Перейти до основного вмісту

Відкрито для подання

Програма Bug Bounty 

Заробіть до 1 000 000 USD та місце в таблиці лідерів, знаходячи баги протоколу, клієнтів та компіляторів мов, що впливають на мережу Етеріум.

Надіслати баг (opens in a new tab)Читати правила
Переглянути повні таблиці лідерів

Клієнти, що беруть участь у програмі винагород

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

У межах програми

Наша програма Bug Bounty охоплює все від початку до кінця: від надійності протоколів (таких як модель консенсусу блокчейну, мережеві та однорангові протоколи, доказ частки (PoS) тощо) та відповідності протоколу/реалізації до безпеки мережі та цілісності консенсусу. Класична безпека клієнтів, а також безпека криптографічних примітивів також є частиною програми. Усі розкриття багів та повідомлення про вразливості повинні здійснюватися через нашу форму подання багів (opens in a new tab).

Баги специфікації

Специфікації Етеріум детально описують обґрунтування дизайну для рівня виконання та рівня консенсусу.

Може бути корисно переглянути такі анотації:

Типи багів

  • Баги, що порушують безпеку/фінальність
  • Вектори відмови в обслуговуванні (DOS)
  • Невідповідності в припущеннях, наприклад, ситуації, коли чесні валідатори можуть бути піддані слешингу
  • Невідповідності в обчисленнях або параметрах

Документи специфікацій

Сигнальний ланцюг (opens in a new tab)
Вибір форку (opens in a new tab)
Депозитний контракт Solidity (opens in a new tab)
Однорангова мережа (opens in a new tab)

Баги клієнтів

Клієнти забезпечують роботу мережі Етеріум, і вони повинні дотримуватися логіки, викладеної в специфікації, та бути захищеними від потенційних атак. Баги, які ми хочемо знайти, пов'язані з реалізацією протоколу.

Наразі клієнти рівня виконання (Бесу, Ерігон, Geth, Незермайнд та Рет) і клієнти рівня консенсусу (Лайтхаус, Лодстар, Німбус, Теку та Призм) включені до програми Bug Bounty.

Типи багів

  • Проблеми невідповідності специфікації
  • Неочікувані збої, RCE або вразливості до відмови в обслуговуванні (DOS)
  • Будь-які проблеми, що спричиняють непоправні розбіжності консенсусу з рештою мережі

Корисні посилання

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Баги компіляторів мов

Компілятори Solidity та Vyper входять до сфери дії програми Bug Bounty. Будь ласка, додайте всі деталі, необхідні для відтворення вразливості, такі як: вхідна програма, що викликає баг, уражена версія компілятора, цільова версія EVM, фреймворк/IDE (якщо застосовно), середовище виконання EVM/клієнт (якщо застосовно) та операційна система. Будь ласка, опишіть кроки для відтворення знайденого вами багу якомога детальніше.

Solidity та Vyper не надають гарантій безпеки щодо компіляції ненадійних вхідних даних, і ми не видаємо винагороди за збої компілятора на зловмисно згенерованих даних.

Корисні посилання

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Баги депозитного контракту

Специфікації та вихідний код депозитного контракту сигнального ланцюга є частиною програми Bug Bounty.

Корисні посилання

Баги залежностей

Певні залежності є критично важливими для функціонування мережі Етеріум, і деякі з них були додані до програми Bug Bounty. Наразі до списку залежностей, включених до програми Bug Bounty, входять C-KZG-4844 та Go-KZG-4844.

Корисні посилання

Поза межами програми

Лише цілі, перелічені в розділі «У межах програми», є частиною програми Bug Bounty. Вразливості, які НЕ підпадають під дію програми, включають:

  • Помилки інфраструктури — такі як вебсторінки, DNS, електронна пошта тощо.*
  • Помилки в контрактах ERC-20*
  • Помилки Ethereum Naming Service (ENS) (підтримується фундацією ENS)
  • Вразливості, які вимагають від користувача публічного доступу до API, наприклад JSON-RPC або Beacon API
  • EngineAPI вважається довіреним і не призначений для публічного доступу
  • Друкарські помилки
  • Тести
  • DoS-атаки на одного піра, що вимагають значних зусиль (тривалі, інтенсивні для процесора або пропускної здатності та/або вимагають більше 1 пакета чи ончейн-транзакції)
  • Будь-які загальновідомі проблеми (включаючи публікації на форумах, PR, проблеми на GitHub, коміти, публікації в блогах, публічні повідомлення в Discord тощо)
  • Будь-що, що наразі не має прямого впливу на головну мережу Ethereum.

*Вони не включені, однак іноді ми можемо допомогти зв'язатися з постраждалими сторонами

Правила пошуку багів

Програма Bug Bounty — це експериментальна програма винагород на власний розсуд для нашої активної спільноти Етеріум, щоб заохотити та винагородити тих, хто допомагає покращувати платформу. Це не змагання. Ви повинні знати, що ми можемо скасувати програму в будь-який час, а винагороди видаються виключно на розсуд комісії Bug Bounty Фундації Ethereum. Крім того, ми не можемо видавати винагороди особам, які перебувають у санкційних списках або знаходяться в країнах із санкційних списків (наприклад, Північна Корея, Іран тощо). Місцеві закони вимагають від нас запитувати підтвердження вашої особи. Ви несете відповідальність за всі податки. Усі винагороди підпорядковуються чинному законодавству. Нарешті, ваше тестування не повинно порушувати жодних законів або ставити під загрозу будь-які дані, які вам не належать, і має відбуватися в локально запущених тестових мережах.

  1. 1Проблеми без підтвердження концепції (POC), або ті, що вже були надіслані іншим користувачем, або вже відомі розробникам специфікацій та клієнтів, не мають права на отримання винагороди.
  2. 2Публічне розкриття вразливості або повідомлення про неї іншим сторонам без попередньої згоди позбавляє права на отримання винагороди.
  3. 3Співробітники та підрядники Фундації Ethereum, грантоотримувачі Фундації Ethereum або команди клієнтів, що входять до сфери дії програми винагород, можуть брати участь у програмі лише для накопичення балів і не отримуватимуть грошових винагород.
  4. 4Програма винагород Етеріум враховує низку змінних при визначенні винагород. Визначення відповідності вимогам, кількості балів та всіх умов, пов'язаних із винагородою, залишається на виключний та остаточний розсуд комісії Bug Bounty Фундації Ethereum.

Кваліфікація серйозності вразливостей

Серйозність оцінюється на основі унікальної здатності кожної виявленої вразливості робити наступне:

Низька серйозність
  • Слешинг >0.01% валідаторів
  • Легко спричинити розділення мережі, що впливає на >0.01% мережі
  • Здатність вивести з ладу >0.01% мережі шляхом надсилання одного мережевого пакета або ончейн-транзакції
Середня серйозність
  • Слешинг >1% валідаторів
  • Легко спричинити розділення мережі, що впливає на >5% мережі
  • Здатність вивести з ладу >5% мережі шляхом надсилання одного мережевого пакета або ончейн-транзакції
Висока серйозність
  • Слешинг >33% валідаторів
  • Легко спричинити розділення мережі, що впливає на >33% мережі
  • Здатність вивести з ладу >33% мережі шляхом надсилання однієї ончейн-транзакції
Критична серйозність
  • Слешинг >50% валідаторів
  • Використати помилку в EIP/специфікації або клієнті, щоб легко створити нескінченну кількість ETH, яка буде фіналізована мережею
  • Вкрасти ETH з усіх EOA
  • Спалити ETH з усіх EOA
  • Вивести з ладу всю мережу шляхом надсилання однієї зловмисної ончейн-транзакції, яка призведе до збою всіх клієнтів

Надіслати баг

До 2000 USD

Низький

До 2000 USD

До 1000 балів

Надіслати баг із низьким ризиком (opens in a new tab)
До 10 000 USD

Середній

До 10 000 USD

До 5000 балів

Надіслати баг із середнім ризиком (opens in a new tab)
До 50 000 USD

Високий

До 50 000 USD

До 10 000 балів

Надіслати баг із високим ризиком (opens in a new tab)
До 1 000 000 USD

Критичний

До 1 000 000 USD

До 25 000 балів

Надіслати баг із критичним ризиком (opens in a new tab)

Таблиця лідерів Bug Bounty рівня виконання

Знайдіть баги рівня виконання, щоб потрапити до цієї таблиці лідерів

Таблиця лідерів Bug Bounty рівня консенсусу

Знайдіть баги рівня консенсусу, щоб потрапити до цієї таблиці лідерів

Часті запитання

Наразі кінцева дата не встановлена. Останні новини читайте в блозі Фундації Ethereum (opens in a new tab).

Винагороди виплачуються в ETH або DAI після перевірки поданої заявки, зазвичай через кілька днів. Місцеві закони вимагають від нас запитувати доказ вашої особи. Крім того, нам знадобиться ваша адреса ETH.

Ми можемо пожертвувати вашу винагороду визнаній благодійній організації на ваш вибір.

Ми намагаємося відповідати на заявки якомога швидше. Через збільшення кількості заявок, згенерованих штучним інтелектом, будь ласка, зачекайте до одного тижня на нашу відповідь.

Подання заявки анонімно або під псевдонімом допускається, але це позбавить вас права на винагороди в ETH/DAI. Щоб мати право на винагороди в ETH/DAI, ми вимагаємо надіслати ваше справжнє ім'я та доказ вашої особи, зашифровані за допомогою PGP на нашому безпечному вебсайті для передачі даних, нашій юридичній команді у Фундації Ethereum, яка є єдиним рецензентом документації. Пожертвування вашої винагороди на благодійність не вимагає підтвердження вашої особи.

Будь ласка, повідомте нам, якщо ви не хочете, щоб ваше ім'я/нікнейм відображалися в таблиці лідерів.

Кожній знайденій вразливості / проблемі присвоюється оцінка. Мисливці за помилками ранжуються в нашій таблиці лідерів за загальною кількістю балів.

Останнє оновлення сторінки: 20 травня 2026 р.

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

Ця сторінка була корисною?