Lanjut ke konten utama

Pengiriman terbuka

Hadiah bug lapisan konsensus 

Dapatkan hingga $50.000 USD dan posisi di papan peringkat dengan menemukan bug protokol lapisan konsensus dan klien.

Kirimkan bugopens in a new tabBaca aturan
Lihat papan peringkat selengkapnya

Klien ditampilkan dalam bounty

Bug valid

Program hadiah bounty bug ini difokuskan untuk menemukan bug dalam spesifikasi Rantai Suar lapisan konsensus inti dan implementasi klien Lighthouse, Nimbus, Teku, Prysm, dan Lodestar.

Bug spesifikasi Rantai Suar

Spesifikasi Rantai Suar merinci alasan desain dan usulan perubahan pada Ethereum melalui peningkatan Rantai Suar.

Baca spesifikasi selengkapnyaopens in a new tab
Execution Layer Specificationsopens in a new tab

Jenis-jenis bug

  • Bug perusak finality/keamanan
  • Vektor penolakan layanan (DOS)
  • Inkonsistensi dalam asumsi, seperti situasi saat validator yang jujur ​​dapat dipotong
  • Inkonsistensi perhitungan atau parameter

Bug klien lapisan konsensus

Klien akan menjalankan Rantai Suar setelah peningkatan disebarkan. Klien harus mengikuti logika yang ditetapkan dalam spesifikasi dan aman dari segala potensi serangan. Bug yang ingin kita cari berhubungan dengan implementasi protokol.

Saat ini bug Lighthouse, Nimbus, Teku, dan Prysm memenuhi syarat sebagai hadiah bounty. Lodestar juga memenuhi syarat, tetapi sampai audit lebih lanjut telah diselesaikan, poin dan imbalannya dibatasi hingga 10% (pembayaran maksimum adalah 5.000 DAI). Banyak klien mungkin akan ditambahkan setelah mereka menyelesaikan audit dan siap diproduksi.

Jenis-jenis bug

  • Masalah spesifikasi yang tidak sesuai
  • Kerusakan tak terduga atau kerentanan denial of service (DOS)
  • Masalah apa pun yang menyebabkan pemisahan konsensus yang tidak dapat diperbaiki dari seluruh jaringan

Language compiler bugs

The Solidity and Vyper compilers are in scope of the bug bounty program. Please include all details necessary to reproduce the vulnerability such as: Input program that triggers the bug, Compiler version affected, Target EVM version, Framework/IDE if applicable, EVM execution environment/client if applicable and Operating system, Please include steps to reproduce the bug you have found in as much detail as possible.

Solidity and Vyper does not hold security guarantees regarding compilation of untrusted input – and we do not issue rewards for crashes of the compiler on maliciously generated data.

Deposit Contract bugs

The specifications and source code of the Beacon Chain Deposit Contract is part of the bug bounty program.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

Tidak termasuk

Peningkatan penggabungan dan rantai shard masih dalam tahap pengembangan aktif dan dengan demikian belum dimasukkan sebagai bagian dari program hadiah bounty ini.

  • Infrastructure bugs—such as webpages, dns, email, etc.*
  • ERC-20 contract bugs*
  • Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
  • Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
  • Typographical errors
  • Tests
  • High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
  • Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)
  • Anything that does not currently have a direct impact on Ethereum mainnet.

*These are not included, however, we can sometimes help reach out to affected parties

Aturan pemburuan bug

Program hadiah bounty bug adalah program eksperimental dan program imbalan diskresi untuk komunitas aktif Ethereum untuk mendorong dan menghadiahi siapa pun yang membantu pengembangan platform. Anda harus tahu bahwa kami dapat membatalkan program kapan pun, dan pemberian hadiah merupakan penilaian sepihak panel hadiah bounty bug Yayasan Ethereum. Selain itu, kami tidak dapat memberikan hadiah kepada individu yang termasuk dalam daftar sanksi atau tinggal di negara dalam daftar sanksi (contoh, Korea Utara, Iran, dll). Anda bertanggung jawab atas semua pajak. Semua hadiah tunduk pada hukum yang berlaku. Terakhir, pengujian Anda tidak boleh melanggar hukum apa pun dan membahayakan data yang bukan milik Anda.

  1. 1Masalah yang sudah dikirim oleh pengguna lain atau sudah diketahui pengelola spesifikasi dan klien tidak berhak untuk imbalan berupa hadiah bounty.
  2. 2Pengungkapan kerentanan ke publik menyebabkan hilangnya hak untuk hadiah bounty.
  3. 3Para peneliti Yayasan Ethereum dan staff dari tim klien lapisan konsensus tidak berhak atas imbalan.
  4. 4Program hadiah bounty Ethereum mempertimbangkan sejumlah variabel dalam menentukan hadiah. Penentuan kelayakan, skor, dan semua persyaratan yang terkait dengan penghargaan merupakan kebijakan tunggal dan final dari panel hadiah bounty bug Yayasan Ethereum.

Vulnerability severity qualifications

Severity is assessed based on a discovered vulnerability's ability to do the following:

Low severity
  • Slash >0.01% of validators
  • Trivially cause network splits affecting >0.01% of the network
  • Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction
Medium severity
  • Slash >1% of validators
  • Trivially cause network splits affecting >5% of the network
  • Be able to bring down >5% of the network by sending a single network packet or an onchain transaction
High severity
  • Slash >33% of validators
  • Trivially cause network splits affecting >33% of the network
  • Be able to bring down >33% of the network by sending a single onchain transaction
Critical severity
  • Slash >50% of validators
  • Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
  • Steal ETH from all EOAs
  • Burn ETH from all EOAs
  • Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients

Kirimkan bug

Hingga 2.000 DAI

Rendah

Hingga 2.000 DAI

Hingga 1.000 poin

Kirim bug berisiko rendahopens in a new tab
Hingga 10.000 DAI

Sedang

Hingga 10.000 DAI

Hingga 5.000 poin

Kirim bug berisiko sedangopens in a new tab
Hingga 20.000 DAI

Tinggi

Hingga 20.000 DAI

Hingga 10.000 poin

Kirim bug berisiko tinggiopens in a new tab
Hingga 50.000 DAI

Kritis

Hingga 50.000 DAI

Hingga 25.000 poin

Kirim bug berisiko kritisopens in a new tab

Execution Layer Bug Bounty leaderboard

Find execution layer bugs to get added to this leaderboard

Papan peringkat pemburuan bug

Temukan bug lapisan konsensus untuk ditambahkan ke papan peringkat

Pertanyaan yang sering diajukan

Halaman pembaruan terakhir: 28 Februari 2026

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+6

Apakah halaman ini membantu?