Passer au contenu principal

Ouvert aux soumissions

Programme de primes aux bugs 

Gagnez jusqu'à 1 000 000 USD et une place dans le classement en trouvant des bugs de protocole, de client et de compilateur de langage affectant le réseau Ethereum.

Soumettre un bug (opens in a new tab)Lire les règles
Voir les classements complets

Clients inclus dans les primes

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Dans le périmètre

Notre programme de primes aux bugs s'étend de bout en bout : de la solidité des protocoles (tels que le modèle de consensus de la chaîne de blocs, les protocoles filaires et pair à pair, la preuve d'enjeu, etc.) et la conformité du protocole/de l'implémentation à la sécurité du réseau et à l'intégrité du consensus. La sécurité classique des clients ainsi que la sécurité des primitives cryptographiques font également partie du programme. Toutes les divulgations de bugs et soumissions de vulnérabilités doivent être effectuées via notre formulaire de soumission de bugs (opens in a new tab).

Bugs de spécification

Les spécifications d'Ethereum détaillent la logique de conception de la couche d'exécution et de la couche de consensus.

Il pourrait être utile de consulter les annotations suivantes :

Types de bugs

  • Bugs compromettant la sécurité/finalité
  • Vecteurs de déni de service (DOS)
  • Incohérences dans les hypothèses, comme les situations où des validateurs honnêtes peuvent être sanctionnés
  • Incohérences de calcul ou de paramètres

Documents de spécification

Chaîne balise (opens in a new tab)
Choix de fork (opens in a new tab)
Contrat de dépôt Solidity (opens in a new tab)
Réseau pair à pair (opens in a new tab)

Bugs de clients

Les clients font fonctionner le réseau Ethereum, et ils doivent suivre la logique définie dans les spécifications et être sécurisés contre les attaques potentielles. Les bugs que nous voulons trouver sont liés à l'implémentation du protocole.

Actuellement, les clients de la couche d'exécution (Besu, Erigon, Geth, Nethermind et Reth) et les clients de la couche de consensus (Lighthouse, Lodestar, Nimbus, Teku et Prysm) sont inclus dans le programme de primes aux bugs.

Types de bugs

  • Problèmes de non-conformité aux spécifications
  • Plantages inattendus, exécution de code à distance (RCE) ou vulnérabilités de déni de service (DOS)
  • Tout problème provoquant des scissions de consensus irréparables avec le reste du réseau

Liens utiles

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Bugs de compilateur de langage

Les compilateurs Solidity et Vyper font partie du programme de primes aux bugs. Veuillez inclure tous les détails nécessaires pour reproduire la vulnérabilité, tels que : le programme d'entrée qui déclenche le bug, la version du compilateur affectée, la version de l'EVM cible, le framework/IDE le cas échéant, l'environnement d'exécution/client EVM le cas échéant et le système d'exploitation. Veuillez inclure les étapes pour reproduire le bug que vous avez trouvé avec autant de détails que possible.

Solidity et Vyper n'offrent pas de garanties de sécurité concernant la compilation d'entrées non fiables – et nous n'accordons pas de récompenses pour les plantages du compilateur sur des données générées de manière malveillante.

Liens utiles

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Bugs du contrat de dépôt

Les spécifications et le code source du contrat de dépôt de la chaîne balise font partie du programme de primes aux bugs.

Liens utiles

Bugs de dépendance

Certaines dépendances sont cruciales pour le fonctionnement du réseau Ethereum, et certaines d'entre elles ont été ajoutées au programme de primes aux bugs. Actuellement, la liste des dépendances incluses dans le programme de primes aux bugs comprend C-KZG-4844 et Go-KZG-4844.

Liens utiles

Hors périmètre

Seules les cibles répertoriées dans le périmètre font partie du programme de primes aux bugs. Les vulnérabilités qui ne sont PAS admissibles dans le cadre du programme incluent :

  • Bugs d'infrastructure — tels que les pages web, le DNS, les e-mails, etc.*
  • Bugs de contrat ERC-20*
  • Bugs de l'Ethereum Naming Service (ENS) (maintenu par la fondation ENS)
  • Vulnérabilités nécessitant que l'utilisateur ait exposé publiquement une API, telle que JSON-RPC ou l'API Beacon
  • EngineAPI est considérée comme de confiance et n'est pas censée être exposée publiquement
  • Erreurs typographiques
  • Tests
  • Attaques DoS sur un seul pair demandant beaucoup d'efforts (soutenues, gourmandes en processeur ou en bande passante, et/ou nécessitant plus d'un paquet ou d'une transaction onchain)
  • Tout problème publiquement connu (inclut les publications sur les forums, les PR, les tickets GitHub, les commits, les articles de blog, les messages publics sur Discord, etc.)
  • Tout ce qui n'a pas actuellement d'impact direct sur le réseau principal Ethereum.

*Ceux-ci ne sont pas inclus, cependant, nous pouvons parfois aider à contacter les parties concernées

Règles de la chasse aux bugs

Le programme de primes aux bugs est un programme de récompenses expérimental et discrétionnaire destiné à notre communauté Ethereum active pour encourager et récompenser ceux qui aident à améliorer la plateforme. Ce n'est pas une compétition. Vous devez savoir que nous pouvons annuler le programme à tout moment, et les récompenses sont à la seule discrétion du panel de primes aux bugs de la Fondation Ethereum. De plus, nous ne sommes pas en mesure d'accorder des récompenses aux personnes figurant sur des listes de sanctions ou se trouvant dans des pays sous sanctions (par exemple, la Corée du Nord, l'Iran, etc.). Les lois locales nous obligent à demander une preuve de votre identité. Vous êtes responsable de toutes les taxes. Toutes les récompenses sont soumises à la loi applicable. Enfin, vos tests ne doivent violer aucune loi ni compromettre de données qui ne vous appartiennent pas, et doivent avoir lieu sur des réseaux de test (testnets) locaux.

  1. 1Les problèmes sans preuve de concept (POC), qui ont déjà été soumis par un autre utilisateur ou qui sont déjà connus des responsables des spécifications et des clients ne sont pas éligibles aux récompenses.
  2. 2La divulgation publique d'une vulnérabilité ou son signalement à d'autres parties sans accord préalable la rend inéligible à une prime.
  3. 3Les employés et sous-traitants de la Fondation Ethereum, les bénéficiaires de subventions de la Fondation Ethereum ou les équipes clientes dans le cadre du programme de primes peuvent participer au programme uniquement pour accumuler des points et ne recevront pas de récompenses monétaires.
  4. 4Le programme de primes Ethereum prend en compte un certain nombre de variables pour déterminer les récompenses. Les décisions d'éligibilité, le score et toutes les conditions liées à une récompense sont à la seule et entière discrétion du panel de primes aux bugs de la Fondation Ethereum.

Qualifications de la gravité des vulnérabilités

La gravité est évaluée en fonction de la capacité unique de chaque vulnérabilité découverte à faire ce qui suit :

Gravité faible
  • Appliquer une réduction à >0,01 % des validateurs
  • Provoquer facilement des scissions du réseau affectant >0,01 % du réseau
  • Être capable de faire tomber >0,01 % du réseau en envoyant un seul paquet réseau ou une transaction onchain
Gravité moyenne
  • Appliquer une réduction à >1 % des validateurs
  • Provoquer facilement des scissions du réseau affectant >5 % du réseau
  • Être capable de faire tomber >5 % du réseau en envoyant un seul paquet réseau ou une transaction onchain
Gravité élevée
  • Appliquer une réduction à >33 % des validateurs
  • Provoquer facilement des scissions du réseau affectant >33 % du réseau
  • Être capable de faire tomber >33 % du réseau en envoyant une seule transaction onchain
Gravité critique
  • Appliquer une réduction à >50 % des validateurs
  • Exploiter un bug d'EIP/spécification ou de client pour créer facilement une quantité infinie d'ETH qui est finalisée par le réseau
  • Voler des ETH de tous les EOA
  • Brûler des ETH de tous les EOA
  • Faire tomber l'ensemble du réseau en envoyant une seule transaction onchain malveillante qui finit par faire planter tous les clients

Soumettre un bug

Jusqu'à 2 000 USD

Faible

Jusqu'à 2 000 USD

Jusqu'à 1 000 points

Soumettre un bug à faible risque (opens in a new tab)
Jusqu'à 10 000 USD

Moyen

Jusqu'à 10 000 USD

Jusqu'à 5 000 points

Soumettre un bug à risque moyen (opens in a new tab)
Jusqu'à 50 000 USD

Élevé

Jusqu'à 50 000 USD

Jusqu'à 10 000 points

Soumettre un bug à risque élevé (opens in a new tab)
Jusqu'à 1 000 000 USD

Critique

Jusqu'à 1 000 000 USD

Jusqu'à 25 000 points

Soumettre un bug à risque critique (opens in a new tab)

Classement des primes aux bugs de la couche d'exécution

Trouvez des bugs de la couche d'exécution pour être ajouté à ce classement

Classement des primes aux bugs de la couche de consensus

Trouvez des bugs de la couche de consensus pour être ajouté à ce classement

Foire aux questions

Aucune date de fin n'est actuellement fixée. Consultez le blog de la Fondation Ethereum (opens in a new tab) pour les dernières nouvelles.

Les récompenses sont payées en ETH ou en DAI après la validation de la soumission, généralement quelques jours plus tard. Les lois locales nous obligent à demander une preuve de votre identité. De plus, nous aurons besoin de votre adresse ETH.

Nous pouvons faire don de votre récompense à une organisation caritative reconnue de votre choix.

Nous nous efforçons de répondre aux soumissions le plus rapidement possible. En raison de l'augmentation des soumissions générées par l'IA, veuillez nous accorder jusqu'à une semaine pour répondre à votre soumission.

Soumettre de manière anonyme ou avec un pseudonyme est autorisé, mais vous rendra inéligible aux récompenses en ETH/DAI. Pour être éligible aux récompenses en ETH/DAI, nous exigeons que votre vrai nom et une preuve de votre identité soient envoyés, chiffrés à l'aide de PGP sur notre site de dépôt sécurisé, à notre équipe juridique de la Fondation Ethereum, qui sont les seuls examinateurs de la documentation. Faire don de votre prime à une œuvre caritative ne nécessite pas votre identité.

Veuillez nous faire savoir si vous ne souhaitez pas que votre nom/pseudo soit affiché sur le classement.

Chaque vulnérabilité / problème trouvé se voit attribuer un score. Les chasseurs de primes sont classés dans notre classement en fonction de leur nombre total de points.

Dernière mise à jour de la page : 20 mai 2026

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

Cette page vous a-t-elle été utile ?