Vai al contenuto principale

Aperto per le candidature

Programma Bug Bounty 

Guadagna fino a 1.000.000 USD e un posto in classifica trovando bug del protocollo, dei client e dei compilatori di linguaggio che interessano la rete Ethereum.

Invia un bug (opens in a new tab)Leggi le regole
Vedi le classifiche complete

Client inclusi nelle ricompense

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

In ambito

Il nostro programma bug bounty copre tutto il processo: dalla solidità dei protocolli (come il modello di consenso della blockchain, i protocolli wire e p2p, la Proof-of-Stake (PoS), ecc.) e la conformità del protocollo/implementazione, fino alla sicurezza della rete e all'integrità del consenso. Anche la sicurezza classica dei client e la sicurezza delle primitive crittografiche fanno parte del programma. Tutte le divulgazioni di bug e le segnalazioni di vulnerabilità devono essere effettuate tramite il nostro modulo di invio bug (opens in a new tab).

Bug delle specifiche

Le specifiche di Ethereum dettagliano la logica di progettazione per il livello di esecuzione e il livello di consenso.

Potrebbe essere utile consultare le seguenti annotazioni:

Tipi di bug

  • Bug che compromettono la sicurezza/definitività
  • Vettori di negazione del servizio (DOS)
  • Incoerenze nelle ipotesi, come situazioni in cui i validatori onesti possono subire lo slashing
  • Incoerenze di calcolo o dei parametri

Documenti delle specifiche

Beacon Chain (opens in a new tab)
Scelta del fork (opens in a new tab)
Contratto di deposito in Solidity (opens in a new tab)
Rete peer-to-peer (opens in a new tab)

Bug dei client

I client eseguono la rete Ethereum e devono seguire la logica stabilita nelle specifiche, oltre a essere sicuri contro potenziali attacchi. I bug che vogliamo trovare sono relativi all'implementazione del protocollo.

Attualmente i client del livello di esecuzione (Besu, Erigon, Geth, Nethermind e Reth) e i client del livello di consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) sono inclusi nel Programma Bug Bounty.

Tipi di bug

  • Problemi di non conformità alle specifiche
  • Arresti anomali imprevisti, vulnerabilità di esecuzione di codice in modalità remota (RCE) o di negazione del servizio (DOS)
  • Qualsiasi problema che causi divisioni irreparabili del consenso dal resto della rete

Link utili

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Bug dei compilatori di linguaggio

I compilatori Solidity e Vyper rientrano nell'ambito del programma bug bounty. Includi tutti i dettagli necessari per riprodurre la vulnerabilità, come: programma di input che innesca il bug, versione del compilatore interessata, versione EVM di destinazione, framework/IDE se applicabile, ambiente di esecuzione/client EVM se applicabile e sistema operativo. Includi i passaggi per riprodurre il bug che hai trovato nel modo più dettagliato possibile.

Solidity e Vyper non offrono garanzie di sicurezza riguardo alla compilazione di input non attendibili e non emettiamo ricompense per gli arresti anomali del compilatore su dati generati in modo malevolo.

Link utili

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Bug del contratto di deposito

Le specifiche e il codice sorgente del contratto di deposito della Beacon Chain fanno parte del programma bug bounty.

Link utili

Bug delle dipendenze

Alcune dipendenze sono cruciali per il funzionamento della rete Ethereum e alcune di queste sono state aggiunte al programma bug bounty. Attualmente, l'elenco delle dipendenze incluse nel programma bug bounty è C-KZG-4844 e Go-KZG-4844.

Link utili

Fuori ambito

Solo gli obiettivi elencati nella sezione in ambito fanno parte del Programma Bug Bounty. Le vulnerabilità che NON si qualificano per il programma includono:

  • Bug dell'infrastruttura, come pagine web, DNS, e-mail, ecc.*
  • Bug dei contratti ERC-20*
  • Bug dell'Ethereum Naming Service (ENS) (mantenuto dalla fondazione ENS)
  • Vulnerabilità che richiedono all'utente di aver esposto pubblicamente un'API, come JSON-RPC o la Beacon API
  • EngineAPI è considerata attendibile e non è destinata a essere esposta pubblicamente
  • Errori tipografici
  • Test
  • Attacchi DoS a un singolo peer ad alto sforzo (sostenuti, ad alta intensità di CPU o larghezza di banda e/o che richiedono più di 1 pacchetto o transazione onchain)
  • Qualsiasi problema noto pubblicamente (inclusi post sui forum, PR, issue su GitHub, commit, post sui blog, messaggi pubblici su Discord, ecc.)
  • Qualsiasi cosa che attualmente non abbia un impatto diretto sulla Mainnet di Ethereum.

*Questi non sono inclusi, tuttavia, a volte possiamo aiutare a contattare le parti interessate

Regole per la caccia ai bug

Il programma bug bounty è un programma di ricompense sperimentale e discrezionale per la nostra attiva community di Ethereum, volto a incoraggiare e premiare coloro che aiutano a migliorare la piattaforma. Non è una competizione. Devi sapere che possiamo annullare il programma in qualsiasi momento e i premi sono a esclusiva discrezione del comitato bug bounty della Fondazione Ethereum. Inoltre, non siamo in grado di emettere premi a individui che si trovano in liste di sanzioni o in paesi soggetti a sanzioni (es. Corea del Nord, Iran, ecc.). Le leggi locali ci impongono di richiedere una prova della tua identità. Sei responsabile di tutte le tasse. Tutti i premi sono soggetti alla legge applicabile. Infine, i tuoi test non devono violare alcuna legge o compromettere dati che non ti appartengono e devono svolgersi su testnet in esecuzione locale.

  1. 1I problemi senza una prova di concetto (POC) o che sono già stati inviati da un altro utente o che sono già noti ai manutentori delle specifiche e dei client non sono idonei per le ricompense bounty.
  2. 2La divulgazione pubblica di una vulnerabilità o la sua segnalazione ad altre parti senza previo accordo la rende non idonea per una ricompensa.
  3. 3I dipendenti e i collaboratori della Fondazione Ethereum, i beneficiari di sovvenzioni della Fondazione Ethereum o i team dei client che rientrano nell'ambito del programma bounty possono partecipare al programma solo per l'accumulo di punti e non riceveranno ricompense monetarie.
  4. 4Il programma bounty di Ethereum considera una serie di variabili nel determinare le ricompense. Le determinazioni di idoneità, punteggio e tutti i termini relativi a un premio sono a esclusiva e finale discrezione del comitato bug bounty della Fondazione Ethereum.

Qualifiche di gravità delle vulnerabilità

La gravità viene valutata in base alla capacità unica di ciascuna vulnerabilità scoperta di fare quanto segue:

Bassa gravità
  • Slashing dello >0.01% dei validatori
  • Causare banalmente divisioni della rete che interessano lo >0.01% della rete
  • Essere in grado di abbattere lo >0.01% della rete inviando un singolo pacchetto di rete o una transazione onchain
Media gravità
  • Slashing dell<strong>1%</strong> dei validatori
  • Causare banalmente divisioni della rete che interessano il >5% della rete
  • Essere in grado di abbattere il >5% della rete inviando un singolo pacchetto di rete o una transazione onchain
Alta gravità
  • Slashing del >33% dei validatori
  • Causare banalmente divisioni della rete che interessano il >33% della rete
  • Essere in grado di abbattere il >33% della rete inviando una singola transazione onchain
Gravità critica
  • Slashing del >50% dei validatori
  • Sfruttare un bug di un'EIP/specifica o di un client per creare facilmente una quantità infinita di ETH che viene finalizzata dalla rete
  • Rubare ETH da tutti gli EOA
  • Bruciare ETH da tutti gli EOA
  • Abbattere l'intera rete inviando una singola transazione onchain dannosa che finisce per mandare in crash tutti i client

Invia un bug

Fino a 2.000 USD

Basso

Fino a 2.000 USD

Fino a 1.000 punti

Invia bug a basso rischio (opens in a new tab)
Fino a 10.000 USD

Medio

Fino a 10.000 USD

Fino a 5.000 punti

Invia bug a medio rischio (opens in a new tab)
Fino a 50.000 USD

Alto

Fino a 50.000 USD

Fino a 10.000 punti

Invia bug ad alto rischio (opens in a new tab)
Fino a 1.000.000 USD

Critico

Fino a 1.000.000 USD

Fino a 25.000 punti

Invia bug a rischio critico (opens in a new tab)

Classifica Bug Bounty del livello di esecuzione

Trova bug del livello di esecuzione per essere aggiunto a questa classifica

Classifica Bug Bounty del livello di consenso

Trova bug del livello di consenso per essere aggiunto a questa classifica

Domande frequenti

Al momento non è impostata alcuna data di fine. Consulta il blog della Fondazione Ethereum (opens in a new tab) per le ultime notizie.

Le ricompense vengono pagate in ETH o DAI dopo che l'invio è stato convalidato, di solito qualche giorno dopo. Le leggi locali ci impongono di richiedere una prova della tua identità. Inoltre, avremo bisogno del tuo indirizzo ETH.

Possiamo donare la tua ricompensa a un'organizzazione di beneficenza riconosciuta di tua scelta.

Puntiamo a rispondere alle segnalazioni il più velocemente possibile. A causa dell'aumento delle segnalazioni generate dall'IA, ti preghiamo di attendere fino a una settimana per ricevere una risposta alla tua segnalazione.

Inviare una segnalazione in modo anonimo o con uno pseudonimo va bene, ma ti renderà non idoneo per le ricompense in ETH/DAI. Per essere idoneo alle ricompense in ETH/DAI, richiediamo che il tuo vero nome e una prova della tua identità vengano inviati, crittografati tramite PGP sul nostro sito web di deposito sicuro, al nostro team legale presso la Fondazione Ethereum, che sono gli unici revisori della documentazione. Donare la tua ricompensa in beneficenza non richiede la tua identità.

Facci sapere se non desideri che il tuo nome/nickname venga visualizzato nella classifica.

A ogni vulnerabilità / problema riscontrato viene assegnato un punteggio. I cacciatori di taglie sono classificati nella nostra classifica in base ai punti totali.

Ultimo aggiornamento della pagina: 20 maggio 2026

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

Questa pagina è stata utile?