Перейти до основного контенту

Заявки на участь ще приймаються

Програма винагород за виявлення помилок 

Отримайте до 250 000 доларів США та місце в таблиці лідерів, виявляючи помилки протоколів, клієнтів та компіляторів мови, що впливають на мережу Ethereum.

Повідомити про помилкуopens in a new tabЧитати правила
Переглянути повні таблиці лідерів

Клієнти, що беруть участь у програмі винагород

У межах дії програми

page-upgrades-bug-bounty-validity-desc

Помилки специфікацій

У специфікаціях Ethereum докладно описано обґрунтування проєктних рішень виконавчого рівня та шару консенсусу.

Специфікації шару консенсусуopens in a new tab
Специфікації виконавчого рівняopens in a new tab

Типи помилок

  • Помилки безпеки / помилки, що порушують завершеність
  • Вектори DOS-атак
  • Невідповідність у припущеннях, як-от ситуації, коли чесних валідаторів можна скоротити
  • Невідповідності в розрахунках або параметрах

Помилки клієнта

Клієнти, які запускають мережу Ethereum, мають дотримуватися логіки, викладеної в специфікації, а також убезпечитися від потенційних атак. Помилки, які ми хочемо знайти, пов’язані з упровадженням протоколу.

Наразі до програми винагород за виявлення помилок залучено клієнтів виконавчого рівня (Besu, Erigon, Geth, Nethermind та Reth) і клієнтів шару консенсусу (Lighthouse, Lodestar, Nimbus, Teku та Prysm). Додавання нових клієнтів відбувається після проходження ними аудиту й завершення підготувань до роботи.

Типи помилок

  • Проблеми з невідповідністю специфікації
  • Несподівані збої, уразливості віддаленого виконання коду (RCE) або відмови в обслуговуванні (DOS)
  • Будь-які проблеми, що ведуть до незворотного від’єднання консенсусу від мережі

Помилки компілятора мови

Компілятори Solidity та Vyper підпадають під дію програми винагород за виявлення помилок. Надайте всю необхідну інформацію для відтворення вразливості, зокрема про: вхідну програму, яка видає помилку, уражену версію компілятора, цільову версію віртуальної машини Ethereum (EVM), фреймворк / інтегроване середовище розробки (IDE), якщо застосовно, середовище/клієнта виконання EVM, якщо застосовно, і операційну систему. Надайте якомога докладніший опис кроків для відтворення знайденої помилки.

Solidity та Vyper не гарантують безпеку компіляції ненадійних вхідних даних, і ми не видаємо винагороди за збої компілятора зі шкідливо згенерованими даними.

Корисні посилання

Solidityopens in a new tab
Vyperopens in a new tab

Помилки депозитного контракту

Специфікації та вихідний код депозитного контракту Beacon Chain є частиною програми винагород за виявлення помилок.

Помилки залежностей

Певні залежності є критично важливими для функціонування мережі Ethereum, і деякі з них додали до програми винагород за виявлення помилок. Поточний список залежностей, що входять до програми винагороди за виявлені помилки: C-KZG-4844 та Go-KZG-4844.

За межами дії програми

Лише цілі, перелічені в межах програми, є частиною Програми винагород за виявлення помилок. Уразливості, які НЕ підпадають під дію програми, включають:

  • Помилки інфраструктури, як-от вебсторінки, DNS, електронна пошта тощо.*
  • Помилки контракту ERC-20*
  • Помилки Ethereum Naming Service (ENS) (підтримується фондом ENS)
  • Уразливості, які вимагають, щоб користувач публічно відкрив API, як-от JSON-RPC або Beacon API
  • Друкарські помилки
  • Тести
  • DoS-атаки на одного учасника, які вимагають значних зусиль (тривалі, інтенсивні щодо використання ЦП або пропускної здатності та/або потребують більше 1 пакета чи ончейн-транзакції)
  • Будь-які загальновідомі проблеми (включаючи дописи на форумах, PR, проблеми на GitHub, коміти, дописи в блогах, публічні повідомлення в Discord тощо)
  • Anything that does not currently have a direct impact on Ethereum mainnet.

*Зазвичай вони не входять до програми, однак у таких випадках ми можемо допомогти зв’язатися з постраждалими сторонами, як-от авторами чи біржами

Правила пошуку помилок

Програма винагород за виявлення помилок — це експериментальна та дискреційна програма винагород для нашої активної спільноти Ethereum, покликана заохочувати та винагороджувати тих, хто допомагає покращувати платформу. Це не змагання. Ви маєте знати, що ми можемо скасувати програму в будь-який час, а нагороди призначаються на розсуд ради з винагород за пошук помилок Ethereum Foundation. Крім того, ми не можемо видавати нагороди особам, внесеним до санкційних списків, і тим, хто перебуває в країнах із санкційних списків (наприклад, у Північній Кореї, Ірані тощо). Місцеві закони вимагають від нас підтвердження вашої особи. Ви несете відповідальність за сплату всіх податків. Усі нагороди регулюються чинним законодавством. Нарешті, під час тестування ви не маєте порушувати жодного закону або компрометувати будь-які дані, які не належать вам, а також маєте проводити його в локальних тестових мережах.

  1. 1Проблеми без доказу концепції (POC) і помилки, про які повідомили інші користувачі або вже знають спеціалісти й фахівці із підтримки роботи клієнтів, не дають права на отримання винагород.
  2. 2Публічне розкриття вразливості або повідомлення про неї іншим сторонам без попередньої згоди позбавляє права на винагороду.
  3. 3Працівники й підрядники Ethereum Foundation або команди з підтримки роботи клієнтів, залучені до програми винагород, можуть брати в ній участь, проте збиратимуть лише бали та не отримуватимуть грошову винагороду.
  4. 4Програма винагород Ethereum враховує низку змінних під час визначення винагород. Відповідність вимогам, бали й усі умови, пов’язані з нагородою, остаточно визначає рада з винагород за виявлення помилок Ethereum Foundation.

Кваліфікації серйозності вразливостей

Серйозність оцінюється на основі здатності виявленої вразливості виконувати наступне:

Низька серйозність
  • Слешинг >0,01% валідаторів
  • Легко спричинити розколи мережі, що впливають на >0,01% мережі
  • Можливість вивести з ладу >0,01% мережі, надіславши єдиний мережевий пакет або ончейн-транзакцію
Середня серйозність
  • Слешинг >1% валідаторів
  • Легко спричинити розколи мережі, що впливають на >5% мережі
  • Можливість вивести з ладу >5% мережі, надіславши єдиний мережевий пакет або ончейн-транзакцію
Висока серйозність
  • Слешинг >33% валідаторів
  • Легко спричинити розколи мережі, що впливають на >33% мережі
  • Можливість вивести з ладу >33% мережі, надіславши єдиний мережевий пакет або ончейн-транзакцію
Критична серйозність
  • Слешинг >50% валідаторів
  • Використати помилку EIP/специфікації або клієнта, щоб легко створити нескінченну кількість ETH, яка фіналізується мережею
  • Вкрасти ETH з усіх EOA
  • Спалити ETH з усіх EOA
  • Вивести з ладу всю мережу, надіславши одну зловмисну ончейн-транзакцію, яка призводить до збою всіх клієнтів

Повідомити про помилку

До 2000 дол. США

Незначна

До 2000 дол. США

До 1000 балів

Повідомлення про помилку з низьким ступенем ризикуopens in a new tab
До 10 000 дол. США

Звичайна

До 10 000 дол. США

До 5000 балів

Повідомлення про помилку із середнім ступенем ризикуopens in a new tab
До 50 000 дол. США

Серйозна

До 50 000 дол. США

До 10 000 балів

Повідомлення про помилку із високим ступенем ризикуopens in a new tab
До 250 000 дол. США

Критична

До 250 000 дол. США

До 25 000 балів

Повідомлення про помилку з критичним ступенем ризикуopens in a new tab

Таблиця лідерів програми винагород за виявлення помилок на виконавчому рівні

Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на виконавчому рівні

Таблиця лідерів програми винагород за виявлення помилок на шарі консенсусу

Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на шарі консенсусу

Поширені запитання

Останні оновлення сторінки: 28 лютого 2026 р.

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+6

Чи була ця сторінка корисною?