Thanks to visit codestin.com
Credit goes to ethereum.org

Přejít na hlavní obsah

Otevřeno pro hlášení

Program Bug Bounty 

Získejte až 1 000 000 USD a místo v žebříčku nalezením chyb v protokolu, klientech a kompilátorech jazyků, které ovlivňují síť Ethereum.

Nahlásit chybu (opens in a new tab)Přečíst si pravidla
Zobrazit kompletní žebříčky

Klienti zahrnutí do odměn

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

V rozsahu

Náš program Bug Bounty pokrývá vše od začátku do konce: od spolehlivosti protokolů (jako je model konsensu blockchainu, síťové a p2p protokoly, důkaz podílem (PoS) atd.) a souladu protokolu/implementace až po bezpečnost sítě a integritu konsensu. Součástí programu je také klasická bezpečnost klientů a bezpečnost kryptografických primitiv. Všechna odhalení chyb a hlášení zranitelností musí být provedena prostřednictvím našeho formuláře pro nahlášení chyby (opens in a new tab).

Chyby ve specifikaci

Specifikace Etherea podrobně popisují zdůvodnění návrhu pro exekuční vrstvu a vrstvu konsensu.

Může být užitečné podívat se na následující anotace:

Typy chyb

  • Chyby narušující bezpečnost/finalitu
  • Vektory odepření služby (DOS)
  • Nesrovnalosti v předpokladech, jako jsou situace, kdy mohou být poctiví validátoři penalizováni
  • Nesrovnalosti ve výpočtech nebo parametrech

Dokumenty specifikace

Beacon chain (opens in a new tab)
Volba forku (opens in a new tab)
Depozitní kontrakt v Solidity (opens in a new tab)
Peer-to-peer sítě (opens in a new tab)

Chyby klientů

Klienti provozují síť Ethereum a musí dodržovat logiku stanovenou ve specifikaci a být zabezpečeni proti potenciálním útokům. Chyby, které chceme najít, se týkají implementace protokolu.

V současné době jsou do programu Bug Bounty zahrnuti klienti exekuční vrstvy (Besu, Erigon, Geth, Nethermind a Reth) a klienti vrstvy konsensu (Lighthouse, Lodestar, Nimbus, Teku a Prysm).

Typy chyb

  • Problémy s nedodržením specifikace
  • Neočekávané pády, RCE nebo zranitelnosti typu odepření služby (DOS)
  • Jakékoli problémy způsobující nenapravitelné rozdělení konsensu od zbytku sítě

Užitečné odkazy

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Chyby kompilátoru jazyka

Kompilátory Solidity a Vyper jsou součástí programu Bug Bounty. Uveďte prosím všechny podrobnosti nezbytné k reprodukci zranitelnosti, jako jsou: vstupní program, který chybu spouští, dotčená verze kompilátoru, cílová verze EVM, framework/IDE (pokud je relevantní), exekuční prostředí/klient EVM (pokud je relevantní) a operační systém. Uveďte prosím co nejpodrobnější kroky k reprodukci nalezené chyby.

Solidity a Vyper neposkytují bezpečnostní záruky ohledně kompilace nedůvěryhodného vstupu – a neudělujeme odměny za pády kompilátoru na škodlivě vygenerovaných datech.

Užitečné odkazy

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Chyby depozitního kontraktu

Specifikace a zdrojový kód depozitního kontraktu Beacon chainu jsou součástí programu Bug Bounty.

Užitečné odkazy

Chyby závislostí

Určité závislosti jsou pro fungování sítě Ethereum klíčové a některé z nich byly přidány do programu Bug Bounty. V současné době jsou na seznamu závislostí zahrnutých do programu Bug Bounty C-KZG-4844 a Go-KZG-4844.

Užitečné odkazy

Mimo rozsah

Pouze cíle uvedené v rozsahu jsou součástí programu Bug Bounty. Zranitelnosti, které se do programu NEKVALIFIKUJÍ, zahrnují:

  • Chyby v infrastruktuře – jako jsou webové stránky, DNS, e-mail atd.*
  • Chyby v ERC-20 kontraktech*
  • Chyby v Ethereum Naming Service (ENS) (spravováno nadací ENS)
  • Zranitelnosti vyžadující, aby uživatel veřejně vystavil API, jako je JSON-RPC nebo Beacon API
  • EngineAPI je považováno za důvěryhodné a není určeno k veřejnému vystavení
  • Typografické chyby
  • Testy
  • Vysoce náročné (dlouhodobé, náročné na CPU nebo šířku pásma a/nebo vyžadující více než 1 paket nebo onchain transakci) DoS útoky na jednoho peera
  • Jakékoli veřejně známé problémy (zahrnuje příspěvky na fórech, PR, problémy na GitHubu, commity, příspěvky na blozích, veřejné zprávy na Discordu atd.)
  • Cokoli, co v současné době nemá přímý dopad na Ethereum Mainnet.

*Tyto nejsou zahrnuty, nicméně někdy můžeme pomoci kontaktovat dotčené strany

Pravidla pro hledání chyb

Program Bug Bounty je experimentální a dobrovolný program odměn pro naši aktivní komunitu Etherea, který má povzbudit a odměnit ty, kteří pomáhají platformu vylepšovat. Nejedná se o soutěž. Měli byste vědět, že program můžeme kdykoli zrušit a odměny jsou výhradně na uvážení panelu Bug Bounty Nadace Ethereum. Kromě toho nemůžeme udělovat odměny jednotlivcům, kteří jsou na sankčních seznamech nebo kteří se nacházejí v zemích na sankčních seznamech (např. Severní Korea, Írán atd.). Místní zákony vyžadují, abychom vás požádali o prokázání totožnosti. Jste zodpovědní za všechny daně. Všechny odměny podléhají platným zákonům. Vaše testování nakonec nesmí porušovat žádný zákon ani ohrozit žádná data, která nejsou vaše, a musí probíhat na lokálně spuštěných testnetech.

  1. 1Problémy bez POC (Proof of Concept), problémy, které již nahlásil jiný uživatel, nebo problémy, které jsou již známé správcům specifikací a klientů, nemají nárok na odměnu.
  2. 2Veřejné odhalení zranitelnosti nebo její nahlášení jiným stranám bez předchozí dohody ruší nárok na odměnu.
  3. 3Zaměstnanci a dodavatelé Nadace Ethereum, příjemci grantů Nadace Ethereum nebo týmy klientů v rámci programu Bug Bounty se mohou programu zúčastnit pouze za účelem získávání bodů a neobdrží peněžní odměny.
  4. 4Program odměn Etherea zohledňuje při určování odměn řadu proměnných. Rozhodnutí o způsobilosti, skóre a všech podmínkách souvisejících s odměnou jsou výhradně a s konečnou platností na uvážení panelu Bug Bounty Nadace Ethereum.

Kvalifikace závažnosti zranitelností

Závažnost se posuzuje na základě jedinečné schopnosti každé objevené zranitelnosti způsobit následující:

Nízká závažnost
  • Penalizovat >0,01 % validátorů
  • Triviálně způsobit rozdělení sítě ovlivňující >0,01 % sítě
  • Být schopen vyřadit z provozu >0,01 % sítě odesláním jediného síťového paketu nebo onchain transakce
Střední závažnost
  • Penalizovat >1 % validátorů
  • Triviálně způsobit rozdělení sítě ovlivňující >5 % sítě
  • Být schopen vyřadit z provozu >5 % sítě odesláním jediného síťového paketu nebo onchain transakce
Vysoká závažnost
  • Penalizovat >33 % validátorů
  • Triviálně způsobit rozdělení sítě ovlivňující >33 % sítě
  • Být schopen vyřadit z provozu >33 % sítě odesláním jediné onchain transakce
Kritická závažnost
  • Penalizovat >50 % validátorů
  • Zneužít chybu v EIP/specifikaci nebo klientovi ke snadnému vytvoření nekonečného množství ETH, které je finalizováno sítí
  • Ukrást ETH ze všech EOA
  • Spálit ETH ze všech EOA
  • Vyřadit z provozu celou síť odesláním jediné škodlivé onchain transakce, která způsobí pád všech klientů

Nahlásit chybu

Až 2 000 USD

Nízké

Až 2 000 USD

Až 1 000 bodů

Nahlásit chybu s nízkým rizikem (opens in a new tab)
Až 10 000 USD

Střední

Až 10 000 USD

Až 5 000 bodů

Nahlásit chybu se středním rizikem (opens in a new tab)
Až 50 000 USD

Vysoké

Až 50 000 USD

Až 10 000 bodů

Nahlásit chybu s vysokým rizikem (opens in a new tab)
Až 1 000 000 USD

Kritické

Až 1 000 000 USD

Až 25 000 bodů

Nahlásit chybu s kritickým rizikem (opens in a new tab)

Žebříček Bug Bounty exekuční vrstvy

Najděte chyby exekuční vrstvy a dostaňte se do tohoto žebříčku

Žebříček Bug Bounty vrstvy konsensu

Najděte chyby vrstvy konsensu a dostaňte se do tohoto žebříčku

Často kladené dotazy

V současné době není stanoveno žádné datum ukončení. Nejnovější zprávy najdete na blogu Nadace Ethereum (opens in a new tab).

Odměny jsou vypláceny v ETH nebo DAI po ověření podání, obvykle o několik dní později. Místní zákony vyžadují, abychom vás požádali o doklad vaší totožnosti. Kromě toho budeme potřebovat vaši ETH adresu.

Vaši odměnu můžeme darovat zavedené charitativní organizaci podle vašeho výběru.

Snažíme se na podání odpovídat co nejrychleji. Vzhledem k nárůstu podání generovaných umělou inteligencí nám prosím dejte až týden na odpověď.

Anonymní podání nebo podání pod pseudonymem je v pořádku, ale ztratíte tím nárok na odměny v ETH/DAI. Abyste měli nárok na odměny v ETH/DAI, požadujeme, abyste zaslali své skutečné jméno a doklad totožnosti, zašifrované pomocí PGP na našem zabezpečeném webu, našemu právnímu týmu v Nadaci Ethereum, který je jediným recenzentem této dokumentace. Darování vaší odměny na charitu nevyžaduje vaši totožnost.

Dejte nám prosím vědět, pokud nechcete, aby se vaše jméno/přezdívka zobrazovala v žebříčku.

Každé nalezené zranitelnosti / problému je přiděleno skóre. Lovci odměn (bounty hunters) jsou v našem žebříčku hodnoceni podle celkového počtu bodů.

Poslední aktualizace stránky: 20. května 2026

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

Byla tato stránka užitečná?