参与赏金计划的客户端
有效漏洞
本漏洞悬赏计划专注于查找Eth2信标链规范和Prysm、Lighthouse和Teku等客户端实现上的漏洞。
信标链规范漏洞
信标链规范细化了设计初衷和信标链升级将对以太坊造成的影响。
查看以下注释可能会有所帮助:
漏洞类型
- 安全性/触发崩溃的确定性漏洞
- 拒绝提供服务(DOS)的潜在漏洞
- 假设的不一致,例如诚实的验证者大幅减少的情况。
- 计算和参数的不一致性
Eth2客户端漏洞
一旦升级完成部署,这些客户端将运行信标链。客户端需要遵循规范中规定的逻辑,并确保免受潜在攻击。我们想要查找与协议实现相关的漏洞。
目前,Lighthouse、Nimbus、Teku和Prysm的bug有资格获得这个奖励。当更多的客户端完成审查并准备成为正式产品时,它们也可能会加入进来。
漏洞类型
- 规范不兼容问题。
- 意外崩溃或拒绝服务(DOS)漏洞。
- 任何无法恢复的、针对网络其余部分的共识分裂问题。
未包含
分片链和对接升级仍处于开发阶段,因此未包含在这个漏洞悬赏计划中。
提交一个漏洞
我们为您发现的每一个漏洞奖励积分。您获得的积分多少取决于漏洞的严重程度。以太坊基金(EF)会根据OWASP方法判断漏洞的严重程度。 查看OWASP方法
以太坊基金会将基于以下规则授予积分:
说明描述的质量:为组织清晰、描述清楚的提交文档支付更高的报酬。
可复现能力的质量:请包含测试代码、脚本或者其它详细的指令。我们越容易复现并确认问题,您将获得越高的报酬。
修复补丁的质量如果包含:为提供清晰修复方案的提交支付更高的报酬。
1积分
正在加载数据...
以太坊基金会将会使用和美元等价的ETH或者DAI支付。
以太坊基金会保留在没有提前通知的情况修改规则的权力。
低
最多2,000 DAI
严重程度
- 低影响力,中等可能性
- 中等影响力,低可能性
样例
中等
最多10,000 DAI
严重程度
- 高影响力,低可能性
- 中等影响力,中等可能性
- 低影响力,高可能性
样例
漏洞悬赏规则
漏洞悬赏计划是针对我们活跃的以太坊社区的一项实验性和可任意决定的奖励计划,旨在鼓励和奖励那些正在帮助改善平台的人。这不是比赛。您需要知道我们可以随时取消该计划,并且奖励金额由以太坊基金会漏洞悬赏小组全权决定。此外,我们无法向在制裁名单上或在制裁名单上的国家/地区(例如朝鲜、伊朗等)的个人颁发奖励。您需要为奖金支付相应税赋。所有奖励均受适用法律的约束。最后,您的测试不得违反任何法律或损害任何非您拥有的数据。
- 已经被其它参与者提交或者已经被规范提及的问题,同时客户端的维护者不能参与赏金计划。
- 已经公开的漏洞不适用于赏金计划。
- 以太坊基金会的研究者和eth2客户端团队的雇员无法参与赏金计划。
- 以太坊赏金计划将考虑一系列影响奖赏金额的因素。参与资格、分数以及所有奖赏相关的因素将由以太坊基金会漏洞悬赏小组全权决定。
有问题?
发邮件给我们: eth2bounty@ethereum.org
