Ouvert pour soumissions
Programme de prime aux bogues
Gagnez jusqu'à 250 000 USD et une place sur le tableau des meilleurs en trouvant des bugs de protocole, de client et de compilateur de langage affectant le réseau Ethereum.
Fonctionnalités « clients » donnant droit à des primes
Dans le champ d'application
page-upgrades-bug-bounty-validity-desc
Bugs de spécifications
Les spécifications Ethereum détaillent les raisons de conception de la couche d'exécution et de la couche de consensus.
Spécifications de la couche d'exécution (opens in a new tab)
Il peut être utile de vérifier les annotations suivantes :
Types de bogues
- Bogues de sécurité/détournant la finalisation
- Vecteurs de déni de service (DOS)
- Les suppositions incohérentes, comme les situations où des validateurs honnêtes peuvent se faire exclure
- Incohérences de calcul ou de paramètre
Bugs clients
Les clients font fonctionner le réseau Ethereum, et ils doivent suivre la logique définie dans la spécification et être sécurisés contre les attaques potentielles. Les bugs que nous voulons trouver sont liés à l'implémentation du protocole.
Actuellement, les clients de la couche d'exécution (Besu, Erigon, Geth, Nethermind et Reth) et les clients de la couche de consensus (Lighthouse, Lodestar, Nimbus, Teku et Prysm) sont inclus dans le programme de Bug Bounty. D'autres clients pourront être ajoutés au fur et à mesure que les audits seront terminés et qu'ils seront prêts pour la production.
Types de bogues
- Spécification de problèmes de non conformité
- Des incidents inattendus, RCE ou des failles de déni de service (DOS)
- Tout problème causant un consensus irréparable se sépare du reste du réseau
Liens utiles
Bugs de compilateur de langage
Les compilateurs Solidity et Vyper sont inclus dans le programme de primes aux bugs. Veuillez fournir tous les détails nécessaires pour reproduire la vulnérabilité, tels que : le programme d'entrée qui déclenche le bug, la version du compilateur concernée, la version de l'EVM cible, le framework/IDE si applicable, l'environnement d'exécution/client de l'EVM si applicable, ainsi que le système d'exploitation. Incluez des étapes aussi détaillées que possible pour reproduire le bug que vous avez trouvé.
Solidity et Viper ne disposent pas de garanties de sécurité concernant la compilation des entrées non fiables – et nous ne délivrons pas de récompenses pour les plantages du compilateur sur les données générées de manière malveillante.
Bugs du contrat de dépôt
Les spécifications et le code source du Contrat de dépôt de la Chaîne Phare font partie du programme de primes aux bogues.
Bugs de dépendance
Certaines dépendances sont cruciales pour le fonctionnement du réseau Ethereum, et certaines d'entre elles ont été ajoutées au programme de bug bounty. Actuellement, la liste des dépendances incluses dans le programme de bug bounty est constituée de C-KZG-4844 et Go-KZG-4844.
Hors périmètre
Seules les cibles listées comme étant dans le périmètre font partie du programme de primes aux bogues. Les vulnérabilités qui ne sont PAS éligibles au programme incluent :
- ✕Bogues d'infrastructure — tels que les pages web, le DNS, les e-mails, etc.*
- ✕Bogues de contrat ERC-20*
- ✕Bogues de l'Ethereum Naming Service (ENS) (maintenu par la fondation ENS)
- ✕Vulnérabilités nécessitant que l'utilisateur ait exposé publiquement une API, telle que JSON-RPC ou l'API Beacon
- ✕Erreurs typographiques
- ✕Tests
- ✕Attaques par déni de service (DoS) à pair unique demandant un effort élevé (soutenu, intensif en CPU ou en bande passante, et/ou nécessitant plus d'un paquet ou d'une transaction en chaîne)
- ✕Tout problème connu du public (y compris les publications sur les forums, les PR, les problèmes sur GitHub, les commits, les articles de blog, les messages publics sur Discord, etc.)
- ✕Anything that does not currently have a direct impact on Ethereum mainnet.
*Ces cas ne sont généralement pas inclus, mais nous pouvons aider à contacter les parties concernées, comme les auteurs ou les plateformes d'échange
Règles pour la chasse aux bogues
Le programme de primes aux bogues est un programme de récompenses expérimental et discrétionnaire destiné à notre communauté Ethereum active pour encourager et récompenser ceux qui contribuent à améliorer la plateforme. Il ne s'agit pas d'un concours. Vous devez savoir que nous pouvons annuler le programme à tout moment, et que les récompenses sont à l'entière discrétion du comité du programme de primes aux bogues de la Fondation Ethereum. De plus, nous ne sommes pas en mesure d'attribuer des récompenses à des personnes figurant sur des listes de sanctions ou se trouvant dans des pays figurant sur des listes de sanctions (par exemple, la Corée du Nord, l'Iran, etc.). Les lois locales nous obligent à demander une preuve de votre identité. Vous êtes responsable de toutes les taxes. Toutes les récompenses sont soumises à la loi applicable. Enfin, vos tests ne doivent enfreindre aucune loi ni compromettre des données qui ne sont pas les vôtres et doivent se dérouler sur des réseaux de test locaux en cours d'exécution.
- 1Les problèmes sans preuve de concept ou qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus par les responsables des spécifications et des clients ne sont pas éligibles pour des récompenses.
- 2La divulgation publique d'une vulnérabilité ou son signalement à des tiers sans accord préalable la rend inéligible aux primes.
- 3Les employés et les entrepreneurs de la Fondation Ethereum ou des équipes de clients dans le cadre du programme de primes ne peuvent participer au programme que dans le cadre de l’accumulation de points et ne recevront aucune récompense monétaire.
- 4Le programme de primes d'Ethereum prend en compte plusieurs facteurs pour l'attribution des récompenses. Les conditions pour l'éligibilité, le pointage ainsi que les termes en lien avec l'attribution d'une récompense sont à la seule et ultime discrétion du comité du programme de primes de l'Ethereum Foundation.
Qualifications de la gravité des vulnérabilités
La gravité est évaluée en fonction de la capacité d'une vulnérabilité découverte à effectuer les opérations suivantes :
- Slacher >0,01 % des validateurs
- Provoquer de manière triviale des divisions du réseau affectant >0,01 % du réseau
- Pouvoir mettre hors service >0,01 % du réseau en envoyant un seul paquet réseau ou une seule transaction en chaîne
- Slacher >1 % des validateurs
- Provoquer de manière triviale des divisions du réseau affectant >5 % du réseau
- Pouvoir mettre hors service >5 % du réseau en envoyant un seul paquet réseau ou une seule transaction en chaîne
- Slacher >33 % des validateurs
- Provoquer de manière triviale des divisions du réseau affectant >33 % du réseau
- Pouvoir mettre hors service >33 % du réseau en envoyant un seul paquet réseau ou une seule transaction en chaîne
- Slacher >50 % des validateurs
- Exploiter un bogue d'EIP/spécification ou de client pour créer facilement une quantité infinie d'ETH qui est finalisée par le réseau
- Voler des ETH sur tous les EOA
- Brûler des ETH sur tous les EOA
- Mettre hors service l'ensemble du réseau en envoyant une seule transaction malveillante en chaîne qui finit par faire planter tous les clients
Soumettre un bogue
Critique
Jusqu'à 250.000 USD
Jusqu'à 25 000 points
Soumettre un bogue à risque critique (opens in a new tab)Classement des primes aux bogues de la couche d'exécution
Trouvez des bogues sur la couche d'exécution pour être ajouté à ce classement
Classement des primes aux bogues de la couche de consensus
Trouver des bogues de couche de consensus pour être ajouté à ce classement
Questions fréquemment posées
Dernière mise à jour de la page : 3 mars 2026
