Ir al contenido principal

Ya puede enviar informes

Programa de recompensa de errores 

Encuentre un protocolo, cliente y errores de Solidity que afecten a la red Ethereum y gane hasta 250.000 USD, además de un lugar en el tablero de clasificación.

Enviar un erroropens in a new tabLeer las normas
Ver tablas de clasificación completas

Clientes destacados en las recompensas

En el ámbito

page-upgrades-bug-bounty-validity-desc

Errores de especificación

Las especificaciones de Ethereum detallan la justificación del diseño para la capa de ejecución y la capa de consenso.

Especificaciones de la capa de consensoopens in a new tab
Especificaciones de la capa de ejecuciónopens in a new tab

Tipos de errores

  • Errores de seguridad o errores de infracción de la finalidad
  • Denegación de vectores de servicio (DOS)
  • Inconsistencias en supuestos, como situaciones en las que se puede sancionar a validadores honestos.
  • Inconsistencias de cálculos o parámetros

Errores del cliente

Los clientes ejecutan la red Ethereum y deben seguir la lógica establecida en la especificación y estar protegidos frente a posibles ataques. Los errores que nos interesan están relacionados con la implementación del protocolo.

Actualmente, los clientes de la capa de ejecución (Besu, Erigon, Geth, Nethermind y Reth) y los clientes de la capa de consenso (Lighthouse, Lodestar, Nimbus, Teku y Prysm) están incluidos en el Programa Bug Bounty. Es posible que se añadan más clientes a medida que completen las auditorías y estén listos para producción.

Tipos de errores

  • Problemas de incumplimiento de especificaciones
  • Errores inesperados, RCE o vulnerabilidades de negación del servicio (DOS)
  • Cualquier problema que cause divisiones irreparables en el consenso con respecto al resto de la red.

Errores de solidez

Consulte el archivo SECURITY.MD de Solidity para obtener más detalles sobre lo que se incluye en este alcance.

Solidity no ofrece garantías de seguridad con respecto a la compilación de entradas que no son de confianza, ni tampoco otorgamos recompensas por errores del compilador solc en datos generados de manera malintencionada.

Errores del contrato de depósito

Las especificaciones y el código fuente del contrato de depósito de la cadena de baliza son parte del programa de recompensas por errores.

Errores de dependencia

Ciertas dependencias son indispensables para el funcionamiento de la Red de Ethereum. Algunas de ellas han sido agregadas al Programa Bug Bounty. Actualmente, la lista de dependencias incluidas en el Programa Bug Bounty son C-KZG-4844 y Go-KZG-4844.

Vulnerability severity qualifications

Severity is assessed based on a discovered vulnerability's ability to do the following:

Low severity

  • Slash >0.01% of validators
  • Trivially cause network splits affecting >0.01% of the network
  • Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction

Medium severity

  • Slash >1% of validators
  • Trivially cause network splits affecting >5% of the network
  • Be able to bring down >5% of the network by sending a single network packet or an onchain transaction

High severity

  • Slash >33% of validators
  • Trivially cause network splits affecting >33% of the network
  • Be able to bring down >33% of the network by sending a single network packet or an onchain transaction

Critical severity

  • Slash >50% of validators
  • Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
  • Steal ETH from all EOAs
  • Burn ETH from all EOAs
  • Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients

Fuera de ámbito

Solo los objetivos enumerados bajo el alcance del ámbito forman parte del programa de recompensas por errores. Lo que significa que, por ejemplo, nuestra infraestructura, como páginas web, DNS o correos electrónicos no están incluidos en el ámbito de las recompensas. Los errores de contrato ERC20 tampoco están incluidos en el ámbito de la recompensa. No obstante, podemos ayudarle a llegar a las partes afectadas, como autores o intercambios en estos casos. Del mantenimiento de ENS se encarga la fundación ENS y no forma parte del ámbito de recompensas. Las vulnerabilidades requieren que el usuario haya expuesto públicamente una API, como JSON-RPC o la API de baliza, que queda fuera del ámbito del programa de recompensas de errores.

  • Infrastructure bugs—such as webpages, dns, email, etc.*
  • ERC-20 contract bugs*
  • Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
  • Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
  • Typographical errors
  • Tests
  • High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
  • Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)

*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases

Enviar un error

Por cada error válido que encuentre, obtendrá recompensas. La cantidad de recompensas que se otorguen variará dependiendo del grado de gravedad. La gravedad se calcula según el modelo de calificación de riesgo OWASP basado en el impacto en la red de Ethereum y en la probabilidad. Ver método OWASPopens in a new tab

La EF también proporcionará recompensas basadas en:

Calidad de la descripción: se pagan recompensas más altas por informes claros y bien escritos.

Calidad de la reproducción: debe incluirse una prueba de concepto (POC) para poder optar a los premios. Por favor incluya el código de prueba, scripts e instrucciones detalladas. Cuanto más fácil nos resulte reproducir y verificar la vulnerabilidad, mayor será la recompensa.

Calidad de la solución, si se incluye: se pagan recompensas más altas por los envíos con una descripción clara de cómo solucionar el problema.

Hasta 2.000 USD

Baja

Hasta 2.000 USD

Hasta 1.000 puntos

Gravedad

  • Impacto bajo, probabilidad media
  • Impacto medio, probabilidad baja

Ejemplo

El atacante a veces puede poner un nodo en un estado que hace que invalide una de cada cien certificaciones hechas por un validador.

Enviar un error de riesgo bajoopens in a new tab
Hasta 10.000 USD

Medio

Hasta 10.000 USD

Hasta 5.000 puntos

Gravedad

  • Impacto alto, probabilidad baja
  • Impacto medio, probabilidad media
  • Impacto bajo, probabilidad alta

Ejemplo

El atacante puede realizar con éxito ataques de eclipse en nodos con identificadores de pares que empiecen con 4 bytes en 0.

Enviar un error de riesgo medioopens in a new tab
Hasta 50.000 USD

Alto

Hasta 50.000 USD

Hasta 10.000 puntos

Gravedad

  • Impacto alto, probabilidad media
  • Impacto medio, probabilidad alta

Ejemplo

El atacante puede dividir con éxito grandes partes de la red, y es insignificante para un atacante activar la vulnerabilidad.

Enviar un error de riesgo altoopens in a new tab
Hasta 250,000 USD

Crítico

Hasta 250,000 USD

Hasta 25.000 puntos

Gravedad

  • Impacto alto, probabilidad alta

Ejemplo

El atacante puede realizar con éxito la ejecución remota de código en un cliente mayoritario, y es insignificante que un atacante desencadene la vulnerabilidad

Enviar un error de riesgo críticoopens in a new tab

Reglas de búsqueda de errores

El programa de recompensas por errores es un programa de recompensas experimental y discrecional para nuestra comunidad activa de Ethereum con el fin de alentar y recompensar a quienes ayudan a mejorar la plataforma. No es una competición. Debe saber que podemos cancelar el programa en cualquier momento, y los premios quedan a discreción del panel de recompensas por errores de Ethereum Foundation. Además, no podemos otorgar premios a personas que están en listas de sanciones, o que se encuentran en países en listas de sanciones (por ejemplo, Corea del Norte, Irán, etc.). La legislación local nos obliga a solicitar una prueba de su identidad. Usted es responsable del tributo de todos los impuestos. Todos los premios están sujetos a la ley aplicable. Por último, su prueba no debe infringir ninguna ley ni hacer referencia a ningún dato que no sea suyo y debe realizarse en redes de prueba locales en ejecución.

  • Los problemas sin un POC, que ya haya enviado otro usuario o que los mantenedores de especificaciones y clientes ya conozcan no son elegibles para recompensas.
  • La divulgación pública de una vulnerabilidad o informar sobre ella a otras partes sin un acuerdo previo la hace inelegible para una recompensa.
  • Empleados y contratistas de Ethereum Foundation o equipos de clientes en el ámbito del programa de recompensas pueden participar en el programa solo en la acumulación de puntos y no recibirán recompensas monetarias.
  • El programa de recompensas de Ethereum tiene en cuenta numerosas variables a la hora de determinar las recompensas. Las definiciones de elegibilidad, puntuación y todos los términos relacionados con una recompensa quedan al criterio exclusivo del panel de recompensas por errores de Ethereum Foundation.

Tabla de recompensa de errores de la capa de ejecución

Encuentre errores en la capa de ejecución para agregarlos a esta tabla de clasificación

Tabla de recompensa de errores de la capa de consenso

Encuentre errores en la capa de consenso para añadirlos a esta tabla de clasificación

Preguntas más frecuentes

Page last update: 1 de octubre de 2025

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+5

¿Tiene alguna pregunta?

Envíenos un correo electrónico: bounty@ethereum.orgopens email client

¿Le ha resultado útil esta página?