Saltar al contenido principal

Abierto para envíos

Programa de recompensas por errores 

Gane hasta 1.000.000 USD y un lugar en la tabla de clasificación al encontrar errores en el protocolo, el cliente y el compilador de lenguajes que afecten a la red Ethereum.

Enviar un error (opens in a new tab)Leer reglas
Ver tablas de clasificación completas

Clientes incluidos en las recompensas

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Dentro del alcance

Nuestro programa de recompensas por errores abarca de principio a fin: desde la solidez de los protocolos (como el modelo de consenso de la cadena de bloques, los protocolos de red y entre pares, la prueba de participación, etc.) y el cumplimiento del protocolo/implementación hasta la seguridad de la red y la integridad del consenso. La seguridad clásica del cliente, así como la seguridad de las primitivas criptográficas, también forman parte del programa. Todas las divulgaciones de errores y envíos de vulnerabilidades deben realizarse a través de nuestro formulario de envío de errores (opens in a new tab).

Errores de especificación

Las especificaciones de Ethereum detallan los fundamentos de diseño para la capa de ejecución y la capa de consenso.

Puede ser útil consultar las siguientes anotaciones:

Tipos de errores

  • Errores que rompen la seguridad/finalidad
  • Vectores de denegación de servicio (DOS)
  • Inconsistencias en las suposiciones, como situaciones en las que los validadores honestos pueden ser penalizados
  • Inconsistencias de cálculo o parámetros

Documentos de especificación

Cadena de balizas (opens in a new tab)
Elección de bifurcación (opens in a new tab)
Contrato de depósito de Solidity (opens in a new tab)
Redes entre pares (opens in a new tab)

Errores de cliente

Los clientes ejecutan la red Ethereum, y necesitan seguir la lógica establecida en la especificación y ser seguros contra posibles ataques. Los errores que queremos encontrar están relacionados con la implementación del protocolo.

Actualmente, los clientes de la capa de ejecución (Besu, Erigon, Geth, Nethermind y Reth) y los clientes de la capa de consenso (Lighthouse, Lodestar, Nimbus, Teku y Prysm) están incluidos en el Programa de recompensas por errores.

Tipos de errores

  • Problemas de incumplimiento de la especificación
  • Fallos inesperados, ejecución remota de código (RCE) o vulnerabilidades de denegación de servicio (DOS)
  • Cualquier problema que cause divisiones irreparables de consenso con el resto de la red

Enlaces útiles

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Errores del compilador de lenguajes

Los compiladores de Solidity y Vyper están dentro del alcance del programa de recompensas por errores. Por favor, incluya todos los detalles necesarios para reproducir la vulnerabilidad, tales como: programa de entrada que desencadena el error, versión del compilador afectada, versión de la EVM de destino, marco de trabajo/IDE si corresponde, entorno de ejecución/cliente de la EVM si corresponde y sistema operativo. Por favor, incluya los pasos para reproducir el error que ha encontrado con el mayor detalle posible.

Solidity y Vyper no ofrecen garantías de seguridad con respecto a la compilación de entradas no confiables, y no emitimos recompensas por fallos del compilador en datos generados maliciosamente.

Enlaces útiles

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Errores del contrato de depósito

Las especificaciones y el código fuente del contrato de depósito de la cadena de balizas forman parte del programa de recompensas por errores.

Enlaces útiles

Errores de dependencias

Ciertas dependencias son cruciales para que la red Ethereum funcione, y algunas de ellas se han añadido al programa de recompensas por errores. Actualmente, la lista de dependencias incluidas en el programa de recompensas por errores son C-KZG-4844 y Go-KZG-4844.

Enlaces útiles

Fuera de alcance

Solo los objetivos enumerados bajo el alcance forman parte del Programa de recompensas por errores. Las vulnerabilidades que NO califican bajo el programa incluyen:

  • Errores de infraestructura, como páginas web, DNS, correo electrónico, etc.*
  • Errores en contratos ERC-20*
  • Errores en Ethereum Naming Service (ENS) (mantenido por la fundación ENS)
  • Vulnerabilidades que requieran que el usuario haya expuesto públicamente una API, como JSON-RPC o la API de Beacon
  • EngineAPI se considera de confianza y no está destinado a ser expuesto públicamente
  • Errores tipográficos
  • Pruebas
  • Ataques DoS a un solo par que requieran un gran esfuerzo (sostenidos, que consuman mucha CPU o ancho de banda, y/o que requieran más de 1 paquete o transacción en cadena)
  • Cualquier problema conocido públicamente (incluye publicaciones en foros, PR, problemas en GitHub, commits, publicaciones en blogs, mensajes públicos en Discord, etc.)
  • Cualquier cosa que actualmente no tenga un impacto directo en la red principal de Ethereum.

*Estos no están incluidos; sin embargo, a veces podemos ayudar a contactar a las partes afectadas

Reglas de búsqueda de errores

El programa de recompensas por errores es un programa de recompensas experimental y discrecional para nuestra activa comunidad de Ethereum, con el fin de animar y recompensar a quienes ayudan a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento, y las recompensas quedan a la entera discreción del panel de recompensas por errores de la Fundación Ethereum. Además, no podemos emitir recompensas a personas que estén en listas de sanciones o que se encuentren en países en listas de sanciones (por ejemplo, Corea del Norte, Irán, etc.). Las leyes locales nos exigen solicitar una prueba de su identidad. Usted es responsable de todos los impuestos. Todas las recompensas están sujetas a la ley aplicable. Por último, sus pruebas no deben violar ninguna ley ni comprometer ningún dato que no sea suyo, y deben llevarse a cabo en redes de prueba locales en ejecución.

  1. 1Los problemas sin una prueba de concepto (POC) o que ya hayan sido enviados por otro usuario o que ya sean conocidos por los mantenedores de la especificación y del cliente no son elegibles para las recompensas.
  2. 2La divulgación pública de una vulnerabilidad o su notificación a terceros sin acuerdo previo la hace inelegible para una recompensa.
  3. 3Los empleados y contratistas de la Fundación Ethereum, los beneficiarios de subvenciones de la Fundación Ethereum o los equipos de clientes dentro del alcance del programa de recompensas pueden participar en el programa solo para la acumulación de puntos y no recibirán recompensas monetarias.
  4. 4El programa de recompensas de Ethereum considera una serie de variables para determinar las recompensas. Las determinaciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan a la entera y final discreción del panel de recompensas por errores de la Fundación Ethereum.

Calificaciones de gravedad de las vulnerabilidades

La gravedad se evalúa en función de la capacidad única de cada vulnerabilidad descubierta para hacer lo siguiente:

Gravedad baja
  • Recortar al >0.01% de los validadores
  • Causar trivialmente divisiones en la red que afecten al >0.01% de la red
  • Ser capaz de derribar el >0.01% de la red enviando un solo paquete de red o una transacción en cadena
Gravedad media
  • Recortar al >1% de los validadores
  • Causar trivialmente divisiones en la red que afecten al >5% de la red
  • Ser capaz de derribar el >5% de la red enviando un solo paquete de red o una transacción en cadena
Gravedad alta
  • Recortar al >33% de los validadores
  • Causar trivialmente divisiones en la red que afecten al >33% de la red
  • Ser capaz de derribar el >33% de la red enviando una sola transacción en cadena
Gravedad crítica
  • Recortar al >50% de los validadores
  • Explotar un error en un EIP/especificación o cliente para crear fácilmente una cantidad infinita de ETH que sea finalizado por la red
  • Robar ETH de todas las EOA
  • Quemar ETH de todas las EOA
  • Derribar toda la red enviando una sola transacción maliciosa en cadena que termine bloqueando todos los clientes

Enviar un error

Hasta 2.000 USD

Bajo

Hasta 2.000 USD

Hasta 1.000 puntos

Enviar error de bajo riesgo (opens in a new tab)
Hasta 10.000 USD

Medio

Hasta 10.000 USD

Hasta 5.000 puntos

Enviar error de riesgo medio (opens in a new tab)
Hasta 50.000 USD

Alto

Hasta 50.000 USD

Hasta 10.000 puntos

Enviar error de alto riesgo (opens in a new tab)
Hasta 1.000.000 USD

Crítico

Hasta 1.000.000 USD

Hasta 25.000 puntos

Enviar error de riesgo crítico (opens in a new tab)

Tabla de clasificación de recompensas por errores de la capa de ejecución

Encuentre errores en la capa de ejecución para que se le añada a esta tabla de clasificación

Tabla de clasificación de recompensas por errores de la capa de consenso

Encuentre errores en la capa de consenso para que se le añada a esta tabla de clasificación

Preguntas frecuentes

Actualmente no hay una fecha de finalización establecida. Consulta el blog de la Fundación Ethereum (opens in a new tab) para conocer las últimas noticias.

Las recompensas se pagan en ETH o DAI después de que se haya validado el envío, generalmente unos días más tarde. Las leyes locales nos exigen solicitar una prueba de tu identidad. Además, necesitaremos tu dirección de ETH.

Podemos donar tu recompensa a una organización benéfica establecida de tu elección.

Nuestro objetivo es responder a los envíos lo más rápido posible. Debido al aumento de envíos generados por IA, por favor espera hasta una semana para que respondamos a tu envío.

Enviar de forma anónima o con un seudónimo está bien, pero te hará inelegible para las recompensas en ETH/DAI. Para ser elegible para las recompensas en ETH/DAI, requerimos que envíes tu nombre real y una prueba de tu identidad, cifrados mediante PGP en nuestro sitio web seguro de entrega, a nuestro equipo legal en la Fundación Ethereum, quienes son los únicos revisores de la documentación. Donar tu recompensa a una organización benéfica no requiere tu identidad.

Por favor, avísanos si no quieres que tu nombre o apodo se muestre en la tabla de clasificación.

A cada vulnerabilidad o problema encontrado se le asigna una puntuación. Los cazadores de recompensas se clasifican en nuestra tabla de clasificación según el total de puntos.

Última actualización de la página: 20 de mayo de 2026

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

¿Te resultó útil esta página?