Preskoči na glavno vsebino

Oddajanje vlog je odprto

Program z nagradami za odpravljanje napak 

Z iskanjem napak v protokolu, odjemalcih in jeziku Solidity, ki vplivajo na Ethereumovo omrežje, si lahko prislužite do 250.000 USD in se uvrstite na lestvico vodilnih.

Pošlji napakoopens in a new tabPreberite pravila
Oglejte si celotno lestvico

Odjemalci, vključeni v programe z nagradami

V obsegu

Naš program z nagradami za odpravljanje napak je celovit: obsega vse od ustreznosti protokolov (med drugim modela za doseganje soglasja na verigi blokov, protokolov za povezovanje enakovrednih odjemalcev, mehanizmu dokaza o deležu) in skladnosti protokolov/implementacije do varnosti omrežja in celovitosti mehanizma za doseganje soglasja. Del programa sta tudi klasična varnost odjemalcev in varnost kriptografskih prvin. Če ste glede česarkoli v dvomih, pošljite e-poštno sporočilo na bounty@ethereum.org in nas vprašajte.

Napake v specifikacijah

V specifikacijah Ethereuma so podrobno razloženi razlogi za zasnovo izvajalne plasti in plasti za soglasje.

Specifikacije plasti za soglasjeopens in a new tab
Specifikacije izvajalne plastiopens in a new tab

Vrste napak

  • Napake, ki razveljavljajo varnost/dokončnost
  • Vektorji zavrnitve storitve (DOS)
  • Neskladnosti pri domnevah, kot so okoliščine, kjer se lahko zmanjšajo nagrade poštenih validatorjev
  • Neskladnosti pri izračunih ali parametrih

Napake odjemalcev

Odjemalci poganjajo Ethereumovo omrežje, pri tem pa morajo slediti logiki, določeni v specifikaciji, in zagotoviti zaščito pred morebitnimi napadi. Napake, ki jih iščemo, so povezane z izvedbo protokola.

Trenutno so v programu z nagradami za iskanje napak vključeni odjemalci na izvajalni plasti (Besu, Erigon, Geth in Nethermind) ter odjemalci na plasti za soglasje (Lighthouse, Lodestar, Nimbus, Teku in Prysm). Morda bomo dodali tudi druge odjemalce, ko bo zaključena njihova revizija in bodo pripravljeni za uvedbo.

Vrste napak

  • Težave z neskladnostjo specifikacije
  • Nepričakovane zrušitve in ranljivosti za oddaljeno izvajanje kode ali zavrnitev storitve (DOS)
  • Vse težave, ki povzročijo nepopravljiva razhajanja glede soglasja od preostalega omrežja

Napake v jeziku Solidity

Za več podrobnosti o tem, kaj je vključeno v ta obseg, si oglejte datoteko SECURITY.MD jezika Solidity.

Solidity ne jamči za varno prevarjanje vhodnih podatkov, ki niso zaupanja vredni. Prav tako ne podeljujemo nagrad za odkrite zrušitve prevajalnika solc pri ustvarjenih zlonamernih podatkih.

Napake v pogodbah za polog

Specifikacije in izvorna koda pogodb za polog oddajniške verige so del programa z nagradami za iskanje napak.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

Vulnerability severity qualifications

Severity is assessed based on a discovered vulnerability's ability to do the following:

Low severity

  • Slash >0.01% of validators
  • Trivially cause network splits affecting >0.01% of the network
  • Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction

Medium severity

  • Slash >1% of validators
  • Trivially cause network splits affecting >5% of the network
  • Be able to bring down >5% of the network by sending a single network packet or an onchain transaction

High severity

  • Slash >33% of validators
  • Trivially cause network splits affecting >33% of the network
  • Be able to bring down >33% of the network by sending a single network packet or an onchain transaction

Critical severity

  • Slash >50% of validators
  • Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
  • Steal ETH from all EOAs
  • Burn ETH from all EOAs
  • Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients

Izven obsega

Samo cilji, navedeni v obsegu, so del programa z nagradami za odpravljanje napak. To pomeni, da na primer naša infrastruktura, kot so spletne strani, strežniki DNS, e-pošta itd., niso del obsega programa. Napake v pogodbah ERC20 običajno niso vključene v obseg programa. Vseeno vam lahko v takih primerih pomagamo, da se obrnete na zadevne stranke, na primer avtorje ali menjalnice. Storitev ENS vzdržuje fundacija ENS in ni del obsega programa.

  • Infrastructure bugs—such as webpages, dns, email, etc.*
  • ERC-20 contract bugs*
  • Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
  • Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
  • Typographical errors
  • Tests
  • High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
  • Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)

*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases

Pošlji napako

Z vsako najdeno veljavno napako si boste prislužili nagrado. Vsota nagrade je odvisna od resnosti. Resnost se izračuna po modelu za oceno tveganja OWASP glede na vpliv na Ethereumovo omrežje in verjetnost pojavitve. Ogled metode OWASPopens in a new tab

Fundacija EF bo nagrade dodeljevala tudi glede na:

Kakovost opisa: višje nagrade so izplačane za jasne in kakovostno napisane predložitve.

Kakovost možnosti poustvarjanja: Če želite biti upravičeni do nagrad, morate vključiti dokaz koncepta. Priložite testno kodo, skripte in podrobna navodila. Lažje kot bomo reproducirali in preverili ranljivost, višja bo nagrada.

Kakovost popravka, če je vključena: Višje nagrade so izplačane za vloge z jasnim opisom odpravljanja težave.

Do 2.000 USD

Nizko

Do 2.000 USD

Do 1.000 točk

Resnost

  • Nizek vpliv, srednja verjetnost
  • Srednji vpliv, nizka verjetnost

Primer

Napadalec lahko vozlišče včasih preklopi v stanje, zaradi katerega spusti vsako stoto potrditev, ki jo opravi validator

Pošljite napako z nizko stopnjo tveganjaopens in a new tab
Do 10.000 USD

Srednje

Do 10.000 USD

Do 5.000 točk

Resnost

  • Visok vpliv, nizka verjetnost
  • Srednji vpliv, srednja verjetnost
  • Nizek vpliv, visoka verjetnost

Primer

Napadalec lahko uspešno izvede napade z mrkom vozlišča z uporabo ID-jev v omrežju enakopravnih računalnikov s 4 vodilnimi ničlami

Pošljite napako s srednjo stopnjo tveganjaopens in a new tab
Do 50.000 USD

Visoko

Do 50.000 USD

Do 10.000 točk

Resnost

  • Visok vpliv, srednja verjetnost
  • Srednji vpliv, visoka verjetnost

Primer

Napadalec lahko uspešno razdeli velike dele omrežja in brez težav izkoristi ranljivost

Pošljite napako z visoko stopnjo tveganjaopens in a new tab
Do 250.000 USD

Kritično

Do 250.000 USD

Do 25.000 točk

Resnost

  • Visok vpliv, visoka verjetnost

Primer

Napadalec lahko uspešno izvede kodo v večinskem odjemalcu na daljavo in brez težav izkoristi ranljivost

Pošljite napako s kritično stopnjo tveganjaopens in a new tab

Pravila za iskanje napak

Program z nagradami za iskanje napak je eksperimentalen in diskrecijski program nagrad za aktivno Ethereumovo skupnost, s katerim spodbujamo in nagrajujemo vse, ki pomagajo izboljšati platformo. To ni tekmovanje. Zavedati se morate, da lahko program kadarkoli prekličemo, nagrade pa se dodeljujejo po izključni presoji odbora za program z nagradami za odkrivanje napak fundacije Ethereum Foundation. Poleg tega ne moremo dodeljevati nagrad posameznikom, ki so na seznamih sankcij ali so v državah, ki so na seznamih sankcij (npr. Severna Koreja, Iran itd.). Lokalna zakonodaja od nas zahteva, da vas prosimo za dokaz o vaši identiteti. Sami ste odgovorni za davke. Za vse nagrade velja upoštevna zakonodaja. Vaše preskušanje ne sme kršiti nobenega zakona ali ogrožati morebitnih podatkov, ki niso vaši, izvajati pa ga morate v testnih omrežjih, ki se izvajajo lokalno.

  • Težave brez dokaza o konceptu ali težave, ki so jih že predložili drugi uporabniki ali jih vzdrževalci specifikacij in odjemalcev že poznajo, niso upravičene do nagrad za odkrivanje napak.
  • V primeru javnega razkritja ranljivost ni upravičena do nagrade.
  • Zaposleni in pogodbeniki fundacije Ethereum Foundation ali ekipa za odjemalce, vključene v program z nagradami, lahko v programu samo zbira točke in ne bo prejemala denarnih nagrad.
  • Ethereumov program za odkrivanje napak pri določanju nagrad upošteva številne spremenljivke. Odločitve glede upravičenosti, rezultata in vseh pogojev, povezanih z nagrado, se sprejemajo po izključni in končni presoji odbora za program nagrad za odkrivanje napak fundacije Ethereum Foundation.

Lestvica vodilnih programa z nagradami za iskanje napak na izvajalni plasti

Če se želite uvrstiti na lestvico, poiščite napake na izvajalni plasti

Lestvica vodilnih programa z nagradami za iskanje napak na plasti za soglasje

Če se želite uvrstiti na lestvico, poiščite napake na plasti za soglasje

Pogosta vprašanja

Page last update: 1. oktober 2025

pettinarippopens in a new tab
corwintinescopens in a new tab
fredrik0xfopens in a new tab
+5

Imate vprašanja?

Pošljite nam e-pošto: bounty@ethereum.orgopens email client

Je bila ta stran uporabna?