Chuyển đến nội dung chính

Mở nhận báo cáo

Chương trình Tiền thưởng Lỗi 

Kiếm được lên đến 1.000.000 USD và một vị trí trên bảng xếp hạng bằng cách tìm ra các lỗi giao thức, máy khách và trình biên dịch ngôn ngữ ảnh hưởng đến mạng lưới Ethereum.

Gửi báo cáo lỗi (opens in a new tab)Đọc quy tắc
Xem toàn bộ bảng xếp hạng

Các máy khách có trong chương trình tiền thưởng

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Trong phạm vi

Chương trình tiền thưởng lỗi của chúng tôi bao trùm từ đầu đến cuối: từ tính đúng đắn của các giao thức (chẳng hạn như mô hình đồng thuận chuỗi khối, các giao thức wire và p2p, bằng chứng cổ phần, v.v.) và sự tuân thủ giao thức/triển khai cho đến bảo mật mạng lưới và tính toàn vẹn của đồng thuận. Bảo mật máy khách cổ điển cũng như bảo mật của các nguyên thủy mật mã cũng là một phần của chương trình. Tất cả các tiết lộ lỗi và báo cáo lỗ hổng phải được thực hiện thông qua biểu mẫu gửi báo cáo lỗi (opens in a new tab) của chúng tôi.

Lỗi đặc tả

Các Đặc tả Ethereum trình bày chi tiết cơ sở thiết kế cho Lớp thực thi và Lớp đồng thuận.

Bạn có thể tham khảo các chú thích sau đây:

Các loại lỗi

  • Các lỗi phá vỡ tính an toàn/tính chung cuộc
  • Các vectơ từ chối dịch vụ (DOS)
  • Sự không nhất quán trong các giả định, chẳng hạn như các tình huống mà những người xác thực trung thực có thể bị phạt cắt giảm
  • Sự không nhất quán về tính toán hoặc tham số

Tài liệu đặc tả

Chuỗi Beacon (opens in a new tab)
Lựa chọn phân nhánh (opens in a new tab)
Hợp đồng tiền gửi Solidity (opens in a new tab)
Mạng ngang hàng (opens in a new tab)

Lỗi máy khách

Các máy khách chạy mạng lưới Ethereum, và chúng cần tuân theo logic được đặt ra trong đặc tả cũng như phải an toàn trước các cuộc tấn công tiềm ẩn. Những lỗi chúng tôi muốn tìm kiếm liên quan đến việc triển khai giao thức.

Hiện tại, các máy khách lớp thực thi (Besu, Erigon, Geth, Nethermind và Reth) và các máy khách lớp đồng thuận (Lighthouse, Lodestar, Nimbus, Teku và Prysm) đều được bao gồm trong Chương trình Tiền thưởng Lỗi.

Các loại lỗi

  • Các vấn đề không tuân thủ đặc tả
  • Sự cố treo máy bất ngờ, lỗ hổng RCE hoặc từ chối dịch vụ (DOS)
  • Bất kỳ vấn đề nào gây ra sự phân tách đồng thuận không thể khắc phục khỏi phần còn lại của mạng lưới

Các liên kết hữu ích

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Lỗi trình biên dịch ngôn ngữ

Các trình biên dịch Solidity và Vyper nằm trong phạm vi của chương trình tiền thưởng lỗi. Vui lòng bao gồm tất cả các chi tiết cần thiết để tái tạo lỗ hổng như: Chương trình đầu vào gây ra lỗi, Phiên bản trình biên dịch bị ảnh hưởng, Phiên bản EVM mục tiêu, Framework/IDE nếu có, Môi trường thực thi/máy khách EVM nếu có và Hệ điều hành. Vui lòng bao gồm các bước để tái tạo lỗi bạn đã tìm thấy càng chi tiết càng tốt.

Solidity và Vyper không có các đảm bảo bảo mật liên quan đến việc biên dịch đầu vào không đáng tin cậy – và chúng tôi không trao phần thưởng cho các sự cố treo trình biên dịch do dữ liệu được tạo ra với mục đích xấu.

Các liên kết hữu ích

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Lỗi hợp đồng tiền gửi

Các đặc tả và mã nguồn của Hợp đồng tiền gửi Chuỗi Beacon là một phần của chương trình tiền thưởng lỗi.

Các liên kết hữu ích

Lỗi phần phụ thuộc

Một số phần phụ thuộc nhất định rất quan trọng để mạng lưới Ethereum hoạt động, và một số trong đó đã được thêm vào chương trình tiền thưởng lỗi. Hiện tại, danh sách các phần phụ thuộc được bao gồm trong chương trình tiền thưởng lỗi là C-KZG-4844 và Go-KZG-4844.

Các liên kết hữu ích

Ngoài phạm vi

Chỉ những mục tiêu được liệt kê trong phạm vi mới là một phần của Chương trình Tiền thưởng Lỗi. Các lỗ hổng KHÔNG đủ điều kiện theo chương trình bao gồm:

  • Các lỗi cơ sở hạ tầng—chẳng hạn như trang web, dns, email, v.v.*
  • Các lỗi hợp đồng ERC-20*
  • Các lỗi Dịch vụ Tên miền Ethereum (ENS) (được duy trì bởi tổ chức ENS)
  • Các lỗ hổng yêu cầu người dùng phải công khai một API, chẳng hạn như JSON-RPC hoặc API Beacon
  • EngineAPI được coi là đáng tin cậy và không nhằm mục đích công khai
  • Các lỗi đánh máy
  • Các bài kiểm thử
  • Các cuộc tấn công DoS vào một nút ngang hàng duy nhất đòi hỏi nỗ lực cao (kéo dài, tiêu tốn nhiều CPU hoặc băng thông, và/hoặc yêu cầu nhiều hơn 1 gói tin hoặc giao dịch trên chuỗi)
  • Bất kỳ vấn đề nào đã được biết đến công khai (bao gồm các bài đăng trên diễn đàn, PR, các vấn đề trên GitHub, các commit, bài đăng trên blog, tin nhắn Discord công khai, v.v.)
  • Bất cứ điều gì hiện không có tác động trực tiếp đến Mạng chính Ethereum.

*Những điều này không được bao gồm, tuy nhiên, đôi khi chúng tôi có thể giúp liên hệ với các bên bị ảnh hưởng

Quy tắc săn lỗi

Chương trình tiền thưởng lỗi là một chương trình phần thưởng thử nghiệm và tùy ý dành cho cộng đồng Ethereum tích cực của chúng tôi nhằm khuyến khích và trao thưởng cho những người đang giúp cải thiện nền tảng. Đây không phải là một cuộc thi. Bạn nên biết rằng chúng tôi có thể hủy chương trình bất cứ lúc nào và các phần thưởng hoàn toàn do hội đồng tiền thưởng lỗi của Tổ chức Ethereum quyết định. Ngoài ra, chúng tôi không thể trao phần thưởng cho những cá nhân nằm trong danh sách trừng phạt hoặc ở các quốc gia nằm trong danh sách trừng phạt (ví dụ: Triều Tiên, Iran, v.v.). Luật pháp địa phương yêu cầu chúng tôi phải yêu cầu bằng chứng về danh tính của bạn. Bạn phải chịu trách nhiệm cho tất cả các khoản thuế. Tất cả các phần thưởng đều tuân theo luật pháp hiện hành. Cuối cùng, việc thử nghiệm của bạn không được vi phạm bất kỳ luật nào hoặc xâm phạm bất kỳ dữ liệu nào không phải của bạn và phải diễn ra trên các mạng thử nghiệm (testnet) chạy cục bộ.

  1. 1Các vấn đề không có POC hoặc đã được người dùng khác gửi hoặc đã được những người bảo trì đặc tả và máy khách biết đến sẽ không đủ điều kiện nhận phần thưởng.
  2. 2Việc tiết lộ công khai một lỗ hổng hoặc báo cáo nó cho các bên khác mà không có thỏa thuận trước sẽ làm cho nó không đủ điều kiện nhận tiền thưởng.
  3. 3Nhân viên và nhà thầu của Tổ chức Ethereum, những người nhận tài trợ của Tổ chức Ethereum, hoặc các nhóm máy khách trong phạm vi của chương trình tiền thưởng chỉ có thể tham gia chương trình để tích lũy điểm và sẽ không nhận được phần thưởng bằng tiền.
  4. 4Chương trình tiền thưởng Ethereum xem xét một số biến số trong việc xác định phần thưởng. Việc xác định tính đủ điều kiện, điểm số và tất cả các điều khoản liên quan đến phần thưởng hoàn toàn do hội đồng tiền thưởng lỗi của Tổ chức Ethereum quyết định cuối cùng.

Tiêu chuẩn về mức độ nghiêm trọng của lỗ hổng

Mức độ nghiêm trọng được đánh giá dựa trên khả năng riêng biệt của mỗi lỗ hổng được phát hiện để thực hiện những điều sau:

Mức độ nghiêm trọng thấp
  • Phạt cắt giảm >0.01% số lượng trình xác thực
  • Dễ dàng gây ra sự phân tách mạng lưới ảnh hưởng đến >0.01% mạng lưới
  • Có khả năng đánh sập >0.01% mạng lưới bằng cách gửi một gói tin mạng lưới duy nhất hoặc một giao dịch trên chuỗi
Mức độ nghiêm trọng trung bình
  • Phạt cắt giảm >1% số lượng trình xác thực
  • Dễ dàng gây ra sự phân tách mạng lưới ảnh hưởng đến >5% mạng lưới
  • Có khả năng đánh sập >5% mạng lưới bằng cách gửi một gói tin mạng lưới duy nhất hoặc một giao dịch trên chuỗi
Mức độ nghiêm trọng cao
  • Phạt cắt giảm >33% số lượng trình xác thực
  • Dễ dàng gây ra sự phân tách mạng lưới ảnh hưởng đến >33% mạng lưới
  • Có khả năng đánh sập >33% mạng lưới bằng cách gửi một giao dịch trên chuỗi duy nhất
Mức độ nghiêm trọng cực kỳ cao
  • Phạt cắt giảm >50% số lượng trình xác thực
  • Khai thác một lỗi EIP/đặc tả hoặc máy khách để dễ dàng tạo ra một lượng ETH vô hạn được mạng lưới xác nhận đã chung cuộc
  • Đánh cắp ETH từ tất cả các EOA
  • Đốt ETH từ tất cả các EOA
  • Đánh sập toàn bộ mạng lưới bằng cách gửi một giao dịch độc hại trên chuỗi duy nhất dẫn đến việc làm sập tất cả các máy khách

Gửi báo cáo lỗi

Lên đến 2.000 USD

Thấp

Lên đến 2.000 USD

Lên đến 1.000 điểm

Gửi báo cáo lỗi rủi ro thấp (opens in a new tab)
Lên đến 10.000 USD

Trung bình

Lên đến 10.000 USD

Lên đến 5.000 điểm

Gửi báo cáo lỗi rủi ro trung bình (opens in a new tab)
Lên đến 50.000 USD

Cao

Lên đến 50.000 USD

Lên đến 10.000 điểm

Gửi báo cáo lỗi rủi ro cao (opens in a new tab)
Lên đến 1.000.000 USD

Nghiêm trọng

Lên đến 1.000.000 USD

Lên đến 25.000 điểm

Gửi báo cáo lỗi rủi ro nghiêm trọng (opens in a new tab)

Bảng xếp hạng Tiền thưởng Lỗi Lớp thực thi

Tìm các lỗi lớp thực thi để được thêm vào bảng xếp hạng này

Bảng xếp hạng Tiền thưởng Lỗi Lớp đồng thuận

Tìm các lỗi lớp đồng thuận để được thêm vào bảng xếp hạng này

Các câu hỏi thường gặp

Hiện tại chưa có ngày kết thúc. Xem blog của Tổ chức Ethereum (opens in a new tab) để biết tin tức mới nhất.

Phần thưởng được chi trả bằng ETH hoặc DAI sau khi báo cáo đã được xác thực, thường là vài ngày sau đó. Luật pháp địa phương yêu cầu chúng tôi phải hỏi bằng chứng nhận dạng của bạn. Ngoài ra, chúng tôi sẽ cần địa chỉ ETH của bạn.

Chúng tôi có thể quyên góp phần thưởng của bạn cho một tổ chức từ thiện uy tín mà bạn chọn.

Chúng tôi cố gắng phản hồi các báo cáo nhanh nhất có thể. Do sự gia tăng của các báo cáo từ AI, vui lòng đợi tối đa một tuần để chúng tôi phản hồi báo cáo của bạn.

Gửi báo cáo ẩn danh hoặc dùng biệt danh là được, nhưng sẽ khiến bạn không đủ điều kiện nhận phần thưởng ETH/DAI. Để đủ điều kiện nhận phần thưởng ETH/DAI, chúng tôi yêu cầu bạn gửi tên thật và bằng chứng nhận dạng, được mã hóa bằng PGP trên trang web gửi dữ liệu an toàn của chúng tôi, cho đội ngũ pháp lý của Tổ chức Ethereum, những người duy nhất xem xét tài liệu. Việc quyên góp tiền thưởng của bạn cho một tổ chức từ thiện không yêu cầu danh tính của bạn.

Vui lòng cho chúng tôi biết nếu bạn không muốn tên/biệt danh của mình hiển thị trên bảng xếp hạng.

Mỗi lỗ hổng / vấn đề được tìm thấy sẽ được gán một điểm số. Các thợ săn tiền thưởng được xếp hạng trên bảng xếp hạng của chúng tôi theo tổng số điểm.

Cập nhật trang lần cuối: 20 tháng 5, 2026

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

Trang này có hữu ích không?