Поощрительная программа поиска ошибок Eth2

Открыто для публикации

Программы вознаграждения за найденные ошибки Eth2

Найдите ошибки в протоколе и клиенте Eth2 и заработайте до 50 000 долларов США и место в таблице лидеров.

Сообщить об ошибке Читать правила

protolambda

42400 очки

Quan Thoi Minh Nguyen

Просмотреть полный список лидеров

Клиенты, за которые можно получить награды

Действительные ошибки

Это программа поощрения за найденные ошибки концентрируется на поиске ошибок в основной спецификации Eth2 Beacon Chain и реализациях клиентов Prysm, Lighthouse и Teku.

Ошибки в спецификации Beacon Chain

В спецификации Beacon Chain подробно описаны принципы проектирования и предложенные изменения в Ethereum с помощью обновления Beacon Chain.

Читать полную спецификацию

Может быть полезно проверить следующие примечания:

Типы ошибок

ошибки безопасности/окончания.
векторы отказов в обслуживании (DOS)
несоответствие предположений, например, ситуации, когда честные валидаторы могут быть слэшированы.
вычисление или несовпадение параметров.

Документы спецификации

Beacon Chain

Выбор ответвления

Контракт на депозит Solidity

Пиринговая сеть

Ошибки клиента Eth2

Клиенты будут запускать Beacon Chain после внедрения обновления. Клиентам необходимо следовать логике, указанной в спецификации, и быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, связаны с реализацией протокола.

В настоящее время эту награду можно получить только за ошибки в Lighthouse, Nimbus, Teku и Prysm. По мере завершения аудитов и подготовки к работе могут быть добавлены другие клиенты.

Типы ошибок

вопросы, связанные с несоблюдением спецификации.
непредвиденные сбои или уязвимости, которые могут привести к отказу в обслуживании (DOS).
любые проблемы, вызывающие непоправимые расколы в консенсусе от остальной сети.

Полезные ссылки

Не включено

Обновления с цепочками-осколками и стыковкой все еще находятся в активной разработке и еще не включены в эту программу поощрения.

Сообщить об ошибке

За каждую найденную ошибку вы будете награждены баллами. Количество баллов определяется серьезностью ошибки. Фонд Ethereum определяет серьезность ошибки с помощью метода OWASP. Просмотреть метод OWASP

Кроме того, фонд Ethereum начислит баллы на основе:

Качество описания: более высокое вознаграждение выплачивается за четкие, хорошо подготовленные работы.

Качество воспроизводимости: пожалуйста, добавьте тестовый код, скрипты и подробные инструкции. Чем легче воспроизводить и проверять уязвимости, тем выше награда.

Качество исправления, если включено: за сообщения с четким описанием того, как исправить ошибку, выплачиваются более высокие награды.

Обмен баллов

1 очко

Загрузка данных...

Фонд Ethereum выплатит сумму в долларах США в ETH или DAI.

Фонд Ethereum оставляет за собой право изменять это предложение без предварительного уведомления.

До 1000 баллов

Низкий

До 2000 DAI

Серьезность

Низкое воздействие, средняя вероятность
Среднее воздействие, низкая вероятность

Пример

Иногда злоумышленник может поместить узел в состояние, которое заставит его выбрасывать по одной из каждой сотни аттестаций, сделанных валидатором

Отправить ошибку с низким уровнем риска

До 5000 баллов

Средний

До 10 000 DAI

Серьезность

Высокое воздействие, низкая вероятность
Среднее воздействие, средняя вероятность
Низкое воздействие, высокая вероятность

Пример

Злоумышленник может успешно провести атаки затмения на узлы с идентификаторами пиров с четырьмя ведущими нулевыми байтами

Отправить ошибку со средним уровнем риска

До 10 000 баллов

Высокий

До 20 000 DAI

Серьезность

Высокое воздействие, средняя вероятность
Среднее воздействие, высокая вероятность

Пример

Это ошибка консенсуса между двумя клиентами, но для злоумышленника сложно или непрактично инициировать это событие.

Отправить ошибку с высоким уровнем риска

До 25 000 баллов

Критический

До 50 000 DAI

Серьезность

High impact, high likelihood

Пример

Это ошибка консенсуса между двумя клиентами, и для злоумышленника просто инициировать это событие.

Отправить ошибку с критическим уровнем риска

Правила поиска ошибок

Программа bug bounty - экспериментальная и общедоступная программа вознаграждений для нашего активного сообщества Ethereum, созданная, чтобы поощрять и награждать тех, кто помогает улучшить платформу. Это не соревнование. Вам следует знать, что мы можем отменить программу в любое время и что вознаграждения присуждаются по собственному усмотрению совета bug bounty компании Ethereum Foundation. Также мы не можем выдавать вознаграждения людям, которые находятся в санкционных списках или в странах, находящихся под санкциями (например, Северная Корея, Иран и т. д.). Вы несете ответственность за уплату всех налогов. Все вознаграждения являются субъектом действующего законодательства. Наконец, ваше тестирование не должно нарушать закон или компрометировать любые персональные данные, кроме ваших.

Замечания, которые уже были представлены другим пользователем или уже известны спецификациям и сопровождающим клиента, не имеют права на получение вознаграждений.
Публичное раскрытие уязвимости лишает вас права на получение награды.
Исследователи фонда Ethereum и сотрудники команды клиента Eth2 не имеют права на вознаграждение.
Программа вознаграждения Ethereum рассматривает ряд переменных при определении наград. Установление правил для участия, оценки и всех относящихся к награде условий остается на единоличное и окончательное усмотрение совета bug bounty фонда Ethereum.