このページの翻訳を行う

🌏

このページの新しいバージョンがありますが、現在は英語のみです。最新バージョンの翻訳にご協力ください。

提案を受け付けています

Eth2 バグ報奨金 🐛
Eth2プロトコルとクライアントのバグを見つけることで、リーダーボードへ入賞し、最大で$50,000ドルを稼ごう。

報奨金があるクライアント

有効なバグ

このバグ報奨プログラムは、コアとなる Eth2ビーコンチェーン仕様 と Prysm, Lighthouse, Teku クライアント実装のバグを発見することに重点を置いています。

📒

ビーコンチェーン仕様のバグ

ビーコンチェーンの仕様では、ビーコンチェーンのアップグレードによるイーサリウムの設計の合理性と提案されている変更点が詳細に説明されています。

全仕様を読む

以下の注釈を確認すると便利かもしれません:

バグの種類

  • safety/finality-breaking バグ
  • サービス拒否 (DOS) ベクトル
  • 正直なバリデータがスラッシングされる状況などの、仮定における矛盾。
  • 計算またはパラメータの不一致。
💻

Eth2クライアントのバグ

クライアントは、アップグレードがデプロイされると、ビーコンチェーンを実行します。クライアントは仕様で定められたロジックに従う必要があり、潜在的な攻撃に対してセキュアである必要があります。私たちが見つけたいバグは、プロトコルの実装に関連しています。

現在、この報奨金の対象となるのは、Prysm、Lighthouse、Tekuのバグのみです。監査を完了し、製品の準備が整い次第、さらに多くのクライアントが追加されます。

バグの種類

  • 仕様不適合の問題
  • 予期しないクラッシュまたはサービス拒否(DOS) の脆弱性。
  • ネットワークの残りの部分から取り返しのつかないコンセンサスの分裂を引き起こす問題。

役立つリンク

含まれないもの

シャードチェーンとドッキングのアップグレードはまだ開発中のため、この賞金プログラムにはまだ含まれていません。

バグを投稿する

バグを見つけるたびにポイントがもらえます。獲得できるポイントは、バグの重大度によって異なります。イーサリアム財団(EF) は OWASP メソッドを使用して重大度を決定します。 OWASP メソッドを表示

また、EFは以下に基づいてポイントを付与します:

記述の質: 明瞭で良く書かれた投稿には、より高い報酬が支払われます。

再現性の質: テストコード、スクリプト、詳細な手順を含めてください。再現と脆弱性の検証が容易であるほど、報酬は高くなります。

修正の質修正を含む場合: 問題の修正方法が明確に記載された投稿には、より高い報酬が支払われます。

ポイント交換

1 ポイント

データ読込中…

Ethereum Foundation は、ETHまたはDAIで米ドル分の価値を支払います。

イーサリアム財団は、これを予告なく変更する権利を有します。

最大1,000ポイント

最大 2,000 DAI

重大度

  • 低い影響、中程度の可能性
  • 中程度の影響、低い可能性

攻撃者は時々、バリデータによる100件の認証ごとに1つドロップされる状態にノードを置くことができます。
低リスクのバグを送信
最大5,000ポイント

最大 10,000 DAI

重大度

  • 高い影響、低い可能性
  • 中程度の影響、中程度の可能性
  • 低い影響、高い可能性

攻撃者は4バイト先頭のゼロを持つピアIDを持つノードに対してエクリプス攻撃を成功させることができます
中程度のリスクのバグを送信
最大10,000ポイント

最大 20,000 DAI

重大度

  • 高い影響、中程度の可能性
  • 中程度の影響、高い可能性

2つのクライアント間に合意されたバグがありますが、攻撃者がイベントを発生させるのは難しいか、非現実的です。
リスクの高いバグを送信
最大25,000ポイント

重大

最大 50,000 DAI

重大度

  • High impact, high likelihood

2つのクライアント間に合意されたバグがあり、攻撃者がイベントを発生させることは問題になりません。
重大なリスクバグを送信

バグハンティングルール

バグ報奨金プログラムは、私たちのアクティブなイーサリウムコミュニティのための実験的で裁量的な報酬プログラムで、プラットフォームの改善を支援している人々を奨励し、報酬を与えます。 競争ではありません。 いつでもプログラムをキャンセルすることができ、賞はイーサリアム財団バグ報奨金パネルの単独の裁量で決められます。 加えて、制裁対象者または制裁対象国にいる個人に対して賞を発行することはできません(e. 北朝鮮、イランなど) あなたはすべての税金を負担します。すべての賞は適用される法律に従います。 最後に、あなたのテストは、いかなる法律に違反することも、自分のものではないデータを侵害することもできません。

  • すでに他のユーザによって提出されている問題、またはすでに仕様書やクライアント管理者に知られている問題は報奨金の報酬の対象ではありません。
  • 脆弱性を公開すると、報奨金の対象になりません。
  • イーサリアム財団の研究者およびEth2クライアントチームの従業員は報酬を受け取ることはできません。
  • イーサリウム報奨金プログラムは、報酬を決定する際にいくつかの変数を考慮します。 資格、スコア、賞に関連するすべての条件の決定は、イーサリアム財団バグ報奨金パネルの唯一かつ最終的な裁量に委ねられています。

質問がありますか?

メールでのお問い合わせ: eth2bounty@ethereum.org

✉️