Ya puede enviar informes
Programa de recompensa de errores
Encuentre errores en protocolos, clientes y compiladores de lenguaje que afecten a la red de Ethereum y gane hasta 250.000 USD junto a una posición en el panel de clasificación.
Clientes destacados en las recompensas
En el ámbito
Nuestro programa de recompensas por errores abarca de extremo a extremo: desde la solidez de los protocolos (como el modelo de consenso de la blockchain, los protocolos wire y p2p, proof of stake, etc.) y la conformidad de protocolos/implementaciones hasta la seguridad de la red y la integridad del consenso. La seguridad clásica de los clientes, así como la de los elementos criptográficos, también forman parte del programa. En caso de duda, envíe un correo a bounty@ethereum.org y consúltenos. También puede enviar una divulgación o vulnerabilidad directamente a bounty@ethereum.orgopens email client; en tal caso, le solicitamos que cifre el mensaje usando nuestra Llave PGPopens in a new tab.
Errores de especificación
Las especificaciones de Ethereum detallan la justificación del diseño para la capa de ejecución y la capa de consenso.
Especificaciones de la capa de ejecuciónopens in a new tab
Podría ser de ayuda revisar las siguientes anotaciones:
Tipos de errores
- Errores de seguridad o errores de infracción de la finalidad
- Denegación de vectores de servicio (DOS)
- Inconsistencias en supuestos, como situaciones en las que se puede sancionar a validadores honestos.
- Inconsistencias de cálculos o parámetros
Errores del cliente
Los clientes ejecutan la red Ethereum y deben seguir la lógica establecida en la especificación y estar protegidos frente a posibles ataques. Los errores que nos interesan están relacionados con la implementación del protocolo.
Actualmente, los clientes de la capa de ejecución (Besu, Erigon, Geth, Nethermind y Reth) y los clientes de la capa de consenso (Lighthouse, Lodestar, Nimbus, Teku y Prysm) están incluidos en el Programa Bug Bounty. Es posible que se añadan más clientes a medida que completen las auditorías y estén listos para producción.
Tipos de errores
- Problemas de incumplimiento de especificaciones
- Errores inesperados, RCE o vulnerabilidades de negación del servicio (DOS)
- Cualquier problema que cause divisiones irreparables en el consenso con respecto al resto de la red.
Errores del compilador de lenguaje
Los compiladores Solidity y Vyper están dentro del alcance del programa de recompensas por errores. Incluya todos los detalles necesarios para reproducir la vulnerabilidad, como: programa de entrada que desencadena el error, versión del compilador afectada, versión de EVM de destino, marco/IDE si corresponde, entorno de ejecución/cliente de EVM si corresponde y sistema operativo. Incluya los pasos para reproducir el error que encontró con el mayor detalle posible.
Solidity y Vyper no ofrece garantías de seguridad con respecto a la compilación de entradas no fiables, como tampoco ofrecemos recompensas por fallos del compilador en datos generados maliciosamente.
Enlaces útiles
Errores del contrato de depósito
Las especificaciones y el código fuente del contrato de depósito de la cadena de baliza son parte del programa de recompensas por errores.
Errores de dependencia
Ciertas dependencias son indispensables para el funcionamiento de la Red de Ethereum. Algunas de ellas han sido agregadas al Programa Bug Bounty. Actualmente, la lista de dependencias incluidas en el Programa Bug Bounty son C-KZG-4844 y Go-KZG-4844.
Criterios para evaluar la gravedad de la vulnerabilidad
La gravedad se evalúa en función de la capacidad de la vulnerabilidad descubierta para realizar lo siguiente:
Gravedad baja
- Slash al >0,01 % de los validadores
- Causar trivialmente divisiones en la red que afecten al >0,01 % de la red
- Ser capaz de derribar al >0,01 % de la red enviando un solo paquete de red o una transacción onchain
Gravedad media
- Slash al >1 % de los validadores
- Causar trivialmente divisiones en la red que afecten al >5 % de la red
- Ser capaz de derribar al >5 % de la red enviando un solo paquete de red o una transacción onchain
Gravedad alta
- Slash al >33 % de los validadores
- Causar trivialmente divisiones en la red que afecten al >33 % de la red
- Ser capaz de derribar al >33 % de la red enviando un solo paquete de red o una transacción onchain
Gravedad crítica
- Slash al >50 % de los validadores
- Explotar un EIP/especificación o un bug en el cliente para crear fácilmente una cantidad infinita de ETH que la red considera como finalizada
- Robar ETH de todas las EOAs
- Destruir ETH de todas las EOAs
- Derribar toda la red enviando una única transacción onchain maliciosa que provoque la caída de todos los clientes
Fuera de ámbito
Solo los objetivos indicados como dentro del alcance forman parte del Programa de Recompensa por Errores. Las vulnerabilidades que NO califican bajo el programa incluyen:
- Errores de infraestructura—como páginas web, DNS, correo electrónico, etc.*
- Errores en contratos ERC-20*
- Errores de Ethereum Naming Service (ENS) (mantenido por la fundación ENS)
- Vulnerabilidades que requieran que el usuario haya expuesto públicamente una API, como JSON-RPC o la Beacon API
- Errores tipográficos
- Pruebas
- Ataques DoS de un solo par (que requieren mucho esfuerzo sostenido, con uso intensivo de CPU o ancho de banda, y/o más de un paquete o transacción onchain)
- Cualquier problema públicamente conocido (incluye publicaciones en foros, PRs, issues en github, commits, publicaciones de blog, mensajes públicos en Discord, etc.)
*Normalmente no se incluyen, pero podemos ayudar a contactar a las partes afectadas, como autores o exchanges, en tales casos
Enviar un error
Por cada error válido que encuentre, recibirá recompensas. La cantidad de recompensas otorgadas variará según la gravedad. La gravedad se calcula en base al modelo de valoración de riesgos de OWASP, tomando en cuenta el impacto en la red de Ethereum y la probabilidad. Ver método OWASPopens in a new tab
La EF también proporcionará recompensas basadas en:
Calidad de la descripción: se pagan recompensas más altas por informes claros y bien escritos.
Calidad de la reproducción: debe incluirse una prueba de concepto (POC) para poder optar a los premios. Por favor incluya el código de prueba, scripts e instrucciones detalladas. Cuanto más fácil nos resulte reproducir y verificar la vulnerabilidad, mayor será la recompensa.
Calidad de la solución, si se incluye: se pagan recompensas más altas por los envíos con una descripción clara de cómo solucionar el problema.
Baja
Hasta 2.000 USD
Hasta 1.000 puntos
Gravedad
- Impacto bajo, probabilidad media
- Impacto medio, probabilidad baja
Ejemplo
El atacante a veces puede poner un nodo en un estado que hace que invalide una de cada cien certificaciones hechas por un validador.
Medio
Hasta 10.000 USD
Hasta 5.000 puntos
Gravedad
- Impacto alto, probabilidad baja
- Impacto medio, probabilidad media
- Impacto bajo, probabilidad alta
Ejemplo
El atacante puede realizar con éxito ataques de eclipse en nodos con identificadores de pares que empiecen con 4 bytes en 0.
Alto
Hasta 50.000 USD
Hasta 10.000 puntos
Gravedad
- Impacto alto, probabilidad media
- Impacto medio, probabilidad alta
Ejemplo
El atacante puede dividir con éxito grandes partes de la red, y es insignificante para un atacante activar la vulnerabilidad.
Crítico
Hasta 250,000 USD
Hasta 25.000 puntos
Gravedad
- Impacto alto, probabilidad alta
Ejemplo
El atacante puede realizar con éxito la ejecución remota de código en un cliente mayoritario, y es insignificante que un atacante desencadene la vulnerabilidad
Reglas de búsqueda de errores
El programa de recompensas por errores es un programa de recompensas experimental y discrecional para nuestra comunidad activa de Ethereum con el fin de alentar y recompensar a quienes ayudan a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento, y que los premios quedan a discreción del panel de recompensas por errores de Ethereum Foundation. Además, no podemos otorgar premios a personas que estén en listas de sanciones o que se encuentren en países en listas de sanciones (p. ej., Corea del Norte, Irán, etc.). La legislación local nos obliga a solicitar una prueba de su identidad. Usted es responsable de todos los impuestos. Todos los premios están sujetos a la legislación aplicable. Por último, sus pruebas no deben infringir ninguna ley ni comprometer ningún dato que no sea suyo, y deben realizarse en redes de prueba locales.
- Los problemas sin un POC, que ya haya enviado otro usuario o que los mantenedores de especificaciones y clientes ya conozcan no son elegibles para recompensas.
- La divulgación pública de una vulnerabilidad o informar sobre ella a otras partes sin un acuerdo previo la hace inelegible para una recompensa.
- Empleados y contratistas de Ethereum Foundation o equipos de clientes en el ámbito del programa de recompensas pueden participar en el programa solo en la acumulación de puntos y no recibirán recompensas monetarias.
- El programa de recompensas de Ethereum tiene en cuenta numerosas variables a la hora de determinar las recompensas. Las definiciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan al criterio exclusivo del panel de recompensas por errores de Ethereum Foundation.
Tabla de recompensa de errores de la capa de ejecución
Encuentre errores en la capa de ejecución para agregarlos a esta tabla de clasificación
Tabla de recompensa de errores de la capa de consenso
Encuentre errores en la capa de consenso para añadirlos a esta tabla de clasificación
Preguntas más frecuentes
Última actualización de la página: 1 de octubre de 2025
¿Tiene alguna pregunta?
Envíenos un correo electrónico: bounty@ethereum.orgopens email client