre, non possiamo assegnare ricompense a chi è incluso nelle liste di sanzioni o si trova in paesi presenti nelle liste di sanzioni (ad esempio Corea del Nord, Iran ecc.). L'utente è responsabile di tutte le imposte applicabili. Tutte le ricompense sono soggette alla legge applicabile. Infine, il test non deve violare alcuna legge o compromettere dati non di proprietà dell'utente.

Problemi già inviati da un altro utente o già noti ai responsabili della manutenzione delle specifiche e dei client non verranno considerati ai fini delle ricompense del bounty.
La divulgazione al pubblico di una vulnerabilità la rende inammissibile al bounty.
I ricercatori della Ethereum Foundation e i dipendenti dei team client Eth2 non sono idonei a ricevere ricompense.
Il programma bounty Ethereum prende in considerazione un certo numero di variabili per determinare le ricompense. Le decisioni in materia di ammissibilità, punteggio e tutti i termini relativi a una ricompensa sono a sola discrezione finale della commissione bug bounty della Ethereum Foundation.