Otevřené pro příspěvky
Program odměn za nalezení chyb
Vydělejte si až 250 000 USD a místo na žebříčku za nalezení chyb v protokolu, klientovi a překladači jazyka, které ovlivňují síť Ethereum.
Klienti uvedení v odměnách
V rozsahu
page-upgrades-bug-bounty-validity-desc
Chyby ve specifikacích
Specifikace Etherea podrobně popisují návrh exekuční a konsensuální vrstvy.
Specifikace exekuční vrstvy (opens in a new tab)
Může být užitečné podívat se na následující vysvětlivky:
Typy chyb
- Chyby bezpečnosti/definitivního poškození
- Vektory odmítnutí služby (DOS)
- Nesrovnalosti v předpokladech, jako jsou situace, kde lze poctivé ověřovatele zkrátit
- Nesrovnalosti výpočtů nebo parametrů
Chyby klientů
Klienti provozují síť Ethereum a musí se řídit logikou stanovenou ve specifikaci a být zabezpečeni proti potenciálním útokům. Chyby, které chceme najít, se týkají implementace protokolu.
V současné době jsou klienti exekuční vrstvy (Besu, Erigon, Geth, Nethermind a Reth) a klienti konsensuální vrstvy (Lighthouse, Lodestar, Nimbus, Teku a Prysm) zahrnuti do programu odměn za nalezení chyb (Bug Bounty Program). Další klienti mohou být přidáni po dokončení auditů a přípravě k produkčnímu nasazení.
Typy chyb
- Specifikace nedodržení závady
- Neočekávané pády, RCE (vzdálené spuštění kódu) nebo zranitelnosti typu odepření služby (DoS)
- Veškeré problémy způsobující neopravitelný konsensus se dělí od zbytku sítě
Užitečné odkazy
Chyby v překladačích jazyka
Překladače Solidity a Vyper jsou součástí programu odměn za nalezení chyb. Uveďte prosím všechny podrobnosti potřebné k reprodukci zranitelnosti, jako jsou: vstupní program, který chybu spouští, verze dotčeného překladače, cílová verze EVM, případně framework/IDE, případně prostředí pro spuštění/klienta EVM a operační systém. Popište prosím co nejpodrobněji kroky k reprodukci chyby, kterou jste nalezli.
Solidity a Vyper neposkytují bezpečnostní záruky ohledně kompilace nedůvěryhodného vstupu – a neposkytujeme odměny za pády překladače na škodlivě vygenerovaných datech.
Užitečné odkazy
Chyby depozitního kontraktu
Specifikace a zdrojový kód depozitního kontraktu Beacon Chain jsou součástí programu odměn za nalezení chyb.
Chyby závislostí
Některé závislosti jsou pro fungování sítě Ethereum klíčové a některé z nich byly přidány do programu odměn za nalezení chyb. V současné době seznam závislostí zahrnutých do programu odměn za nalezení chyb obsahuje C-KZG-4844 a Go-KZG-4844.
Mimo rozsah
Součástí programu odměn za nalezení chyb jsou pouze cíle uvedené v sekci „V rozsahu“. Mezi zranitelnosti, které do programu nespadají, patří:
- ✕Chyby infrastruktury – jako jsou webové stránky, DNS, e-mail atd.*
- ✕Chyby kontraktů ERC-20*
- ✕Chyby Ethereum Naming Service (ENS) (spravované nadací ENS)
- ✕Zranitelnosti vyžadující, aby uživatel veřejně zpřístupnil API, jako je JSON-RPC nebo Beacon API
- ✕Typografické chyby
- ✕Testy
- ✕Útoky DoS na jednoho peera, které vyžadují velké úsilí (trvalé, náročné na CPU nebo šířku pásma a/nebo vyžadují více než 1 paket nebo transakci na blockchainu)
- ✕Jakékoli veřejně známé problémy (zahrnuje příspěvky na fóru, PR, problémy na GitHubu, commity, blogové příspěvky, veřejné zprávy na Discordu atd.)
- ✕Anything that does not currently have a direct impact on Ethereum mainnet.
*Tyto obvykle nejsou zahrnuty, nicméně v takových případech můžeme pomoci kontaktovat dotčené strany, jako jsou autoři nebo burzy
Pravidla pro hledání chyb
Program odměn za nalezení chyb je experimentální a diskreční program odměn pro naši aktivní komunitu Etherea, jehož cílem je povzbudit a odměnit ty, kteří pomáhají vylepšovat platformu. Nejedná se o soutěž. Měli byste vědět, že program můžeme kdykoli zrušit a odměny jsou udělovány na základě výhradního uvážení komise pro odměny za nalezení chyb nadace Ethereum. Kromě toho nemůžeme udělovat odměny jednotlivcům, kteří jsou na sankčních seznamech nebo se nacházejí v zemích na sankčních seznamech (např. Severní Korea, Írán atd.). Místní zákony vyžadují, abychom vás požádali o doklad totožnosti. Za veškeré daně nesete odpovědnost vy. Všechny odměny podléhají platným zákonům. A konečně, vaše testování nesmí porušovat žádné zákony ani ohrozit žádná data, která vám nepatří, a musí probíhat na lokálně spuštěných testovacích sítích.
- 1Problémy bez POC (důkazu konceptu), které již byly odeslány jiným uživatelem nebo jsou již známé správcům specifikací a klientů, nemají nárok na odměnu.
- 2Veřejné zveřejnění zranitelnosti nebo její nahlášení jiným stranám bez předchozí dohody způsobuje ztrátu nároku na odměnu.
- 3Zaměstnanci a dodavatelé nadace Ethereum nebo týmů klientů v rámci programu odměn se mohou programu účastnit pouze v rámci sbírání bodů a neobdrží peněžní odměny.
- 4Ethereum Bounty program zvažuje řadu proměnných v určení odměn. Vymezení způsobilosti, skóre a všech podmínek souvisejících s přidělením jsou podle vlastního a konečného uvážení Ethereum Foundation panelu odměn za chyby.
Kvalifikace závažnosti zranitelnosti
Závažnost se posuzuje na základě schopnosti objevené zranitelnosti provést následující:
- Provést slashing >0,01 % validátorů
- Triviálně způsobit rozdělení sítě ovlivňující >0,01 % sítě
- Být schopen shodit >0,01 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
- Provést slashing >1 % validátorů
- Triviálně způsobit rozdělení sítě ovlivňující >5 % sítě
- Být schopen shodit >5 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
- Provést slashing >33 % validátorů
- Triviálně způsobit rozdělení sítě ovlivňující >33 % sítě
- Být schopen shodit >33 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
- Provést slashing >50 % validátorů
- Využít chybu v EIP/specifikaci nebo klientovi k snadnému vytvoření nekonečného množství ETH, které je finalizováno sítí
- Ukrást ETH ze všech EOA
- Spálit ETH ze všech EOA
- Shodit celou síť odesláním jediné škodlivé transakce na blockchainu, která způsobí pád všech klientů
Odešlete chybu
Žebříček odměn za nalezení chyb v exekuční vrstvě
Najděte chyby v exekuční vrstvě a dostaňte se na tento žebříček
Žebříček odměn za nalezení chyb v konsensuální vrstvě
Najděte chyby v konsensuální vrstvě a dostaňte se na tento žebříček
Často kladené dotazy
V současné době není stanoveno žádné datum ukončení. Nejnovější zprávy najdete na blogu nadace Ethereum (opens in a new tab).
Odměny se vyplácejí v ETH nebo DAI po ověření hlášení, obvykle o několik dní později. Místní zákony vyžadují, abychom vás požádali o doklad totožnosti. Kromě toho budeme potřebovat vaši ETH adresu.
Vaši odměnu můžeme věnovat zavedené charitativní organizaci podle vašeho výběru.
Na hlášení se snažíme reagovat co nejrychleji. Pokud neobdržíte odpověď do jednoho nebo dvou dnů, neváhejte nám napsat na adresu <a>bounty@ethereum.org</a>.
Hlášení můžete podat anonymně nebo pod pseudonymem, ale nebudete mít nárok na odměny v ETH/DAI. Abyste měli nárok na odměny v ETH/DAI, požadujeme, aby vaše skutečné jméno a doklad totožnosti byly zaslány šifrovaně pomocí PGP na naší zabezpečené webové stránce našemu právnímu týmu v nadaci Ethereum, který je jediným kontrolorem dokumentace. Darování odměny na charitu nevyžaduje vaši totožnost.
Dejte nám prosím vědět, pokud si nepřejete, aby vaše jméno/přezdívka byly zobrazeny na žebříčku.
Každé nalezené zranitelnosti / problému je přiřazeno skóre. Lovci odměn jsou v našem žebříčku seřazeni podle celkového počtu bodů.
Poslední aktualizace stránky: 26. února 2026
