Przejdź do głównej zawartości

Otwarte na zgłoszenia

Program nagród za błędy 

Zarób do 250 000 USD i zdobądź miejsce w rankingu, znajdując błędy w protokole, klientach i kompilatorach języka, wpływające na sieć Ethereum.

Zgłoś błądopens in a new tabPrzeczytaj zasady
Zobacz pełne rankingi

Klienty uwzględnione w programie nagród

W zakresie

page-upgrades-bug-bounty-validity-desc

Błędy specyfikacji

Specyfikacje Ethereum wyszczególniają uzasadnienie projektu warstwy wykonawczej i warstwy konsensusu.

Specyfikacje warstwy konsensusuopens in a new tab
Specyfikacje warstwy wykonawczejopens in a new tab

Rodzaje błędów

  • Błędy naruszające bezpieczeństwo/finalizację
  • Wektory ataków typu „blokada usługi” (DOS)
  • Niespójności w założeniach, takie jak sytuacje, w których można odciąć uczciwych walidatorów
  • Niezgodności obliczeń lub parametrów

Błędy klienta

Klienty prowadzą sieć Ethereum i muszą postępować zgodnie z logiką określoną w specyfikacji oraz muszą być zabezpieczone przed potencjalnymi atakami. Błędy, które chcemy znaleźć, są związane z implementacją protokołu.

Obecnie klienty warstwy wykonawczej (Besu, Erigon, Geth, Nethermind i Reth) i klienty warstwy konsensusu (Lighthouse, Lodestar, Nimbus, Teku i Prysm) są objęte programem nagród za błędy. Kolejne klienty mogą zostać dodane, gdy zakończą się ich audyty i staną się gotowe do użycia w środowisku produkcyjnym.

Rodzaje błędów

  • Problemy niezgodności specyfikacji
  • Nieoczekiwane awarie, podatność na RCE lub blokadę usługi (DOS)
  • Wszelkie problemy powodujące nieodwracalne oddzielenie konsensusu od reszty sieci

Błędy kompilatora języka

Kompilatory Solidity i Vyper są objęte programem nagród za błędy. Prosimy o uwzględnianie wszystkich szczegółów niezbędnych do odtworzenia podatności, takich jak: program wprowadzający dane, który wywołuje błąd, wersja kompilatora, wersja docelowego EVM, framework/IDE (jeśli dotyczy), środowisko wykonawcze/klient EVM (jeśli dotyczy) oraz system operacyjny. Prosimy o opisanie kroków potrzebnych do odtworzenia znalezionego błędu w możliwie największych szczegółach.

Solidity i Vyper nie zapewniają gwarancji bezpieczeństwa w zakresie kompilacji niezaufanych danych wejściowych, i nie przyznajemy nagród za awarie kompilatora wywołane złośliwe wygenerowanymi danymi.

Błędy kontraktu depozytowego

Specyfikacje i kod źródłowy kontraktu depozytowego łańcucha śledzącego są częścią programu nagród za błędy.

Błędy zależności

Niektóre zależności są kluczowe dla działania sieci Ethereum i część z nich została uwzględniona w programie nagród za błędy. Obecnie lista zależności objęta programem obejmuje C-KZG-4844 oraz Go-KZG-4844.

Poza zakresem

Tylko cele wymienione w zakresie są częścią Programu Nagród za Błędy. Luki w zabezpieczeniach, które NIE kwalifikują się w ramach programu, obejmują:

  • Błędy infrastruktury – takie jak strony internetowe, DNS, e-mail itp.*
  • Błędy kontraktu ERC-20*
  • Błędy Ethereum Naming Service (ENS) (utrzymywane przez fundację ENS)
  • Luki w zabezpieczeniach wymagające od użytkownika publicznego udostępnienia API, takiego jak JSON-RPC lub Beacon API
  • Błędy typograficzne
  • Testy
  • Ataki DoS na jednego peera wymagające dużego wysiłku (trwałe, intensywnie wykorzystujące procesor lub przepustowość i/lub wymagające więcej niż 1 pakietu lub transakcji onchain)
  • Wszelkie publicznie znane problemy (w tym posty na forum, PR, zgłoszenia na GitHub, commity, posty na blogach, publiczne wiadomości na Discordzie itp.)
  • Anything that does not currently have a direct impact on Ethereum mainnet.

*Zazwyczaj nie są one uwzględniane, jednak w takich przypadkach możemy pomóc w dotarciu do poszkodowanych stron, takich jak autorzy lub giełdy

Zasady polowania na błędy

Program nagród za błędy jest eksperymentalnym i uznaniowym programem nagród dla naszej aktywnej społeczności Ethereum, mającym na celu zachęcenie i nagrodzenie tych, którzy pomagają w ulepszaniu platformy. Nie jest to konkurs. Musisz wiedzieć, że możemy odwołać program w dowolnym momencie, a nagrody są przyznawane według wyłącznego uznania panelu ds. nagród za błędy Fundacji Ethereum. Ponadto nie możemy przyznawać nagród osobom, które znajdują się na listach sankcyjnych lub przebywają w krajach znajdujących się na listach sankcyjnych (np. Korea Północna, Iran itd.). Lokalne przepisy wymagają, abyśmy poprosili o dowód Twojej tożsamości. Odpowiadasz za wszelkie podatki. Wszystkie nagrody podlegają obowiązującemu prawu. Testy nie mogą naruszać żadnego prawa ani narażać na szwank żadnych danych, które nie należą do Ciebie, i muszą odbywać się w lokalnie działających sieciach testowych.

  1. 1Błędy bez POC, które zostały już zgłoszone przez innego użytkownika lub są już znane administratorom specyfikacji i klienta, nie kwalifikują się do nagród.
  2. 2Publiczne ujawnienie luki lub zgłoszenie jej innym podmiotom bez uprzedniej zgody powoduje utratę prawa do nagrody.
  3. 3Pracownicy i wykonawcy Fundacji Ethereum lub zespołów klientów objętych programem nagród za błędy mogą uczestniczyć w programie wyłącznie w zakresie gromadzenia punktów i nie otrzymują nagród pieniężnych.
  4. 4Program nagród Ethereum bierze pod uwagę wiele zmiennych przy określaniu nagród. Ustalenia kwalifikowalności, wyniku i wszystkich warunków związanych z nagrodą zależą od wyłącznej i ostatecznej decyzji panelu ds. nagród za błędy Fundacji Ethereum.

Kwalifikacje wagowe luk w zabezpieczeniach

Waga jest oceniana na podstawie zdolności odkrytej luki do wykonania następujących czynności:

Niska waga
  • Cięcie >0,01% walidatorów
  • Trywialne spowodowanie podziału sieci dotykającego >0,01% sieci
  • Możliwość wyłączenia >0,01% sieci poprzez wysłanie jednego pakietu sieciowego lub transakcji onchain
Średnia waga
  • Cięcie >1% walidatorów
  • Trywialne spowodowanie podziału sieci dotykającego >5% sieci
  • Możliwość wyłączenia >5% sieci poprzez wysłanie jednego pakietu sieciowego lub transakcji onchain
Wysoka waga
  • Cięcie >33% walidatorów
  • Trywialne spowodowanie podziału sieci dotykającego >33% sieci
  • Możliwość wyłączenia >33% sieci poprzez wysłanie jednego pakietu sieciowego lub transakcji onchain
Krytyczna waga
  • Cięcie >50% walidatorów
  • Wykorzystanie błędu w EIP/specyfikacji lub kliencie do łatwego stworzenia nieskończonej ilości ETH, która jest finalizowana przez sieć
  • Kradzież ETH ze wszystkich EOA
  • Spalenie ETH ze wszystkich EOA
  • Wyłączenie całej sieci przez wysłanie jednej złośliwej transakcji onchain, która powoduje awarię wszystkich klientów

Zgłoś błąd

Do 2.000 USD

Niski

Do 2.000 USD

Do 1.000 punktów

Zgłoś błąd niskiego ryzykaopens in a new tab
Do 10.000 USD

Średni

Do 10.000 USD

Do 5.000 punktów

Zgłoś błąd średniego ryzykaopens in a new tab
Do 50.000 USD

Duży

Do 50.000 USD

Do 10.000 punktów

Zgłoś błąd dużego ryzykaopens in a new tab
Do 250.000 USD

Krytyczny

Do 250.000 USD

Do 25.000 punktów

Zgłoś błąd krytycznego ryzykaopens in a new tab

Ranking nagród za błędy w warstwie wykonawczej

Znajdź błędy warstwy wykonawczej, aby zostać dodanym do tego rankingu

Ranking nagród za błędy w warstwie konsensusu

Znajdź błędy warstwy konsensusu, aby zostać dodanym do tego rankingu

Często zadawane pytania

Strona ostatnio zaktualizowana: 28 lutego 2026

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+6

Czy ta strona była pomocna?