Zum Hauptinhalt springen

Offen für Einreichungen

Bug-Bounty-Programm 

Verdienen Sie bis zu 1.000.000 USD und einen Platz auf der Bestenliste, indem Sie Protokoll-, Client- und Sprach-Compiler-Bugs finden, die das Ethereum-Netzwerk betreffen.

Einen Bug einreichen (opens in a new tab)Regeln lesen
Vollständige Bestenlisten ansehen

In den Bounties berücksichtigte Clients

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Im Geltungsbereich

Unser Bug-Bounty-Programm erstreckt sich von Anfang bis Ende: von der Solidität der Protokolle (wie dem Blockchain-Konsensmodell, den Wire- und P2P-Protokollen, Proof-of-Stake usw.) und der Protokoll-/Implementierungskonformität bis hin zur Netzwerksicherheit und Konsensintegrität. Klassische Client-Sicherheit sowie die Sicherheit kryptografischer Primitive sind ebenfalls Teil des Programms. Alle Bug-Offenlegungen und Schwachstellen-Einreichungen müssen über unser Bug-Einreichungsformular (opens in a new tab) erfolgen.

Spezifikations-Bugs

Die Ethereum-Spezifikationen detaillieren die Design-Grundlagen für die Ausführungsebene und die Konsensebene.

Konsensebene-Spezifikationen (opens in a new tab)
Ausführungsebene-Spezifikationen (opens in a new tab)

Arten von Bugs

  • Sicherheits-/Finalität-brechende Bugs
  • Denial-of-Service-Vektoren (DOS)
  • Inkonsistenzen in Annahmen, wie Situationen, in denen ehrliche Validatoren geslasht werden können
  • Berechnungs- oder Parameterinkonsistenzen

Client-Bugs

Clients betreiben das Ethereum-Netzwerk und müssen der in der Spezifikation festgelegten Logik folgen sowie sicher vor potenziellen Angriffen sein. Die Bugs, die wir finden möchten, beziehen sich auf die Implementierung des Protokolls.

Derzeit sind Ausführungsebene-Clients (Besu, Erigon, Geth, Nethermind und Reth) und Konsensebene-Clients (Lighthouse, Lodestar, Nimbus, Teku und Prysm) im Bug-Bounty-Programm enthalten.

Arten von Bugs

  • Probleme bei der Nichteinhaltung der Spezifikation
  • Unerwartete Abstürze, RCE- oder Denial-of-Service-Schwachstellen (DOS)
  • Jegliche Probleme, die irreparable Konsens-Spaltungen vom Rest des Netzwerks verursachen

Sprach-Compiler-Bugs

Die Compiler für Solidity und Vyper fallen in den Geltungsbereich des Bug-Bounty-Programms. Bitte geben Sie alle Details an, die zur Reproduktion der Schwachstelle erforderlich sind, wie z. B.: Eingabeprogramm, das den Bug auslöst, betroffene Compiler-Version, Ziel-EVM-Version, Framework/IDE (falls zutreffend), EVM-Ausführungsumgebung/-Client (falls zutreffend) und Betriebssystem. Bitte fügen Sie die Schritte zur Reproduktion des gefundenen Bugs so detailliert wie möglich bei.

Solidity und Vyper bieten keine Sicherheitsgarantien bezüglich der Kompilierung nicht vertrauenswürdiger Eingaben – und wir vergeben keine Belohnungen für Abstürze des Compilers bei böswillig generierten Daten.

Einzahlungsvertrag-Bugs

Die Spezifikationen und der Quellcode des Beacon Chain-Einzahlungsvertrags sind Teil des Bug-Bounty-Programms.

Abhängigkeits-Bugs

Bestimmte Abhängigkeiten sind für das Funktionieren des Ethereum-Netzwerks entscheidend, und einige davon wurden in das Bug-Bounty-Programm aufgenommen. Derzeit umfasst die Liste der im Bug-Bounty-Programm enthaltenen Abhängigkeiten C-KZG-4844 und Go-KZG-4844.

Nicht im Geltungsbereich

Nur die unter 'Im Geltungsbereich' aufgeführten Ziele sind Teil des Bug-Bounty-Programms. Schwachstellen, die sich NICHT für das Programm qualifizieren, umfassen:

  • Infrastruktur-Bugs – wie Webseiten, DNS, E-Mail usw.*
  • ERC-20-Contract-Bugs*
  • Ethereum Naming Service (ENS)-Bugs (gepflegt von der ENS Foundation)
  • Schwachstellen, die erfordern, dass der Benutzer eine API öffentlich zugänglich gemacht hat, wie z. B. JSON-RPC oder die Beacon-API
  • Tippfehler
  • Tests
  • Aufwendige (anhaltende, CPU- oder bandbreitenintensive und/oder mehr als 1 Paket oder Transaktion auf der Blockchain erfordernde) Single-Peer-DoS-Angriffe
  • Alle öffentlich bekannten Probleme (einschließlich Forenbeiträge, PRs, GitHub-Issues, Commits, Blogbeiträge, öffentliche Discord-Nachrichten usw.)
  • Alles, was derzeit keine direkten Auswirkungen auf das Ethereum-Mainnet hat.

*Diese sind nicht inbegriffen, wir können jedoch manchmal dabei helfen, betroffene Parteien zu kontaktieren

Regeln für die Bug-Suche

Das Bug-Bounty-Programm ist ein experimentelles und freiwilliges Belohnungsprogramm für unsere aktive Ethereum-Community, um diejenigen zu ermutigen und zu belohnen, die zur Verbesserung der Plattform beitragen. Es ist kein Wettbewerb. Sie sollten wissen, dass wir das Programm jederzeit abbrechen können und die Vergabe von Prämien im alleinigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation liegt. Darüber hinaus können wir keine Prämien an Personen vergeben, die auf Sanktionslisten stehen oder sich in Ländern befinden, die auf Sanktionslisten stehen (z. B. Nordkorea, Iran usw.). Lokale Gesetze verlangen von uns, einen Identitätsnachweis anzufordern. Sie sind für alle Steuern verantwortlich. Alle Prämien unterliegen dem geltenden Recht. Schließlich dürfen Ihre Tests nicht gegen Gesetze verstoßen oder Daten gefährden, die nicht Ihnen gehören, und müssen auf lokal laufenden Testnets stattfinden.

  1. 1Probleme ohne einen POC oder solche, die bereits von einem anderen Benutzer eingereicht wurden oder den Spezifikations- und Client-Betreuern bereits bekannt sind, haben keinen Anspruch auf Bounty-Belohnungen.
  2. 2Die öffentliche Offenlegung einer Schwachstelle oder die Meldung an andere Parteien ohne vorherige Zustimmung führt zum Ausschluss von einer Bounty.
  3. 3Mitarbeiter und Auftragnehmer der Ethereum Foundation, Stipendiaten der Ethereum Foundation oder Client-Teams, die in den Geltungsbereich des Bounty-Programms fallen, dürfen nur zum Sammeln von Punkten am Programm teilnehmen und erhalten keine finanziellen Belohnungen.
  4. 4Das Ethereum-Bounty-Programm berücksichtigt bei der Festlegung von Belohnungen eine Reihe von Variablen. Die Feststellung der Berechtigung, der Punktzahl und aller Bedingungen im Zusammenhang mit einer Prämie liegt im alleinigen und endgültigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation.

Qualifikationen für den Schweregrad von Schwachstellen

Der Schweregrad wird basierend auf der einzigartigen Fähigkeit jeder entdeckten Schwachstelle bewertet, Folgendes zu tun:

Geringer Schweregrad
  • >0,01 % der Validatoren slashen
  • Trivial Netzwerkspaltungen verursachen, die >0,01 % des Netzwerks betreffen
  • In der Lage sein, >0,01 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Transaktion auf der Blockchain lahmzulegen
Mittlerer Schweregrad
  • >1 % der Validatoren slashen
  • Trivial Netzwerkspaltungen verursachen, die >5 % des Netzwerks betreffen
  • In der Lage sein, >5 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Transaktion auf der Blockchain lahmzulegen
Hoher Schweregrad
  • >33 % der Validatoren slashen
  • Trivial Netzwerkspaltungen verursachen, die >33 % des Netzwerks betreffen
  • In der Lage sein, >33 % des Netzwerks durch das Senden einer einzigen Transaktion auf der Blockchain lahmzulegen
Kritischer Schweregrad
  • >50 % der Validatoren slashen
  • Einen EIP-/Spezifikations- oder Client-Bug ausnutzen, um problemlos eine unendliche Menge an ETH zu erstellen, die vom Netzwerk finalisiert wird
  • ETH stehlen von allen EOAs
  • ETH verbrennen von allen EOAs
  • Das gesamte Netzwerk lahmlegen durch das Senden einer einzigen bösartigen Transaktion auf der Blockchain, die zum Absturz aller Clients führt

Einen Bug einreichen

Bis zu 2.000 USD

Gering

Bis zu 2.000 USD

Bis zu 1.000 Punkte

Bug mit geringem Risiko einreichen (opens in a new tab)
Bis zu 10.000 USD

Mittel

Bis zu 10.000 USD

Bis zu 5.000 Punkte

Bug mit mittlerem Risiko einreichen (opens in a new tab)
Bis zu 50.000 USD

Hoch

Bis zu 50.000 USD

Bis zu 10.000 Punkte

Bug mit hohem Risiko einreichen (opens in a new tab)
Bis zu 1.000.000 USD

Kritisch

Bis zu 1.000.000 USD

Bis zu 25.000 Punkte

Bug mit kritischem Risiko einreichen (opens in a new tab)

Ausführungsebene-Bug-Bounty-Bestenliste

Finden Sie Ausführungsebene-Bugs, um in diese Bestenliste aufgenommen zu werden

Konsensebene-Bug-Bounty-Bestenliste

Finden Sie Konsensebene-Bugs, um in diese Bestenliste aufgenommen zu werden

Häufig gestellte Fragen

Derzeit ist kein Enddatum festgelegt. Weitere Neuigkeiten finden Sie im Blog der Ethereum Foundation (opens in a new tab).

Belohnungen werden in ETH oder DAI ausgezahlt, nachdem die Einreichung validiert wurde, normalerweise einige Tage später. Lokale Gesetze verlangen von uns, einen Identitätsnachweis anzufordern. Darüber hinaus benötigen wir Ihre ETH-Adresse.

Wir können Ihre Belohnung an eine etablierierte wohltätige Organisation Ihrer Wahl spenden.

Wir bemühen uns, so schnell wie möglich auf Einreichungen zu antworten. Aufgrund der Zunahme von KI-Einreichungen kann es bis zu einer Woche dauern, bis wir auf Ihre Einreichung antworten.

Eine anonyme Einreichung oder die Verwendung eines Pseudonyms ist in Ordnung, führt jedoch dazu, dass Sie keinen Anspruch auf ETH/DAI-Belohnungen haben. Um Anspruch auf ETH/DAI-Belohnungen zu haben, benötigen wir Ihren echten Namen und einen Identitätsnachweis, der mit PGP verschlüsselt über unsere sichere Drop-Website an unser Rechtsteam bei der Ethereum Foundation gesendet wird, welches die Dokumentation als einzige Instanz überprüft. Wenn Sie Ihre Bounty an eine Wohltätigkeitsorganisation spenden, ist Ihre Identität nicht erforderlich.

Bitte lassen Sie uns wissen, wenn Sie nicht möchten, dass Ihr Name/Spitzname auf der Bestenliste angezeigt wird.

Jeder gefundenen Schwachstelle / jedem Problem wird eine Punktzahl zugewiesen. Bounty-Jäger werden auf unserer Bestenliste nach Gesamtpunkten eingestuft.

Letzte Aktualisierung der Seite: 26. Februar 2026

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+7

War diese Seite hilfreich?