メインコンテンツへスキップ

報告の受付中

バグバウンティ・プログラム 

イーサリアム・ネットワークに影響を与えるプロトコル、クライアント、および言語コンパイラのバグを発見することで、最大1,000,000 USDを獲得し、リーダーボードに名を連ねましょう。

バグを報告する (opens in a new tab)ルールを読む
リーダーボード全体を見る

バウンティ対象のクライアント

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

対象範囲

私たちのバグバウンティ・プログラムは、プロトコルの健全性(ブロックチェーンのコンセンサスモデル、ワイヤーおよびp2pプロトコル、プルーフ・オブ・ステーク(PoS)など)やプロトコル/実装の準拠から、ネットワークのセキュリティやコンセンサスの完全性まで、エンドツーエンドに及びます。古典的なクライアントのセキュリティや暗号プリミティブのセキュリティもプログラムの一部です。すべてのバグの開示および脆弱性の報告は、バグ報告フォーム (opens in a new tab)を通じて行う必要があります。

仕様のバグ

イーサリアムの仕様書には、実行レイヤーとコンセンサス・レイヤーの設計の根拠が詳しく記載されています。

以下の注釈を確認すると役立つ場合があります。

バグの種類

  • 安全性/ファイナリティを破壊するバグ
  • サービス拒否(DoS)ベクター
  • 誠実なバリデーターがスラッシングされる状況など、前提条件の不整合
  • 計算またはパラメーターの不整合

仕様書

ビーコン・チェーン (opens in a new tab)
フォーク・チョイス (opens in a new tab)
Solidityのデポジット・コントラクト (opens in a new tab)
ピア・ツー・ピア・ネットワーキング (opens in a new tab)

クライアントのバグ

クライアントはイーサリアム・ネットワークを実行しており、仕様に定められたロジックに従い、潜在的な攻撃に対して安全である必要があります。私たちが発見したいバグは、プロトコルの実装に関連するものです。

現在、実行レイヤーのクライアント(ベス、エリゴン、ゲス、ネザーマインド、レス)およびコンセンサス・レイヤーのクライアント(ライトハウス、ロードスター、ニンバス、テク、プリズム)がバグバウンティ・プログラムの対象となっています。

バグの種類

  • 仕様への非準拠の問題
  • 予期しないクラッシュ、RCE、またはサービス拒否(DoS)の脆弱性
  • ネットワークの他の部分から修復不可能なコンセンサスの分裂を引き起こす問題

役立つリンク

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

言語コンパイラのバグ

SolidityおよびVyperのコンパイラは、バグバウンティ・プログラムの対象です。バグを引き起こす入力プログラム、影響を受けるコンパイラのバージョン、ターゲットとなるEVMのバージョン、該当する場合はフレームワーク/IDE、該当する場合はEVM実行環境/クライアント、およびオペレーティングシステムなど、脆弱性を再現するために必要なすべての詳細を含めてください。発見したバグを再現する手順をできるだけ詳細に記載してください。

SolidityおよびVyperは、信頼できない入力のコンパイルに関するセキュリティ保証を持っていません。また、悪意を持って生成されたデータによるコンパイラのクラッシュに対しては報酬を発行しません。

役立つリンク

Solidity (opens in a new tab)
Vyper (opens in a new tab)

デポジット・コントラクトのバグ

ビーコン・チェーンのデポジット・コントラクトの仕様とソースコードは、バグバウンティ・プログラムの一部です。

役立つリンク

依存関係のバグ

イーサリアム・ネットワークが機能するためには特定の依存関係が不可欠であり、その一部がバグバウンティ・プログラムに追加されています。現在、バグバウンティ・プログラムに含まれる依存関係のリストは、C-KZG-4844およびGo-KZG-4844です。

役立つリンク

対象外

対象範囲内にリストされているターゲットのみがバグバウンティ・プログラムの一部です。プログラムの対象とならない脆弱性には以下が含まれます:

  • インフラストラクチャのバグ(ウェブページ、DNS、メールなど)*
  • ERC-20コントラクトのバグ*
  • Ethereum Naming Service (ENS) のバグ(ENS財団によって管理されています)
  • JSON-RPCやビーコンAPIなど、ユーザーがAPIを公開している必要がある脆弱性
  • EngineAPIは信頼されていると見なされており、公開されることを意図していません
  • 誤植
  • テスト
  • 多大な労力を要する(持続的、CPUまたは帯域幅を集中的に消費する、および/または複数のパケットやオンチェーンのトランザクションを必要とする)単一ピアへのDoS攻撃
  • 公知の問題(フォーラムの投稿、PR、GitHubのイシュー、コミット、ブログ記事、公開されているディスコードのメッセージなどを含みます)
  • 現在、イーサリアム・メインネットに直接的な影響を与えないもの。

*これらは対象外ですが、影響を受ける関係者への連絡をサポートできる場合があります。

バグハンティングのルール

バグバウンティ・プログラムは、プラットフォームの改善に貢献する人々を奨励し、報酬を与えるための、活発なイーサリアムコミュニティ向けの実験的かつ裁量的な報酬プログラムです。これは競技ではありません。プログラムはいつでもキャンセルされる可能性があり、報酬の授与はイーサリアム財団のバグバウンティ・パネルの独自の裁量によるものであることをご承知おきください。さらに、制裁リストに掲載されている個人、または制裁リストに掲載されている国(北朝鮮、イランなど)に居住する個人に対しては、報酬を発行することができません。現地の法律により、身分証明書の提示を求めることが義務付けられています。すべての税金はご自身の負担となります。すべての報酬は適用される法律に従います。最後に、テストはいかなる法律にも違反してはならず、自分のものではないデータを危険にさらしてはなりません。また、ローカルで実行されているテストネット上で行う必要があります。

  1. 1PoC(概念実証)がない問題、すでに他のユーザーによって提出されている問題、または仕様やクライアントのメンテナーにすでに知られている問題は、バウンティ報酬の対象外です。
  2. 2事前の合意なしに脆弱性を一般に公開したり、他の当事者に報告したりした場合、バウンティの対象外となります。
  3. 3イーサリアム財団の従業員および請負業者、イーサリアム財団の助成金受領者、またはバウンティ・プログラムの対象となるクライアントチームは、ポイントの獲得においてのみプログラムに参加でき、金銭的な報酬を受け取ることはできません。
  4. 4イーサリアムのバウンティ・プログラムでは、報酬を決定する際に多くの変数を考慮します。適格性、スコア、および報酬に関連するすべての条件の決定は、イーサリアム財団のバグバウンティ・パネルの独自の最終的な裁量に委ねられます。

脆弱性の深刻度の基準

深刻度は、発見された各脆弱性が以下の事象を引き起こす固有の能力に基づいて評価されます。

深刻度: 低
  • バリデータの>0.01%をスラッシングする
  • ネットワークの>0.01%に影響を与えるネットワークの分裂を容易に引き起こす
  • 単一のネットワークパケットまたはオンチェーンのトランザクションを送信することで、ネットワークの>0.01%をダウンさせることができる
深刻度: 中
  • バリデータの>1%をスラッシングする
  • ネットワークの>5%に影響を与えるネットワークの分裂を容易に引き起こす
  • 単一のネットワークパケットまたはオンチェーンのトランザクションを送信することで、ネットワークの>5%をダウンさせることができる
深刻度: 高
  • バリデータの>33%をスラッシングする
  • ネットワークの>33%に影響を与えるネットワークの分裂を容易に引き起こす
  • 単一のオンチェーンのトランザクションを送信することで、ネットワークの>33%をダウンさせることができる
深刻度: 重大
  • バリデータの>50%をスラッシングする
  • EIP/仕様またはクライアントのバグを悪用して、ネットワークによってファイナライズ済みとなる無限のETHを容易に作成する
  • すべてのEOAからETHを盗む
  • すべてのEOAからETHをバーンする
  • すべてのクライアントをクラッシュさせる単一の悪意のあるオンチェーンのトランザクションを送信することで、ネットワーク全体をダウンさせる

バグを報告する

最大2,000 USD

最大2,000 USD

最大1,000ポイント

低リスクのバグを報告する (opens in a new tab)
最大10,000 USD

最大10,000 USD

最大5,000ポイント

中リスクのバグを報告する (opens in a new tab)
最大50,000 USD

最大50,000 USD

最大10,000ポイント

高リスクのバグを報告する (opens in a new tab)
最大1,000,000 USD

クリティカル

最大1,000,000 USD

最大25,000ポイント

クリティカルリスクのバグを報告する (opens in a new tab)

実行レイヤーのバグバウンティ・リーダーボード

実行レイヤーのバグを発見して、このリーダーボードに掲載されましょう

コンセンサス・レイヤーのバグバウンティ・リーダーボード

コンセンサス・レイヤーのバグを発見して、このリーダーボードに掲載されましょう

よくある質問

現在、終了日は設定されていません。最新情報についてはイーサリアム財団のブログ (opens in a new tab)をご覧ください。

報酬は、提出内容が検証された後(通常は数日後)、ETHまたはDAIで支払われます。現地の法律により、身分証明書の提示をお願いしています。さらに、ETHアドレスも必要になります。

ご希望の設立された慈善団体に報酬を寄付することができます。

提出内容にはできるだけ早く返答するよう努めています。AIによる提出が増加しているため、返答までに最大1週間ほどお時間をいただく場合があります。

匿名または仮名での提出は可能ですが、ETH/DAIの報酬の対象外となります。ETH/DAIの報酬を受け取るには、本名と身分証明書を、当社の安全なドロップウェブサイト上でPGPを使用して暗号化し、イーサリアム財団の法務チーム(文書の唯一の審査担当)に送信していただく必要があります。報奨金を慈善団体に寄付する場合は、身元を明かす必要はありません。

リーダーボードに名前やニックネームを表示したくない場合は、お知らせください。

発見されたすべての脆弱性や問題にはスコアが割り当てられます。バウンティハンターは、合計ポイントによってリーダーボードにランク付けされます。

ページの最終更新: 2026年5月20日

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

このページは役に立ちましたか?