Pular para o conteúdo principal

Aberto para inscrições

Programa de Recompensa por Bugs 

Ganhe até 250.000 USD e um lugar no ranking ao encontrar bugs em protocolos, clientes e compiladores de linguagem que afetem a rede Ethereum.

Enviar um bug (opens in a new tab)Leia as regras
Ver o placar completo

Clientes em destaque nas recompensas

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

No escopo

page-upgrades-bug-bounty-validity-desc

Especificação de bugs

As especificações do Ethereum detalham a lógica do design para a Camada de Execução e a Camada de Consenso.

Especificações da Camada de Consenso (opens in a new tab)
Especificações da Camada de Execução (opens in a new tab)

Tipos de bugs

  • Bugs de quebra de segurança/finalidade
  • Vetores de negação de serviço (DOS)
  • Inconsistências em suposições, como situações em que validadores honestos podem ser eliminados
  • Inconsistências de cálculo ou de parâmetros

Bugs do cliente

Os clientes executam a rede Ethereum e precisam seguir a lógica estabelecida na especificação e estar seguros contra possíveis ataques. Os bugs que queremos encontrar estão relacionados à implementação do protocolo.

Atualmente, clientes da camada de execução (Besu, Erigon, Geth, Nethermind e Reth) e clientes da camada de consenso (Lighthouse, Lodestar, Nimbus, Teku e Prysm) estão incluídos no Bug Bounty Program. Mais clientes podem ser adicionados à medida que concluam as auditorias e se tornem prontos para produção.

Tipos de bugs

  • Problemas de não conformidade de especificação
  • Falhas inesperadas, vulnerabilidades RCE ou de negação de serviço (DOS)
  • Quaisquer questões que provoquem divisões irreparáveis de consenso do resto da rede

Bugs em compiladores de linguagens

Os compiladores Solidity e Vyper estão incluídos no escopo do programa de recompensa por bugs. Inclua todos os detalhes necessários para reproduzir a vulnerabilidade, como: Programa de entrada que aciona o bug, Versão do compilador afetada, Versão de destino do EVM, Framework/IDE, se aplicável, Ambiente de execução/EVM ou cliente, se aplicável, e Sistema operacional. Inclua as etapas para reproduzir o bug encontrado com o máximo de detalhes possível.

Solidity e Vyper não oferecem garantias de segurança em relação à compilação de entradas não confiáveis – e não concedemos recompensas por falhas do compilador causadas por dados gerados de forma maliciosa.

Falhas no contrato de depósito

As especificações e o código-fonte do Contrato de Depósito da Beacon Chain são parte do programa de recompensa de caça a bugs.

Bugs de dependência

Certas dependências são cruciais para o funcionamento da Rede Ethereum, e algumas delas foram adicionadas ao programa de recompensas por bugs. Atualmente, a lista de dependências incluídas no programa de recompensas por bugs são C-KZG-4844 e Go-KZG-4844.

Fora do escopo

Somente os alvos listados no escopo fazem parte do Programa de Recompensa por Bugs. As vulnerabilidades que NÃO se qualificam para o programa incluem:

  • Bugs de infraestrutura, como páginas da Web, DNS, e-mail, etc.*
  • Bugs de contrato ERC-20*
  • Bugs do Ethereum Naming Service (ENS) (mantido pela fundação ENS)
  • Vulnerabilidades que exigem que o usuário tenha exposto publicamente uma API, como JSON-RPC ou a API Beacon
  • Erros de digitação
  • Testes
  • Ataques DoS de um único par de alto esforço (sustentados, intensivos em CPU ou largura de banda e/ou que exigem mais de 1 pacote ou transação em cadeia)
  • Quaisquer problemas conhecidos publicamente (inclui postagens em fóruns, PRs, issues do GitHub, commits, postagens em blogs, mensagens públicas do Discord, etc.)
  • Anything that does not currently have a direct impact on Ethereum mainnet.

*Estes normalmente não estão incluídos, no entanto, podemos ajudar a entrar em contato com as partes afetadas, como autores ou corretoras, em tais casos

Regras de caça a bugs

O programa de recompensa por bugs é um programa de recompensas experimental e discricionário para nossa comunidade ativa do Ethereum para encorajar e recompensar aqueles que estão ajudando a melhorar a plataforma. Não é uma competição. Você deve saber que podemos cancelar o programa a qualquer momento, e os prêmios ficam a critério exclusivo do painel de recompensas por bugs da Fundação Ethereum. Além disso, não podemos conceder prêmios a indivíduos que estejam em listas de sanções ou que estejam em países em listas de sanções (por exemplo, Coreia do Norte, Irã, etc.). As leis locais exigem que solicitemos prova de sua identidade. Você é responsável por todos os impostos. Todos os prêmios estão sujeitos à lei aplicável. Por fim, seu teste não deve violar nenhuma lei ou comprometer quaisquer dados que não sejam seus e deve ocorrer em redes de teste locais em execução.

  1. 1Tickets sem um POC que já tenham sido submetidos por outro usuário ou que já sejam conhecidos por mantenedores de especificações e clientes não são elegíveis para o programa de recompensas.
  2. 2A divulgação pública de uma vulnerabilidade ou sua denúncia a outras partes sem acordo prévio torna a vulnerabilidade inelegível para uma recompensa.
  3. 3Funcionários e contratados da Ethereum Foundation ou equipes de clientes no escopo do programa de recompensas podem participar do programa apenas no acúmulo de pontos e não receberão recompensas monetárias.
  4. 4O programa de recompensas de Ethereum considera um número de variáveis na determinação de recompensas. Determinações de elegibilidade, pontuação e todos os termos relacionados a um prêmio são a critério único e final do painel de recompensas da Fundação Ethereum.

Qualificações de gravidade da vulnerabilidade

A gravidade é avaliada com base na capacidade de uma vulnerabilidade descoberta de fazer o seguinte:

Gravidade baixa
  • Remover >0,01% dos validadores
  • Causar trivialmente divisões de rede afetando >0,01% da rede
  • Ser capaz de derrubar >0,01% da rede enviando um único pacote de rede ou uma transação em cadeia
Gravidade média
  • Remover >1% dos validadores
  • Causar trivialmente divisões de rede afetando >5% da rede
  • Ser capaz de derrubar >5% da rede enviando um único pacote de rede ou uma transação em cadeia
Gravidade alta
  • Remover >33% dos validadores
  • Causar trivialmente divisões de rede afetando >33% da rede
  • Ser capaz de derrubar >33% da rede enviando um único pacote de rede ou uma transação em cadeia
Gravidade crítica
  • Remover >50% dos validadores
  • Explorar um bug de EIP/especificação ou de cliente para facilmente criar uma quantidade infinita de ETH que é finalizada pela rede
  • Roubar ETH de todas as EOAs
  • Queimar ETH de todas as EOAs
  • Derrubar a rede inteira enviando uma única transação maliciosa em cadeia que acaba por travar todos os clientes

Enviar um bug

Até 2.000 dólares

Baixo

Até 2.000 dólares

Até 1.000 pontos

Envie um bug de risco baixo (opens in a new tab)
Até 10.000 dólares

Médio

Até 10.000 dólares

Até 5.000 pontos

Envie um bug de risco médio (opens in a new tab)
Até 50.000 dólares

Alto

Até 50.000 dólares

Até 10.000 pontos

Envie um bug de risco alto (opens in a new tab)
Até 250.000 dólares

Crítico

Até 250.000 dólares

Até 25.000 pontos

Envie um bug de risco crítico (opens in a new tab)

Placar de recompensas por bugs da camada de execução

Encontre bugs da camada de execução para ser adicionado a este placar

Placar de recompensas por bugs da camada de consenso

Encontre bugs da camada de consenso para serem adicionados a este placar

Perguntas frequentes

Última atualização da página: 26 de fevereiro de 2026

pettinaripp (opens in a new tab)
corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
+7

Esta página foi útil?