Перейти до основного контенту

Заявки на участь ще приймаються

Програма винагород за пошук помилок 

Заробіть до 250 000 дол. США й увійдіть до таблиці лідерів, знаходячи помилки в протоколі, клієнтах і Solidity, що впливають на мережу Ethereum.

Клієнти, що беруть участь у винагородах

Охоплюється програмою

Наша програма винагород за пошук помилок охоплює всі етапи: від надійності протоколів (як-от модель консенсусу блокчейну, проводові й однорангові протоколи, доказ частки тощо), сумісності протоколів і впровадження до безпеки мережі й цілісності консенсусу. Програма також розповсюджується на класичну систему захисту клієнтів і криптографічних примітивів. Якщо маєте сумніви, звертайтеся із запитаннями на електронну адресу bounty@ethereum.org.

Помилки специфікацій

У специфікаціях Ethereum детально описується обґрунтування дизайну виконавчого рівня та рівня консенсусу.

Специфікації рівня консенсусуopens in a new tab
Специфікації виконавчого рівняopens in a new tab

Типи помилок

  • Помилки безпеки / помилки, що порушують завершеність
  • Вектори DOS-атак
  • Невідповідність у припущеннях, як-от ситуації, коли чесних валідаторів можна скоротити
  • Невідповідності в розрахунках або параметрах

Помилки клієнта

Клієнти запускають мережу Ethereum і повинні дотримуватися логіки, викладеної в специфікації, а також бути захищеними від потенційних атак. Помилки, які ми хочемо знайти, пов’язані з впровадженням протоколу.

Наразі клієнти виконавчого рівня (Besu, Erigon, Geth і Nethermind) і клієнти рівня консенсусу (Lighthouse, Lodestar, Nimbus, Teku та Prysm) включені до програми винагород за пошук помилок. Інших клієнтів можуть додати після завершення аудиту, коли вони будуть готові до функціонування.

Типи помилок

  • Проблеми з невідповідністю специфікації
  • Несподівані збої, вразливості RCE або відмови в обслуговуванні (DOS)
  • Будь-які проблеми, що ведуть до незворотних від’єднань консенсусу від решти мережі

Помилки Solidity

Див. SECURITY.MD мовою програмування Solidity, щоб отримати детальнішу інформацію про те, що охоплює ця категорія.

Solidity не забезпечує гарантій безпеки щодо компіляції ненадійних введених даних, і ми не видаємо винагороди за збої компілятора solc на зловмисно згенерованих даних.

Корисні посилання

Помилки депозитного контракту

Специфікації та вихідний код депозитного контракту Beacon Chain є частиною програми винагород за пошук помилок.

Dependency bugs

Certain dependencies are crucial for the Ethereum Network to function, and some of these have been added to the bug bounty program. Currently, the list of dependencies included in the bug bounty program are C-KZG-4844 and Go-KZG-4844.

Vulnerability severity qualifications

Severity is assessed based on a discovered vulnerability's ability to do the following:

Low severity

  • Slash >0.01% of validators
  • Trivially cause network splits affecting >0.01% of the network
  • Be able to bring down >0.01% of the network by sending a single network packet or an onchain transaction

Medium severity

  • Slash >1% of validators
  • Trivially cause network splits affecting >5% of the network
  • Be able to bring down >5% of the network by sending a single network packet or an onchain transaction

High severity

  • Slash >33% of validators
  • Trivially cause network splits affecting >33% of the network
  • Be able to bring down >33% of the network by sending a single network packet or an onchain transaction

Critical severity

  • Slash >50% of validators
  • Exploit an EIP/specification or client bug to easily create an infinite amount of ETH which is finalized by the network
  • Steal ETH from all EOAs
  • Burn ETH from all EOAs
  • Take down the entire network by sending a single malicious onchain transaction that ends up crashing all clients

За межами програми

Тільки цілі, наведені в списку об’єктів у межах програми, беруть участь у програмі винагород за пошук помилок. Це означає, що, наприклад, наша інфраструктура, як-от вебсторінки, DNS, електронна пошта тощо, не входять в обсяги пошуку. Помилки контракту ERC20 зазвичай не входять в обсяги пошуку. Але ми можемо допомогти зв’язатися з постраждалими сторонами, як-от відповідні автори або обмінники. Керування ENS здійснюється фондом ENS і також не входить в обсяги пошуку.

  • Infrastructure bugs—such as webpages, dns, email, etc.*
  • ERC-20 contract bugs*
  • Ethereum Naming Service (ENS) bugs (maintained by the ENS foundation)
  • Vulnerabilities requiring the user to have publicly exposed an API, such as JSON-RPC or the Beacon API
  • Typographical errors
  • Tests
  • High-effort (sustained, CPU or bandwidth intensive, and/or requires more than 1 packet or onchain transaction) single-peer DoS attacks
  • Any publicly known issues (includes forum posts, PRs, github issues, commits, blog posts, public discord messages, etc.)

*These are typically not included, however, we can help reach out to affected parties, such as authors or exchanges in such cases

Повідомити про помилку

За кожну знайдену дійсну помилку ви зароблятимете винагороди. Кількість присуджених винагород залежатиме від серйозності помилок. Серйозність визначається відповідно до моделі оцінки ризиків OWASP на основі впливу на мережу Ethereum і рівня ймовірності. Перегляньте метод OWASPopens in a new tab

EF також надаватиме винагороди на основі таких факторів:

Якість опису: що чіткіший і зрозуміліший опис помилки ви подасте, то вищу винагороду отримаєте.

Якість відтворюваності: щоб мати право на винагороду, необхідно додати доказ концепції (Proof of Concept, POC). Додайте тестовий код, сценарії та детальні інструкції. Що простіше для нас відтворити й перевірити вразливість, то вища нагорода.

Якість виправлення, якщо включено: вищі винагороди виплачуються за подані матеріали з чітким описом того, як усунути проблему.

До 2000 дол. США

Низький

До 2000 дол. США

До 1000 балів

Серйозність

  • Незначний вплив, середня ймовірність
  • Середній вплив, низька ймовірність

Приклад

Іноді зловмисник може перевести вузол у стан, який спричиняє видалення однієї атестації з кожних ста, зроблених валідатором

Повідомлення про помилку з низьким ступенем ризикуopens in a new tab
До 10 000 дол. США

Середній

До 10 000 дол. США

До 5000 балів

Серйозність

  • Серйозний вплив, низька ймовірність
  • Середній вплив, середня ймовірність
  • Низький вплив, висока ймовірність

Приклад

Зловмисник може здійснювати успішні атаки затемнення на вузли з одноранговими ідентифікаторами з 4 провідними нульовими байтами

Повідомлення про помилку із середнім ступенем ризикуopens in a new tab
До 50 000 дол. США

Серйозний

До 50 000 дол. США

До 10 000 балів

Серйозність

  • Серйозний вплив, середня ймовірність
  • Середній вплив, висока ймовірність

Приклад

Зловмисник може успішно розділяти великі частини мережі, а також із легкістю ініціювати виникнення вразливості

Повідомлення про помилку із серйозним ступенем ризикуopens in a new tab
До 250 000 дол. США

Критичний

До 250 000 дол. США

До 25 000 балів

Серйозність

  • Серйозний вплив, висока ймовірність

Приклад

Зловмисник може успішно провести виконання віддаленого коду у важливому клієнті, а також із легкістю ініціювати виникнення вразливості

Повідомлення про помилку з критичним ступенем ризикуopens in a new tab

Правила пошуку помилок

Програма винагород за пошук помилок — це експериментальна та дискреційна програма винагород для нашої активної спільноти Ethereum, щоб заохочувати та винагороджувати тих, хто допомагає покращувати платформу. Це не змагання. Ви повинні знати, що ми можемо скасувати програму в будь-який час і що нагороди призначаються на власний розсуд ради з винагород за пошук помилок Ethereum Foundation. Крім того, ми не можемо видавати нагороди особам, які внесені до санкційних списків або перебувають у країнах із санкційних списків (наприклад, у Північній Кореї, Ірані тощо). Місцеві закони вимагають від нас запитувати документ, що підтверджує вашу особу. Ви несете відповідальність за всі податки. Усі нагороди регулюються чинним законодавством. Нарешті, ваше тестування не повинно порушувати жодного закону або компрометувати будь-які дані, які не належать вам, а також має проводитися в локальних тестових мережах.

  • Проблеми без доказу концепції (POC) або які вже були подані іншим користувачем чи вже відомі фахівцям із супроводження специфікації та клієнта, не дають права на отримання винагород.
  • Публічне розкриття вразливості робить неможливим отримання винагороди.
  • Працівники та підрядники Ethereum Foundation або команди, що працюють над клієнтом, залучені до програми винагород, можуть брати в ній участь лише за нарахування балів і не отримуватимуть грошові винагороди.
  • Програма винагород Ethereum враховує ряд змінних під час визначення винагород. Придатність, оцінки та всі умови, пов’язані з нагородою, остаточно визначаються радою з винагород за пошук помилок Ethereum Foundation.

Таблиця лідерів програми винагород за пошук помилок на виконавчому рівні

Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на виконавчому рівні

Таблиця лідерів програми винагород за пошук помилок на рівні консенсусу

Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на рівні консенсусу

Поширені запитання

Page last update: 1 жовтня 2025 р.

Запитання?

Напишіть нам: bounty@ethereum.orgopens email client

Чи була ця сторінка корисною?