Lompat ke konten utama

Terbuka untuk pengiriman

Program Bug Bounty 

Dapatkan hingga 1.000.000 USD dan tempat di papan peringkat dengan menemukan bug protokol, klien, dan kompiler bahasa yang memengaruhi jaringan Ethereum.

Kirimkan bug (opens in a new tab)Baca aturan
Lihat papan peringkat lengkap

Klien yang ditampilkan dalam bounty

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Dalam Cakupan

Program bug bounty kami mencakup ujung ke ujung: dari keandalan protokol (seperti model konsensus blockchain, protokol wire dan p2p, proof-of-stake, dll.) dan kepatuhan protokol/implementasi hingga keamanan jaringan dan integritas konsensus. Keamanan klien klasik serta keamanan primitif kriptografi juga merupakan bagian dari program ini. Semua pengungkapan bug dan pengiriman kerentanan harus dilakukan melalui formulir pengiriman bug (opens in a new tab) kami.

Bug spesifikasi

Spesifikasi Ethereum merinci alasan desain untuk Lapisan Eksekusi dan Lapisan Konsensus.

Spesifikasi Lapisan Konsensus (opens in a new tab)
Spesifikasi Lapisan Eksekusi (opens in a new tab)

Jenis-jenis bug

  • Bug yang merusak keamanan/finalitas
  • Vektor denial of service (DOS)
  • Ketidakkonsistenan dalam asumsi, seperti situasi di mana validator yang jujur dapat dipotong
  • Ketidakkonsistenan perhitungan atau parameter

Bug klien

Klien menjalankan Jaringan Ethereum, dan mereka harus mengikuti logika yang ditetapkan dalam spesifikasi dan aman terhadap potensi serangan. Bug yang ingin kami temukan terkait dengan implementasi protokol.

Saat ini klien lapisan eksekusi (Besu, Erigon, Geth, Nethermind, dan Reth) dan klien lapisan konsensus (Lighthouse, Lodestar, Nimbus, Teku, dan Prysm) disertakan dalam Program Bug Bounty.

Jenis-jenis bug

  • Masalah ketidakpatuhan spesifikasi
  • Kerusakan tak terduga, RCE, atau kerentanan denial of service (DOS)
  • Masalah apa pun yang menyebabkan perpecahan konsensus yang tidak dapat diperbaiki dari sisa jaringan

Bug kompiler bahasa

Kompiler Solidity dan Vyper berada dalam cakupan program bug bounty. Harap sertakan semua detail yang diperlukan untuk mereproduksi kerentanan seperti: Program input yang memicu bug, Versi kompiler yang terpengaruh, Versi EVM target, Kerangka kerja/IDE jika berlaku, Lingkungan eksekusi EVM/klien jika berlaku dan Sistem operasi, Harap sertakan langkah-langkah untuk mereproduksi bug yang Anda temukan sedetail mungkin.

Solidity dan Vyper tidak memegang jaminan keamanan terkait kompilasi input yang tidak tepercaya – dan kami tidak memberikan hadiah untuk kerusakan kompiler pada data yang dihasilkan secara berbahaya.

Bug kontrak deposit

Spesifikasi dan kode sumber dari Kontrak Deposit Beacon Chain adalah bagian dari program bug bounty.

Bug dependensi

Dependensi tertentu sangat penting agar Jaringan Ethereum dapat berfungsi, dan beberapa di antaranya telah ditambahkan ke program bug bounty. Saat ini, daftar dependensi yang disertakan dalam program bug bounty adalah C-KZG-4844 dan Go-KZG-4844.

Di luar cakupan

Hanya target yang tercantum di bawah dalam cakupan yang merupakan bagian dari Program Bug Bounty. Kerentanan yang TIDAK memenuhi syarat di bawah program ini meliputi:

  • Bug infrastruktur—seperti halaman web, dns, email, dll.*
  • Bug kontrak ERC-20*
  • Bug Ethereum Naming Service (ENS) (dikelola oleh yayasan ENS)
  • Kerentanan yang mengharuskan pengguna untuk mengekspos API secara publik, seperti JSON-RPC atau Beacon API
  • Kesalahan ketik
  • Pengujian
  • Serangan DoS peer tunggal dengan upaya tinggi (berkelanjutan, intensif CPU atau bandwidth, dan/atau membutuhkan lebih dari 1 paket atau transaksi onchain)
  • Masalah apa pun yang diketahui publik (termasuk postingan forum, PR, masalah github, komit, postingan blog, pesan discord publik, dll.)
  • Apa pun yang saat ini tidak memiliki dampak langsung pada mainnet Ethereum.

*Ini tidak termasuk, namun, kami terkadang dapat membantu menjangkau pihak yang terkena dampak

Aturan perburuan bug

Program bug bounty adalah program hadiah eksperimental dan diskresioner untuk komunitas Ethereum aktif kami guna mendorong dan menghargai mereka yang membantu meningkatkan platform. Ini bukan kompetisi. Anda harus tahu bahwa kami dapat membatalkan program kapan saja, dan penghargaan sepenuhnya merupakan kebijaksanaan panel bug bounty Ethereum Foundation. Selain itu, kami tidak dapat memberikan penghargaan kepada individu yang berada dalam daftar sanksi atau yang berada di negara-negara dalam daftar sanksi (misalnya, Korea Utara, Iran, dll). Hukum setempat mengharuskan kami untuk meminta bukti identitas Anda. Anda bertanggung jawab atas semua pajak. Semua penghargaan tunduk pada hukum yang berlaku. Terakhir, pengujian Anda tidak boleh melanggar hukum apa pun atau membahayakan data apa pun yang bukan milik Anda dan harus dilakukan di testnet yang berjalan secara lokal.

  1. 1Masalah tanpa POC atau yang telah dikirimkan oleh pengguna lain atau sudah diketahui oleh pengelola spesifikasi dan klien tidak memenuhi syarat untuk hadiah bounty.
  2. 2Pengungkapan publik atas kerentanan atau pelaporannya ke pihak lain tanpa persetujuan sebelumnya membuatnya tidak memenuhi syarat untuk mendapatkan bounty.
  3. 3Karyawan dan kontraktor Ethereum Foundation, penerima hibah Ethereum Foundation, atau tim klien dalam cakupan program bounty dapat berpartisipasi dalam program ini hanya dalam pengumpulan poin dan tidak akan menerima hadiah uang.
  4. 4Program bounty Ethereum mempertimbangkan sejumlah variabel dalam menentukan hadiah. Penentuan kelayakan, skor, dan semua ketentuan yang terkait dengan penghargaan sepenuhnya merupakan kebijaksanaan mutlak dan final dari panel bug bounty Ethereum Foundation.

Kualifikasi tingkat keparahan kerentanan

Tingkat keparahan dinilai berdasarkan kemampuan unik setiap kerentanan yang ditemukan untuk melakukan hal berikut:

Tingkat keparahan rendah
  • Memotong >0,01% validator
  • Secara trivial menyebabkan perpecahan jaringan yang memengaruhi >0,01% jaringan
  • Mampu melumpuhkan >0,01% jaringan dengan mengirimkan satu paket jaringan atau transaksi onchain
Tingkat keparahan menengah
  • Memotong >1% validator
  • Secara trivial menyebabkan perpecahan jaringan yang memengaruhi >5% jaringan
  • Mampu melumpuhkan >5% jaringan dengan mengirimkan satu paket jaringan atau transaksi onchain
Tingkat keparahan tinggi
  • Memotong >33% validator
  • Secara trivial menyebabkan perpecahan jaringan yang memengaruhi >33% jaringan
  • Mampu melumpuhkan >33% jaringan dengan mengirimkan satu transaksi onchain
Tingkat keparahan kritis
  • Memotong >50% validator
  • Mengeksploitasi EIP/spesifikasi atau bug klien untuk dengan mudah membuat ETH dalam jumlah tak terbatas yang difinalisasi oleh jaringan
  • Mencuri ETH dari semua EOA
  • Membakar ETH dari semua EOA
  • Melumpuhkan seluruh jaringan dengan mengirimkan satu transaksi onchain berbahaya yang akhirnya merusak semua klien

Kirimkan bug

Hingga 2.000 USD

Rendah

Hingga 2.000 USD

Hingga 1.000 poin

Kirimkan bug risiko rendah (opens in a new tab)
Hingga 10.000 USD

Menengah

Hingga 10.000 USD

Hingga 5.000 poin

Kirimkan bug risiko menengah (opens in a new tab)
Hingga 50.000 USD

Tinggi

Hingga 50.000 USD

Hingga 10.000 poin

Kirimkan bug risiko tinggi (opens in a new tab)
Hingga 1.000.000 USD

Kritis

Hingga 1.000.000 USD

Hingga 25.000 poin

Kirimkan bug risiko kritis (opens in a new tab)

Papan peringkat Bug Bounty Lapisan Eksekusi

Temukan bug lapisan eksekusi untuk ditambahkan ke papan peringkat ini

Papan peringkat Bug Bounty Lapisan Konsensus

Temukan bug lapisan konsensus untuk ditambahkan ke papan peringkat ini

Pertanyaan yang sering diajukan

Pembaruan terakhir halaman: 26 Februari 2026

pettinaripp (opens in a new tab)
corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
+7

Apakah halaman ini membantu?