Weiter zum Hauptinhalt

Für Einreichungen offen

Konsens-Layer-Bug-Bounties 

Verdienen Sie bis zu 250.000 USD und einen Platz auf der Rangliste, indem Sie Konsens-Layer-Protokoll- und Client-Fehler finden.

Fehler melden (opens in a new tab)Regeln lesen
Vollständige Rangliste anzeigen

In den Belohnungen aufgeführte Clients

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Gültige Fehler

Dieses Bug-Bounty-Programm konzentriert sich auf die Suche nach Fehlern in der Beacon Chain-Spezifikation und den Lighthouse-, Nimbus-, Teku-, Prysm- und Lodestar-Client-Implementierungen.

Die Fehler in der Spezifikation der Beacon Chain

Die Beacon Chain-Spezifikation beschreibt das Designprinzip und die vorgeschlagenen Änderungen an Ethereum durch das Beacon Chain-Upgrade.

Vollständige Spezifikation lesen (opens in a new tab)
Execution Layer Specifications (opens in a new tab)

Fehlerarten

  • Sicherheits-/endgültigkeitsverletzende Fehler
  • Denial-of-Service (DOS)-Vektoren
  • Inkonsistenzen in den Annahmen, wie Situationen, in denen ehrliche Validatoren geslasht werden
  • Berechnungs- oder Parameterinkonsistenzen

Client-Fehler im Konsens-Layer

Die Clients führen die Beacon Chain aus, sobald das Upgrade installiert ist. Die Clients müssen der in der Spezifikation dargelegten Logik folgen und gegen mögliche Angriffe geschützt sein. Die Fehler, die wir finden wollen, stehen in Zusammenhang mit der Implementierung des Protokolls.

Derzeit sind Lighthouse-, Nimbus-, Teku- und Prysm-Fehler für die vollen Bounty-Belohnungen berechtigt. Lodestar ist ebenfalls teilnahmeberechtigt, aber bis weitere Audits abgeschlossen sind, sind die Punkte und Prämien auf 10 % begrenzt (maximale Auszahlung beträgt 5.000 DAI). Weitere Clients können hinzugefügt werden, wenn sie Audits abschließen und produktionsbereit sind.

Fehlerarten

  • Probleme mit der Nichteinhaltung der Spezifikation
  • Unerwartete Abstürze oder Denial-of-Service (DOS)-Schwachstellen
  • Alle Probleme, die irreparable Abspaltungen vom Konsens des restlichen Netzwerks verursachen

Language compiler bugs

The Solidity and Vyper compilers are in scope of the bug bounty program. Please include all details necessary to reproduce the vulnerability such as: Input program that triggers the bug, Compiler version affected, Target EVM version, Framework/IDE if applicable, EVM execution environment/client if applicable and Operating system, Please include steps to reproduce the bug you have found in as much detail as possible.

Solidity and Vyper does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the compiler on maliciously generated data.

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

Nicht enthalten

Die Zusammenführung und die Shard-Chain- und Docking-Upgrades befinden sich derzeit noch in der Entwicklung und sind daher noch nicht Teil dieses Belohnungsprogramms.

  • Infrastructure bugs—such as webpages, dns, email, etc.*
  • ERC-20 contract bugs*
  • Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
  • Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
  • Typographical errors
  • Tests
  • High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
  • Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
  • Anything that does not currently have a direct impact on Ethereum mainnet.

*These are not included, however, we can sometimes help reach out to affected parties

Regeln für die Fehlersuche

Das Fehlerbelohnungsprogramm ist ein experimentelles, unserem Ermessen überlassenes Prämienprogramm für unsere aktive Ethereum-Community, um diejenigen zu ermuntern und zu belohnen, die zur Verbesserung der Plattform beitragen. Es ist kein Wettbewerb. Hinweis: Wir behalten uns vor, das Programm jederzeit zu beenden. Auszeichnungen werden nach alleinigem Ermessen des Bug-Bounty-Programm-Gremiums der Ethereum Foundation vergeben. Außerdem können wir keine Auszeichnungen an Personen vergeben, die auf Sanktionslisten stehen oder sich in Ländern auf Sanktionslisten befinden (bspw. in Nordkorea, Iran etc.). Jeder ist selbst für die korrekte Versteuerung verantwortlich. Alle Auszeichnungen unterliegen dem geltenden Recht. Das Testen darf zudem keine Gesetze verletzen oder Daten kompromittieren, die nicht die eigenen sind.

  1. 1Probleme, die bereits von einem anderen Nutzer eingereicht wurden oder die bereits Spezifikations- oder Client-Betreuern bekannt sind, berechtigen nicht zu Belohnungsprämien.
  2. 2Die öffentliche Bekanntgabe einer Sicherheitslücke führt dazu, dass sie nicht für eine Belohnung in Frage kommt.
  3. 3Forscher der Ethereum Foundation und Mitarbeiter von Konsens-Layer-Kundenteams haben keinen Anspruch auf Belohnungen.
  4. 4Das Ethereum Bounty-Programm berücksichtigt eine Reihe von Variablen bei der Bestimmung der Belohnungen. Die Anspruchsprüfung, die Berechnung des Ergebnisses und alle weiteren Bestimmungen bezüglich einer Belohnung liegen im alleinigen und endgültigen Ermessen des Ethereum Foundation-Bug-Bounty-Panels.

Vulnerability severity qualifications

Severity is assessed based on a discovered vulnerability's ability to do the following:

Low severity
  • Slash >0.01% of validators
  • Trivially cause network splits affecting >0.01% of the network
  • Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
  • Slash >1% of validators
  • Trivially cause network splits affecting >5% of the network
  • Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
  • Slash >33% of validators
  • Trivially cause network splits affecting >33% of the network
  • Be able to bring down >33% of the network by sending a single onchain transaction
Critical severity
  • Slash >50% of validators
  • Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
  • Steal ETH from all EOAs
  • Burn ETH from all EOAs
  • Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients

Fehler melden

Bis zu 2.000 DAI

Gering

Bis zu 2.000 DAI

Bis zu 1.000 Punkte

Fehler mit geringem Risiko melden (opens in a new tab)
Bis zu 10.000 DAI

Mittel

Bis zu 10.000 DAI

Bis zu 5.000 Punkte

Fehler mit mittlerem Risiko melden (opens in a new tab)
Bis zu 20.000 DAI

Hoch

Bis zu 20.000 DAI

Bis zu 10.000 Punkte

Fegker mit hohem Risiko melden (opens in a new tab)
Bis zu 50.000 DAI

Kritisch

Bis zu 50.000 DAI

Bis zu 25.000 Punkte

Fehler mit kritischem Risiko melden (opens in a new tab)

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Rangliste bei der Fehlersuche

Finden Sie Konsens-Layer-Fehler, um zu dieser Rangliste hinzugefügt zu werden

Häufig gestellte Fragen

Seite zuletzt aktualisiert: 26. Februar 2026

pettinaripp (opens in a new tab)
corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
+7

War diese Seite hilfreich?