Přeskočit na hlavní obsah

Otevřené pro příspěvky

Program odměn za nalezení chyb 

Vydělejte si až 250 000 USD a místo na žebříčku za nalezení chyb v protokolu, klientovi a překladači jazyka, které ovlivňují síť Ethereum.

Odešlete chybu (opens in a new tab)Číst pravidla
Zobrazit celé žebříčky

Klienti uvedení v odměnách

Logo Besu
Logo Erigon
Logo Geth
Logo Nethermind
Logo Reth
Logo Lighthouse
Logo Lodestar
Logo Nimbus
Logo Prysm
Logo Teku
Logo Grandine

V rozsahu

page-upgrades-bug-bounty-validity-desc

Chyby ve specifikacích

Specifikace Etherea podrobně popisují návrh exekuční a konsensuální vrstvy.

Specifikace konsensuální vrstvy (opens in a new tab)
Specifikace exekuční vrstvy (opens in a new tab)

Typy chyb

  • Chyby bezpečnosti/definitivního poškození
  • Vektory odmítnutí služby (DOS)
  • Nesrovnalosti v předpokladech, jako jsou situace, kde lze poctivé ověřovatele zkrátit
  • Nesrovnalosti výpočtů nebo parametrů

Chyby klientů

Klienti provozují síť Ethereum a musí se řídit logikou stanovenou ve specifikaci a být zabezpečeni proti potenciálním útokům. Chyby, které chceme najít, se týkají implementace protokolu.

V současné době jsou klienti exekuční vrstvy (Besu, Erigon, Geth, Nethermind a Reth) a klienti konsensuální vrstvy (Lighthouse, Lodestar, Nimbus, Teku a Prysm) zahrnuti do programu odměn za nalezení chyb (Bug Bounty Program). Další klienti mohou být přidáni po dokončení auditů a přípravě k produkčnímu nasazení.

Typy chyb

  • Specifikace nedodržení závady
  • Neočekávané pády, RCE (vzdálené spuštění kódu) nebo zranitelnosti typu odepření služby (DoS)
  • Veškeré problémy způsobující neopravitelný konsensus se dělí od zbytku sítě

Chyby v překladačích jazyka

Překladače Solidity a Vyper jsou součástí programu odměn za nalezení chyb. Uveďte prosím všechny podrobnosti potřebné k reprodukci zranitelnosti, jako jsou: vstupní program, který chybu spouští, verze dotčeného překladače, cílová verze EVM, případně framework/IDE, případně prostředí pro spuštění/klienta EVM a operační systém. Popište prosím co nejpodrobněji kroky k reprodukci chyby, kterou jste nalezli.

Solidity a Vyper neposkytují bezpečnostní záruky ohledně kompilace nedůvěryhodného vstupu – a neposkytujeme odměny za pády překladače na škodlivě vygenerovaných datech.

Chyby depozitního kontraktu

Specifikace a zdrojový kód depozitního kontraktu Beacon Chain jsou součástí programu odměn za nalezení chyb.

Chyby závislostí

Některé závislosti jsou pro fungování sítě Ethereum klíčové a některé z nich byly přidány do programu odměn za nalezení chyb. V současné době seznam závislostí zahrnutých do programu odměn za nalezení chyb obsahuje C-KZG-4844 a Go-KZG-4844.

Mimo rozsah

Součástí programu odměn za nalezení chyb jsou pouze cíle uvedené v sekci „V rozsahu“. Mezi zranitelnosti, které do programu nespadají, patří:

  • Chyby infrastruktury – jako jsou webové stránky, DNS, e-mail atd.*
  • Chyby kontraktů ERC-20*
  • Chyby Ethereum Naming Service (ENS) (spravované nadací ENS)
  • Zranitelnosti vyžadující, aby uživatel veřejně zpřístupnil API, jako je JSON-RPC nebo Beacon API
  • Typografické chyby
  • Testy
  • Útoky DoS na jednoho peera, které vyžadují velké úsilí (trvalé, náročné na CPU nebo šířku pásma a/nebo vyžadují více než 1 paket nebo transakci na blockchainu)
  • Jakékoli veřejně známé problémy (zahrnuje příspěvky na fóru, PR, problémy na GitHubu, commity, blogové příspěvky, veřejné zprávy na Discordu atd.)
  • Anything that does not currently have a direct impact on Ethereum mainnet.

*Tyto obvykle nejsou zahrnuty, nicméně v takových případech můžeme pomoci kontaktovat dotčené strany, jako jsou autoři nebo burzy

Pravidla pro hledání chyb

Program odměn za nalezení chyb je experimentální a diskreční program odměn pro naši aktivní komunitu Etherea, jehož cílem je povzbudit a odměnit ty, kteří pomáhají vylepšovat platformu. Nejedná se o soutěž. Měli byste vědět, že program můžeme kdykoli zrušit a odměny jsou udělovány na základě výhradního uvážení komise pro odměny za nalezení chyb nadace Ethereum. Kromě toho nemůžeme udělovat odměny jednotlivcům, kteří jsou na sankčních seznamech nebo se nacházejí v zemích na sankčních seznamech (např. Severní Korea, Írán atd.). Místní zákony vyžadují, abychom vás požádali o doklad totožnosti. Za veškeré daně nesete odpovědnost vy. Všechny odměny podléhají platným zákonům. A konečně, vaše testování nesmí porušovat žádné zákony ani ohrozit žádná data, která vám nepatří, a musí probíhat na lokálně spuštěných testovacích sítích.

  1. 1Problémy bez POC (důkazu konceptu), které již byly odeslány jiným uživatelem nebo jsou již známé správcům specifikací a klientů, nemají nárok na odměnu.
  2. 2Veřejné zveřejnění zranitelnosti nebo její nahlášení jiným stranám bez předchozí dohody způsobuje ztrátu nároku na odměnu.
  3. 3Zaměstnanci a dodavatelé nadace Ethereum nebo týmů klientů v rámci programu odměn se mohou programu účastnit pouze v rámci sbírání bodů a neobdrží peněžní odměny.
  4. 4Ethereum Bounty program zvažuje řadu proměnných v určení odměn. Vymezení způsobilosti, skóre a všech podmínek souvisejících s přidělením jsou podle vlastního a konečného uvážení Ethereum Foundation panelu odměn za chyby.

Kvalifikace závažnosti zranitelnosti

Závažnost se posuzuje na základě schopnosti objevené zranitelnosti provést následující:

Nízká závažnost
  • Provést slashing >0,01 % validátorů
  • Triviálně způsobit rozdělení sítě ovlivňující >0,01 % sítě
  • Být schopen shodit >0,01 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
Střední závažnost
  • Provést slashing >1 % validátorů
  • Triviálně způsobit rozdělení sítě ovlivňující >5 % sítě
  • Být schopen shodit >5 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
Vysoká závažnost
  • Provést slashing >33 % validátorů
  • Triviálně způsobit rozdělení sítě ovlivňující >33 % sítě
  • Být schopen shodit >33 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
Kritická závažnost
  • Provést slashing >50 % validátorů
  • Využít chybu v EIP/specifikaci nebo klientovi k snadnému vytvoření nekonečného množství ETH, které je finalizováno sítí
  • Ukrást ETH ze všech EOA
  • Spálit ETH ze všech EOA
  • Shodit celou síť odesláním jediné škodlivé transakce na blockchainu, která způsobí pád všech klientů

Odešlete chybu

Až 2 000 USD

Nízká

Až 2 000 USD

Až 1000 bodů

Odeslat nízko rizikovou chybu (opens in a new tab)
Až 10 000 USD

Střední

Až 10 000 USD

Až do 5000 bodů

Odeslat středně rizikovou chybu (opens in a new tab)
Až 50 000 USD

Vysoké

Až 50 000 USD

Až do 10000 bodů

Odeslat vysoce kritickou chybu (opens in a new tab)
Až 250 000 USD

Kritické

Až 250 000 USD

Až do 25000 bodů

Odeslat kritickou rizikovou chybu (opens in a new tab)

Žebříček odměn za nalezení chyb v exekuční vrstvě

Najděte chyby v exekuční vrstvě a dostaňte se na tento žebříček

Žebříček odměn za nalezení chyb v konsensuální vrstvě

Najděte chyby v konsensuální vrstvě a dostaňte se na tento žebříček

Často kladené dotazy

Stránka naposledy aktualizována: 3. března 2026

pettinaripp (opens in a new tab)
corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
+7

Byla tato stránka užitečná?