Thanks to visit codestin.com
Credit goes to ethereum.org

Zum Hauptinhalt springen

Offen für Einreichungen

Bug-Bounty-Programm 

Verdienen Sie bis zu 1.000.000 USD und einen Platz auf der Bestenliste, indem Sie Protokoll-, Client- und Sprach-Compiler-Bugs finden, die das Ethereum-Netzwerk betreffen.

Einen Bug melden (opens in a new tab)Regeln lesen
Vollständige Bestenlisten ansehen

Im Bug-Bounty-Programm enthaltene Clients

item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo
item-logo

Im Geltungsbereich

Unser Bug-Bounty-Programm erstreckt sich von Anfang bis Ende: von der Solidität der Protokolle (wie dem Blockchain-Konsensmodell, den Wire- und Peer-to-Peer-Protokollen, Proof-of-Stake usw.) und der Protokoll-/Implementierungskonformität bis hin zur Netzwerksicherheit und Konsensintegrität. Klassische Client-Sicherheit sowie die Sicherheit kryptografischer Primitive sind ebenfalls Teil des Programms. Alle Bug-Offenlegungen und Schwachstellenmeldungen müssen über unser Bug-Meldeformular (opens in a new tab) erfolgen.

Spezifikations-Bugs

Die Ethereum-Spezifikationen detaillieren die Entwurfsprinzipien für die Ausführungsschicht und die Konsensschicht.

Es könnte hilfreich sein, sich die folgenden Anmerkungen anzusehen:

Arten von Bugs

  • Bugs, die die Sicherheit/Endgültigkeit brechen
  • Denial-of-Service-Vektoren (DOS)
  • Inkonsistenzen in Annahmen, wie Situationen, in denen ehrliche Validatoren einem Slashing unterzogen werden können
  • Berechnungs- oder Parameterinkonsistenzen

Spezifikationsdokumente

Beacon Chain (opens in a new tab)
Fork-Auswahl (opens in a new tab)
Solidity-Einzahlungsvertrag (opens in a new tab)
Peer-to-Peer-Netzwerk (opens in a new tab)

Client-Bugs

Clients betreiben das Ethereum-Netzwerk und müssen der in der Spezifikation festgelegten Logik folgen sowie sicher gegen potenzielle Angriffe sein. Die Bugs, die wir finden möchten, beziehen sich auf die Implementierung des Protokolls.

Derzeit sind Clients der Ausführungsschicht (Besu, Erigon, Geth, Nethermind und Reth) und Clients der Konsensschicht (Lighthouse, Lodestar, Nimbus, Teku und Prysm) im Bug-Bounty-Programm enthalten.

Arten von Bugs

  • Probleme bei der Einhaltung der Spezifikation
  • Unerwartete Abstürze, RCE- oder Denial-of-Service-Schwachstellen (DOS)
  • Jegliche Probleme, die irreparable Konsens-Splits vom Rest des Netzwerks verursachen

Hilfreiche Links

Besu (opens in a new tab)
Erigon (opens in a new tab)
Geth (opens in a new tab)
Lighthouse (opens in a new tab)
Lodestar (opens in a new tab)
Nimbus (opens in a new tab)
Nethermind (opens in a new tab)
Prysm (opens in a new tab)
Reth (opens in a new tab)
Teku (opens in a new tab)
Grandine (opens in a new tab)

Sprach-Compiler-Bugs

Die Compiler für Solidity und Vyper fallen in den Geltungsbereich des Bug-Bounty-Programms. Bitte fügen Sie alle Details bei, die zur Reproduktion der Schwachstelle erforderlich sind, wie z. B.: Eingabeprogramm, das den Bug auslöst, betroffene Compiler-Version, Ziel-EVM-Version, Framework/IDE (falls zutreffend), EVM-Ausführungsumgebung/Client (falls zutreffend) und Betriebssystem. Bitte geben Sie die Schritte zur Reproduktion des gefundenen Bugs so detailliert wie möglich an.

Solidity und Vyper bieten keine Sicherheitsgarantien bezüglich der Kompilierung nicht vertrauenswürdiger Eingaben – und wir vergeben keine Belohnungen für Abstürze des Compilers bei böswillig generierten Daten.

Hilfreiche Links

Solidity (opens in a new tab)
Vyper (opens in a new tab)

Einzahlungsvertrag-Bugs

Die Spezifikationen und der Quellcode des Beacon Chain-Einzahlungsvertrags sind Teil des Bug-Bounty-Programms.

Hilfreiche Links

Abhängigkeits-Bugs

Bestimmte Abhängigkeiten sind für das Funktionieren des Ethereum-Netzwerks entscheidend, und einige davon wurden in das Bug-Bounty-Programm aufgenommen. Derzeit umfasst die Liste der im Bug-Bounty-Programm enthaltenen Abhängigkeiten C-KZG-4844 und Go-KZG-4844.

Hilfreiche Links

Nicht im Geltungsbereich

Nur die unter „Im Geltungsbereich“ aufgeführten Ziele sind Teil des Bug-Bounty-Programms. Schwachstellen, die sich NICHT für das Programm qualifizieren, umfassen:

  • Infrastruktur-Bugs – wie Webseiten, DNS, E-Mail usw.*
  • ERC-20-Vertrags-Bugs*
  • Ethereum Naming Service (ENS)-Bugs (gepflegt von der ENS Foundation)
  • Schwachstellen, die erfordern, dass der Benutzer eine API öffentlich zugänglich gemacht hat, wie z. B. JSON-RPC oder die Beacon-API
  • EngineAPI gilt als vertrauenswürdig und ist nicht dafür gedacht, öffentlich zugänglich gemacht zu werden
  • Tippfehler
  • Tests
  • Aufwendige (anhaltende, CPU- oder bandbreitenintensive und/oder mehr als 1 Paket oder Onchain-Transaktion erfordernde) Single-Peer-DoS-Angriffe
  • Alle öffentlich bekannten Probleme (einschließlich Forenbeiträge, PRs, GitHub-Issues, Commits, Blogbeiträge, öffentliche Discord-Nachrichten usw.)
  • Alles, was derzeit keine direkten Auswirkungen auf das Ethereum Mainnet hat.

*Diese sind nicht inbegriffen, wir können jedoch manchmal dabei helfen, betroffene Parteien zu kontaktieren

Regeln für die Bug-Suche

Das Bug-Bounty-Programm ist ein experimentelles und freiwilliges Belohnungsprogramm für unsere aktive Ethereum-Community, um diejenigen zu ermutigen und zu belohnen, die zur Verbesserung der Plattform beitragen. Es ist kein Wettbewerb. Sie sollten wissen, dass wir das Programm jederzeit abbrechen können und die Vergabe von Belohnungen im alleinigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation liegt. Darüber hinaus können wir keine Belohnungen an Personen vergeben, die auf Sanktionslisten stehen oder sich in Ländern befinden, die auf Sanktionslisten stehen (z. B. Nordkorea, Iran usw.). Lokale Gesetze verlangen von uns, einen Identitätsnachweis anzufordern. Sie sind für alle Steuern verantwortlich. Alle Belohnungen unterliegen dem geltenden Recht. Schließlich dürfen Ihre Tests nicht gegen Gesetze verstoßen oder Daten gefährden, die nicht Ihnen gehören, und müssen auf lokal ausgeführten Testnets stattfinden.

  1. 1Probleme ohne einen POC (Proof of Concept) oder solche, die bereits von einem anderen Benutzer eingereicht wurden oder den Spezifikations- und Client-Betreuern bereits bekannt sind, haben keinen Anspruch auf Bug-Bounty-Belohnungen.
  2. 2Die öffentliche Offenlegung einer Schwachstelle oder die Meldung an Dritte ohne vorherige Zustimmung führt zum Ausschluss von einer Belohnung.
  3. 3Mitarbeiter und Auftragnehmer der Ethereum Foundation, Stipendiaten der Ethereum Foundation oder Client-Teams, die in den Geltungsbereich des Bug-Bounty-Programms fallen, dürfen nur zum Sammeln von Punkten am Programm teilnehmen und erhalten keine finanziellen Belohnungen.
  4. 4Das Ethereum-Bug-Bounty-Programm berücksichtigt bei der Festlegung von Belohnungen eine Reihe von Variablen. Die Bestimmung der Berechtigung, der Punktzahl und aller Bedingungen im Zusammenhang mit einer Belohnung liegt im alleinigen und endgültigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation.

Einstufung des Schweregrads von Schwachstellen

Der Schweregrad wird basierend auf der spezifischen Fähigkeit jeder entdeckten Schwachstelle bewertet, Folgendes zu tun:

Niedriger Schweregrad
  • Slashing von >0,01 % der Validatoren
  • Triviales Verursachen von Netzwerk-Splits, die >0,01 % des Netzwerks betreffen
  • In der Lage sein, >0,01 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Onchain-Transaktion lahmzulegen
Mittlerer Schweregrad
  • Slashing von >1 % der Validatoren
  • Triviales Verursachen von Netzwerk-Splits, die >5 % des Netzwerks betreffen
  • In der Lage sein, >5 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Onchain-Transaktion lahmzulegen
Hoher Schweregrad
  • Slashing von >33 % der Validatoren
  • Triviales Verursachen von Netzwerk-Splits, die >33 % des Netzwerks betreffen
  • In der Lage sein, >33 % des Netzwerks durch das Senden einer einzigen Onchain-Transaktion lahmzulegen
Kritischer Schweregrad
  • Slashing von >50 % der Validatoren
  • Ausnutzen eines EIPs/Spezifikations- oder Client-Bugs, um auf einfache Weise eine unendliche Menge an ETH zu erstellen, die durch das Netzwerk endgültig gemacht wird
  • ETH stehlen von allen EOAs
  • ETH verbrennen von allen EOAs
  • Das gesamte Netzwerk lahmlegen durch das Senden einer einzigen bösartigen Onchain-Transaktion, die zum Absturz aller Clients führt

Einen Bug melden

Bis zu 2.000 USD

Gering

Bis zu 2.000 USD

Bis zu 1.000 Punkte

Bug mit geringem Risiko melden (opens in a new tab)
Bis zu 10.000 USD

Mittel

Bis zu 10.000 USD

Bis zu 5.000 Punkte

Bug mit mittlerem Risiko melden (opens in a new tab)
Bis zu 50.000 USD

Hoch

Bis zu 50.000 USD

Bis zu 10.000 Punkte

Bug mit hohem Risiko melden (opens in a new tab)
Bis zu 1.000.000 USD

Kritisch

Bis zu 1.000.000 USD

Bis zu 25.000 Punkte

Bug mit kritischem Risiko melden (opens in a new tab)

Bestenliste des Ausführungsschicht-Bug-Bounty-Programms

Finden Sie Bugs in der Ausführungsschicht, um in diese Bestenliste aufgenommen zu werden

Bestenliste des Konsensschicht-Bug-Bounty-Programms

Finden Sie Bugs in der Konsensschicht, um in diese Bestenliste aufgenommen zu werden

Häufig gestellte Fragen

Derzeit ist kein Enddatum festgelegt. Siehe den Blog der Ethereum Foundation (opens in a new tab) für die neuesten Nachrichten.

Belohnungen werden in ETH oder DAI ausgezahlt, nachdem die Einreichung validiert wurde, normalerweise ein paar Tage später. Lokale Gesetze verlangen von uns, einen Identitätsnachweis anzufordern. Zusätzlich benötigen wir deine ETH-Adresse.

Wir können deine Belohnung an eine anerkannte wohltätige Organisation deiner Wahl spenden.

Wir bemühen uns, so schnell wie möglich auf Einreichungen zu antworten. Aufgrund der Zunahme von KI-Einreichungen kann es jedoch bis zu einer Woche dauern, bis wir auf deine Einreichung antworten.

Eine anonyme Einreichung oder die Verwendung eines Pseudonyms ist in Ordnung, schließt dich jedoch von ETH/DAI-Belohnungen aus. Um für ETH/DAI-Belohnungen in Frage zu kommen, benötigen wir deinen echten Namen und einen Identitätsnachweis. Diese müssen mit PGP verschlüsselt über unsere sichere Drop-Website an das Rechtsteam der Ethereum Foundation gesendet werden, welches als einziges die Dokumentation überprüft. Wenn du deine Prämie an eine wohltätige Organisation spendest, ist kein Identitätsnachweis erforderlich.

Bitte lass uns wissen, falls du nicht möchtest, dass dein Name/Spitzname auf der Bestenliste angezeigt wird.

Jeder gefundenen Schwachstelle / jedem Problem wird eine Punktzahl zugewiesen. Bug-Bounty-Jäger werden auf unserer Bestenliste nach Gesamtpunktzahl eingestuft.

Letzte Aktualisierung der Seite: 20. Mai 2026

corwintinesc (opens in a new tab)
fredrik0xf (opens in a new tab)
JoeChenJJ (opens in a new tab)
+6

War diese Seite hilfreich?