Открыто для заявок

Программа Bug Bounty

Заработайте до 1 000 000 USD и место в таблице лидеров, находя ошибки в протоколе, клиентах и компиляторах языков, влияющие на сеть Эфириум.

Сообщить об ошибке Читать правила

1
rGa (opens in a new tab)
In place number 1 with 71250 pointsRevofusion (See Github Profile) (opens in a new tab)
71250 баллов
2
hGa (opens in a new tab)
In place number 2 with 67000 pointsMartin Holst Swende (See Github Profile) (opens in a new tab)
67000 баллов
3
gGa (opens in a new tab)
In place number 3 with 53100 pointsGuido Vranken (See Github Profile) (opens in a new tab)
53100 баллов
4
pGa (opens in a new tab)
In place number 4 with 42400 pointsprotolambda (See Github Profile) (opens in a new tab)
42400 баллов
5
sGa (opens in a new tab)
In place number 5 with 35000 pointsSam Sun (See Github Profile) (opens in a new tab)
35000 баллов

Смотреть полные таблицы лидеров

Клиенты, участвующие в программе вознаграждений

В области действия

Наша программа Bug Bounty охватывает весь спектр: от надежности протоколов (таких как модель консенсуса блокчейна, сетевые и одноранговые (p2p) протоколы, доказательство доли владения и т. д.) и соответствия протокола/реализации до безопасности сети и целостности консенсуса. Классическая безопасность клиентов, а также безопасность криптографических примитивов также являются частью программы. Все раскрытия ошибок и сообщения об уязвимостях должны осуществляться через нашу форму отправки ошибок (opens in a new tab).

Ошибки в спецификациях

Спецификации Эфириума подробно описывают обоснование архитектуры для уровня исполнения и уровня консенсуса.

Спецификации уровня консенсуса
Спецификации уровня исполнения

Возможно, будет полезно ознакомиться со следующими аннотациями:

Типы ошибок

Ошибки, нарушающие безопасность/финальность
Векторы отказа в обслуживании (DoS)
Несоответствия в предположениях, например, ситуации, когда честные валидаторы могут быть подвергнуты слэшингу
Несоответствия в вычислениях или параметрах

Документы спецификаций

Сигнальная цепочка

Выбор форка

Депозитный контракт на Solidity

Одноранговая сеть

Ошибки в клиентах

Клиенты обеспечивают работу сети Эфириум, и они должны следовать логике, изложенной в спецификации, а также быть защищенными от потенциальных атак. Ошибки, которые мы хотим найти, связаны с реализацией протокола.

В настоящее время в программу Bug Bounty включены клиенты уровня исполнения (Бесу, Эригон, Go Ethereum (Geth), Незермайнд и Рет) и клиенты уровня консенсуса (Лайтхаус, Лодстар, Нимбус, Теку и Призм).

Типы ошибок

Проблемы несоответствия спецификации
Неожиданные сбои, уязвимости удаленного выполнения кода (RCE) или отказа в обслуживании (DoS)
Любые проблемы, вызывающие непоправимое разделение консенсуса с остальной частью сети

Полезные ссылки

Ошибки в компиляторах языков

Компиляторы Solidity и Vyper входят в область действия программы Bug Bounty. Пожалуйста, укажите все детали, необходимые для воспроизведения уязвимости, такие как: исходная программа, вызывающая ошибку, затронутая версия компилятора, целевая версия EVM, фреймворк/IDE (если применимо), среда выполнения EVM/клиент (если применимо) и операционная система. Пожалуйста, опишите шаги для воспроизведения найденной ошибки как можно подробнее.

Solidity и Vyper не предоставляют гарантий безопасности при компиляции ненадежных входных данных, и мы не выплачиваем вознаграждения за сбои компилятора на злонамеренно сгенерированных данных.

Полезные ссылки

Solidity

Vyper

Ошибки в депозитном контракте

Спецификации и исходный код депозитного контракта сигнальной цепочки являются частью программы Bug Bounty.

Полезные ссылки

Спецификации депозитного контракта
Исходный код депозитного контракта

Ошибки в зависимостях

Некоторые зависимости имеют решающее значение для функционирования сети Эфириум, и часть из них была добавлена в программу Bug Bounty. В настоящее время в список зависимостей, включенных в программу, входят C-KZG-4844 и Go-KZG-4844.

Полезные ссылки

C-KZG-4844
Go-ETH-KZG

Вне области действия

Только цели, перечисленные в разделе области действия, являются частью программы Bug Bounty. Уязвимости, которые НЕ подпадают под действие программы, включают:

✕Ошибки инфраструктуры — такие как веб-страницы, DNS, электронная почта и т. д.^*
✕Ошибки в контрактах ERC-20^*
✕Ошибки службы имен Ethereum (ENS) (поддерживается фондом ENS)
✕Уязвимости, требующие от пользователя публичного доступа к API, такому как JSON-RPC или Beacon API
✕EngineAPI считается доверенным и не предназначен для публичного доступа
✕Опечатки
✕Тесты
✕Трудоемкие (продолжительные, интенсивно использующие процессор или пропускную способность и/или требующие более 1 пакета или ончейн транзакции) DoS-атаки на один пир
✕Любые публично известные проблемы (включая сообщения на форумах, PR, проблемы на GitHub, коммиты, сообщения в блогах, публичные сообщения в Дискорде и т. д.)
✕Все, что в настоящее время не оказывает прямого влияния на основную сеть Ethereum.

^*Они не включены, однако иногда мы можем помочь связаться с затронутыми сторонами

Правила поиска ошибок

Программа Bug Bounty — это экспериментальная программа вознаграждений на усмотрение организаторов для нашего активного сообщества Эфириума, направленная на поощрение и вознаграждение тех, кто помогает улучшать платформу. Это не соревнование. Вам следует знать, что мы можем отменить программу в любое время, а выплаты вознаграждений остаются исключительно на усмотрение комиссии Фонда Ethereum по программе Bug Bounty. Кроме того, мы не можем выплачивать вознаграждения лицам, находящимся в санкционных списках или проживающим в странах из санкционных списков (например, Северная Корея, Иран и т. д.). Местные законы требуют от нас запрашивать подтверждение вашей личности. Вы несете ответственность за уплату всех налогов. Все вознаграждения регулируются применимым законодательством. Наконец, ваше тестирование не должно нарушать никаких законов или ставить под угрозу любые данные, которые вам не принадлежат, и должно проводиться в локально запущенных тестовых сетях.

1Проблемы без доказательства концепции (PoC), а также те, которые уже были отправлены другим пользователем или уже известны разработчикам спецификаций и клиентам, не имеют права на получение вознаграждения.
2Публичное раскрытие уязвимости или сообщение о ней третьим лицам без предварительного согласования лишает права на получение вознаграждения.
3Сотрудники и подрядчики Фонда Ethereum, получатели грантов Фонда Ethereum или команды клиентов, входящие в область действия программы вознаграждений, могут участвовать в программе только для накопления баллов и не будут получать денежные вознаграждения.
4Программа вознаграждений Эфириума учитывает ряд переменных при определении вознаграждений. Определение права на участие, количества баллов и всех условий, связанных с вознаграждением, остается на исключительном и окончательном усмотрении комиссии Фонда Ethereum по программе Bug Bounty.

Квалификация серьезности уязвимостей

Серьезность оценивается на основе уникальной способности каждой обнаруженной уязвимости делать следующее:

Низкая серьезность

Подвергнуть слэшингу >0.01% валидаторов
Легко вызвать разделение сети, затрагивающее >0.01% сети
Иметь возможность вывести из строя >0.01% сети путем отправки одного сетевого пакета или ончейн транзакции

Средняя серьезность

Подвергнуть слэшингу >1% валидаторов
Легко вызвать разделение сети, затрагивающее >5% сети
Иметь возможность вывести из строя >5% сети путем отправки одного сетевого пакета или ончейн транзакции

Высокая серьезность

Подвергнуть слэшингу >33% валидаторов
Легко вызвать разделение сети, затрагивающее >33% сети
Иметь возможность вывести из строя >33% сети путем отправки одной ончейн транзакции

Критическая серьезность

Подвергнуть слэшингу >50% валидаторов
Использовать ошибку в EIP/спецификации или клиенте, чтобы легко создать бесконечное количество ETH, которое будет финализировано сетью
Украсть ETH со всех внешне принадлежащих учетных записей (EOA)
Сжечь ETH со всех внешне принадлежащих учетных записей (EOA)
Вывести из строя всю сеть путем отправки одной вредоносной ончейн транзакции, которая приведет к сбою всех клиентов

Сообщить об ошибке

До 2000 USD

Низкий

До 2000 USD

До 1000 баллов

Сообщить об ошибке с низким риском

До 10 000 USD

Средний

До 10 000 USD

До 5000 баллов

Сообщить об ошибке со средним риском

До 50 000 USD

Высокий

До 50 000 USD

До 10 000 баллов

Сообщить об ошибке с высоким риском

До 1 000 000 USD

Критический

До 1 000 000 USD

До 25 000 баллов

Сообщить об ошибке с критическим риском

Часто задаваемые вопросы

В настоящее время дата окончания не установлена. Последние новости можно найти в блоге Фонда Ethereum (opens in a new tab).

Вознаграждения выплачиваются в ETH или DAI после проверки заявки, обычно через несколько дней. Местные законы требуют от нас запрашивать доказательство вашей личности. Кроме того, нам понадобится ваш адрес ETH.

Мы можем пожертвовать ваше вознаграждение в признанную благотворительную организацию по вашему выбору.

Мы стараемся отвечать на заявки как можно быстрее. В связи с увеличением количества заявок, сгенерированных ИИ, пожалуйста, подождите до одной недели, чтобы мы могли ответить на вашу заявку.

Подача заявки анонимно или под псевдонимом допускается, но лишает вас права на получение вознаграждений в ETH/DAI. Чтобы иметь право на вознаграждения в ETH/DAI, мы требуем, чтобы ваше настоящее имя и доказательство вашей личности были отправлены в зашифрованном виде с помощью PGP на нашем защищенном сайте для передачи данных нашей юридической команде в Фонде Ethereum, которая является единственным проверяющим документации. Пожертвование вашего вознаграждения на благотворительность не требует подтверждения вашей личности.

Пожалуйста, сообщите нам, если вы не хотите, чтобы ваше имя/никнейм отображались в таблице лидеров.

Каждой найденной уязвимости / проблеме присваивается оценка. Охотники за ошибками ранжируются в нашей таблице лидеров по общему количеству баллов.

Последнее обновление страницы: 20 мая 2026 г.

Программа Bug Bounty