Прeскачане към основното съдържание

Отворено за изпращане

Програма за награди за намиране на грешки 

Спечелете до 250 000 щатски долара и място в класацията, като намирате грешки в протокола, клиентите и Solidity, които се отразяват на мрежата на Етереум.

Докладвайте за грешкаopens in a new tabПрочетете правилата
Вижте целите класации

Клиенти, споменати в изследванията

Попадащи в обхвата

Обхватът на нашата програма за награди за намиране на грешки е от край до край: от надеждността на протоколите (като консенсусния модел на блоковата верига, p2p протоколи, протоколи за трансфер, доказателство за залог и т.н.) и съответствието на протокола/внедряването до сигурността на мрежата и неприкосновеността на консенсуса. Класическата сигурност на клиентите, както и сигурността на криптографските методи, също са част от програмата. Ако имате съмнения, изпратете имейл на bounty@ethereum.org и ни попитайте.

Грешки в спецификациите

Спецификациите на Етереум описват подробно обосновката на дизайна за слоя на изпълнение и консенсусния слой.

Спецификации на консенсусния слойopens in a new tab
Спецификации на слоя на изпълнениеopens in a new tab

Видове грешки

  • Грешки, засягащи безопасността/финализирането на блока
  • Вектори за отказа на услуга/denial of service (DOS)
  • Несъответствия при преценките, като случаи, при които честни валидатори могат да бъдат наказани и изхвърлени
  • Несъответствия в изчисленията или параметрите

Грешки в клиента

Клиентите управляват мрежата на Етереум и трябва да следват логиката, заложена в спецификацията, и да се подсигурят срещу потенциални атаки. Грешките, които искаме да открием, са свързани с прилагането на протокола.

Към момента клиентите на слоя на изпълнение (Besu, Erigon, Geth и Nethermind) и клиентите на консенсусния слой (Lighthouse, Lodestar, Nimbus, Teku и Prysm) са включени в Програмата за награди за намиране на грешки. Може да бъдат добавени още клиенти, когато минат проверка и са готови за пускане.

Видове грешки

  • Проблеми при несъответствие в спецификацията
  • Уязвимости от типа на неочаквани сривове, RCE или отказ на услуги (DOS)
  • Други проблеми, които причиняват непоправими отделяния на консенсусния слой от останалата част от мрежата

Грешки в Solidity

Вижте Solidity SECURITY.MD за повече подробности относно това какво влиза в обхвата.

Solidity не поддържа гаранции за сигурност по отношение на компилирането на ненадеждни входящи данни – също така не даваме награди за сривове на компилатора solc при злонамерено генерирани данни.

Грешки в договор за депозит

Спецификациите и изходният код на договора за депозит на Бийкън чейн са част от програмата за награди за намиране на грешки.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

Vulnerability severity qualifications

Severity is assessed based on a discovered vulnerability's ability to do the following:

Low severity

  • Slash >0.01% of validators
  • Trivially cause network splits affecting >0.01% of the network
  • Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction

Medium severity

  • Slash >1% of validators
  • Trivially cause network splits affecting >5% of the network
  • Be able to bring down >5% of the network by sending a single network packet or an onchain transaction

High severity

  • Slash >33% of validators
  • Trivially cause network splits affecting >33% of the network
  • Be able to bring down >33% of the network by sending a single network packet or an onchain transaction

Critical severity

  • Slash >50% of validators
  • Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
  • Steal ETH from all EOAs
  • Burn ETH from all EOAs
  • Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients

Извън обхвата

Само обекти, които са изброени като попадащи в обхвата, са част от Програмата за награди за намиране на грешки. Това означава, че неща като нашата инфраструктура например – като уебстраници, DNS, имейли и др. – не са обхванати от програмата. Грешките в договорите ERC20 обичайно не са включени в обхвата на наградите. В такива случаи обаче можем да помогнем на засегнатите страни, като например автори или борси. ENS се поддържа от фондацията ENS и не влиза в обхвата на наградите.

  • Infrastructure bugs—such as webpages, dns, email, etc.*
  • ERC-20 contract bugs*
  • Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
  • Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
  • Typographical errors
  • Tests
  • High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
  • Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)

*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases

Докладвайте за грешка

Ще печелите награди за всяка валидна грешка, която намерите. Количеството на присъжданите награди ще е различно в зависимост от тежестта на грешката. Тежестта се изчислява въз основа на модела за оценка на риска OWASP и е базирана на отражението върху мрежата на Етереум и вероятността ѝ. Вижте OWASP методаopens in a new tab

Фондация Етереум ще предоставя награди на базата на:

Качество на описанието: По-високи награди се изплащат, когато подадената информация е ясна и добре написана.

Качество на възпроизводимост: Трябва да бъде включено доказателство за концепция, за да отговаряте на условията за награди. Включете тест код, скриптове и подробни указания. Колкото е по-лесно за нас да възпроизведем и установим уязвимостта, толкова по-голяма ще е наградата.

Качество на фиксирането, ако е включено: По-високи награди се изплащат за подадена информация с ясно описание как да се реши проблемът.

До 2000 USD

Ниско

До 2000 USD

До 1000 точки

Трудност

  • Ниско въздействие, средна вероятност
  • Средно въздействие, ниска вероятност

Пример

Атакуващият може понякога да постави даден възел в състояние, което ще предизвика падането на една от всеки сто атестации, направени от валидатора

Докладвайте за грешка с нисък рискopens in a new tab
До 10 000 USD

Средно

До 10 000 USD

До 5000 точки

Трудност

  • Високо въздействие, ниска вероятност
  • Средно въздействие, средна вероятност
  • Ниско въздействие, висока вероятност

Пример

Атакуващият може успешно да проведе прикрити атаки на възли с peer-id с 4 водещи нулеви битове/4 leading zero bytes

Докладвайте за грешка със среден рискopens in a new tab
До 50 000 USD

Високо

До 50 000 USD

До 10 000 точки

Трудност

  • Високо въздействие, средна вероятност
  • Средно въздействие, висока вероятност

Пример

Един атакуващ може успешно да раздели големи части от мрежата и е банално атакуващият да задейства уязвимостта.

Докладвайте за грешка с висок рискopens in a new tab
До 250000 USD

Критично важно

До 250000 USD

До 25 000 точки

Трудност

  • Голямо въздействие, голяма вероятност

Пример

Един атакуващ може успешно да извърши дистанционно изпълнение на код в мажоритарен клиент и е банално атакуващи да задейства уязвимостта.

Докладвайте за грешка с критичен рискopens in a new tab

Правила при търсене на грешки

Програмата за награди за намиране на грешки е експериментална и наградите са по усмотрение за нашата активна общност на Етереум с цел поощряване и награда за тези, които помагат за усъвършенстване на платформата. Това не е състезание. Трябва да сте наясно, че може да спрем програмата по всяко време и наградите са единствено по преценка на комисията по откриване на грешки на Фондация Етереум. Също така не можем да даваме награди на хора, които са в списъци на санкционирани лица или които се намират в страни, включени в такива списъци (например Северна Корея, Иран и други). Местните закони ни задължават да поискаме доказателство за вашата самоличност. Всички данъци са ваша отговорност. Всички награди са подчинени на съответните закони. И накрая, тестовете, които правите, не трябва да нарушават никакви закони или да компрометират данни, които не са ваши, и трябва да се извършват на местни тестови мрежи.

  • Проблеми без доказателство за концепция (POC), които вече са докладвани от друг потребител или са вече известни на поддържащите спецификация и клиенти, не подлежат на награди по програмата за търсене на грешки.
  • Публичното оповестяване на дадена уязвимост я прави неприемлива за награда.
  • Служители и изпълнители на Фондация Етереум или екипи, управляващи клиенти, който попадат в обхвата на програмата за награди могат да участват в програмата само с натрупване на точки и няма да получават парични награди.
  • Програмата на Етереум за награди за намиране на грешки се съобразява с множество фактори при определяне на наградите. Определянето на допустимостта, резултата и всички условия, свързани с дадена награда, е по окончателна преценка единствено и само на комисията за търсене на грешки на Фондация Етереум.

Класация за намиране на грешки в слоя на изпълнение

Открийте грешки в слоя на изпълнение, за да ви добавим в тази класация

Класация за намиране на грешки в консенсусния слой

Открийте грешки в консенсусния слой, за да ви добавим в тази класация

Често задавани въпроси

Page last update: 1 октомври 2025 г.

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+5

Въпроси?

Пишете ни: bounty@ethereum.orgopens email client

Полезна ли бе тази страница?