Otevřené pro příspěvky
Program odměn za nalezení chyb
Vydělejte si až 250 000 USD a místo na žebříčku za nalezení chyb v protokolu, klientovi a překladači jazyka, které ovlivňují síť Ethereum.
Klienti uvedení v odměnách
V rozsahu
Náš program odměn za nalezení chyb pokrývá vše od začátku do konce: od spolehlivosti protokolů (jako je model konsensu blockchainu, protokoly pro přenos dat a P2P, proof of stake atd.) a souladu protokolu/implementace až po bezpečnost sítě a integritu konsensu. Součástí programu je také klasická bezpečnost klienta a bezpečnost kryptografických primitiv. V případě pochybností nám napište e-mail na adresu bounty@ethereum.org a zeptejte se nás. Zveřejnění/zranitelnost můžete také odeslat přímo na adresu bounty@ethereum.orgopens email client. V takovém případě vás žádáme, abyste zprávu zašifrovali pomocí našeho klíče PGPopens in a new tab.
Chyby ve specifikacích
Specifikace Etherea podrobně popisují návrh exekuční a konsensuální vrstvy.
Specifikace exekuční vrstvyopens in a new tab
Může být užitečné podívat se na následující vysvětlivky:
Typy chyb
- Chyby bezpečnosti/definitivního poškození
- Vektory odmítnutí služby (DOS)
- Nesrovnalosti v předpokladech, jako jsou situace, kde lze poctivé ověřovatele zkrátit
- Nesrovnalosti výpočtů nebo parametrů
Chyby klientů
Klienti provozují síť Ethereum a musí se řídit logikou stanovenou ve specifikaci a být zabezpečeni proti potenciálním útokům. Chyby, které chceme najít, se týkají implementace protokolu.
V současné době jsou klienti exekuční vrstvy (Besu, Erigon, Geth, Nethermind a Reth) a klienti konsensuální vrstvy (Lighthouse, Lodestar, Nimbus, Teku a Prysm) zahrnuti do programu odměn za nalezení chyb (Bug Bounty Program). Další klienti mohou být přidáni po dokončení auditů a přípravě k produkčnímu nasazení.
Typy chyb
- Specifikace nedodržení závady
- Neočekávané pády, RCE (vzdálené spuštění kódu) nebo zranitelnosti typu odepření služby (DoS)
- Veškeré problémy způsobující neopravitelný konsensus se dělí od zbytku sítě
Chyby v překladačích jazyka
Překladače Solidity a Vyper jsou součástí programu odměn za nalezení chyb. Uveďte prosím všechny podrobnosti potřebné k reprodukci zranitelnosti, jako jsou: vstupní program, který chybu spouští, verze dotčeného překladače, cílová verze EVM, případně framework/IDE, případně prostředí pro spuštění/klienta EVM a operační systém. Popište prosím co nejpodrobněji kroky k reprodukci chyby, kterou jste nalezli.
Solidity a Vyper neposkytují bezpečnostní záruky ohledně kompilace nedůvěryhodného vstupu – a neposkytujeme odměny za pády překladače na škodlivě vygenerovaných datech.
Užitečné odkazy
Chyby depozitního kontraktu
Specifikace a zdrojový kód depozitního kontraktu Beacon Chain jsou součástí programu odměn za nalezení chyb.
Chyby závislostí
Některé závislosti jsou pro fungování sítě Ethereum klíčové a některé z nich byly přidány do programu odměn za nalezení chyb. V současné době seznam závislostí zahrnutých do programu odměn za nalezení chyb obsahuje C-KZG-4844 a Go-KZG-4844.
Kvalifikace závažnosti zranitelnosti
Závažnost se posuzuje na základě schopnosti objevené zranitelnosti provést následující:
Nízká závažnost
- Provést slashing >0,01 % validátorů
- Triviálně způsobit rozdělení sítě ovlivňující >0,01 % sítě
- Být schopen shodit >0,01 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
Střední závažnost
- Provést slashing >1 % validátorů
- Triviálně způsobit rozdělení sítě ovlivňující >5 % sítě
- Být schopen shodit >5 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
Vysoká závažnost
- Provést slashing >33 % validátorů
- Triviálně způsobit rozdělení sítě ovlivňující >33 % sítě
- Být schopen shodit >33 % sítě odesláním jediného síťového paketu nebo transakce na blockchainu
Kritická závažnost
- Provést slashing >50 % validátorů
- Využít chybu v EIP/specifikaci nebo klientovi k snadnému vytvoření nekonečného množství ETH, které je finalizováno sítí
- Ukrást ETH ze všech EOA
- Spálit ETH ze všech EOA
- Shodit celou síť odesláním jediné škodlivé transakce na blockchainu, která způsobí pád všech klientů
Mimo rozsah
Součástí programu odměn za nalezení chyb jsou pouze cíle uvedené v sekci „V rozsahu“. Mezi zranitelnosti, které do programu nespadají, patří:
- Chyby infrastruktury – jako jsou webové stránky, DNS, e-mail atd.*
- Chyby kontraktů ERC-20*
- Chyby Ethereum Naming Service (ENS) (spravované nadací ENS)
- Zranitelnosti vyžadující, aby uživatel veřejně zpřístupnil API, jako je JSON-RPC nebo Beacon API
- Typografické chyby
- Testy
- Útoky DoS na jednoho peera, které vyžadují velké úsilí (trvalé, náročné na CPU nebo šířku pásma a/nebo vyžadují více než 1 paket nebo transakci na blockchainu)
- Jakékoli veřejně známé problémy (zahrnuje příspěvky na fóru, PR, problémy na GitHubu, commity, blogové příspěvky, veřejné zprávy na Discordu atd.)
*Tyto obvykle nejsou zahrnuty, nicméně v takových případech můžeme pomoci kontaktovat dotčené strany, jako jsou autoři nebo burzy
Odešlete chybu
Za každou platnou chybu, kterou najdete, získáte odměnu. Výše odměny se bude lišit v závislosti na závažnosti. Závažnost se vypočítává podle modelu hodnocení rizik OWASP na základě dopadu na síť Ethereum a pravděpodobnosti. Zobrazit OWASP metoduopens in a new tab
Nadace EF bude také poskytovat odměny na základě:
Kvalita popisu: Vyšší odměny jsou placeny za jasné, dobře napsané podání.
Kvalita reprodukovatelnosti: Pro nárok na odměnu musí být přiložen důkaz konceptu (POC). Uveďte prosím testovací kód, skripty a podrobné pokyny. Čím snazší pro nás bude zranitelnost reprodukovat a ověřit, tím vyšší bude odměna.
Kvalita opravy, pokud je zahrnuta: Vyšší odměny se vyplácejí za hlášení s jasným popisem, jak problém opravit.
Nízká
Až 2 000 USD
Až 1000 bodů
Závažnost
- Nízky dopad, střední pravděpodobnost
- Střední dopad, nízká pravděpodobnost
Příklad
Útočník může někdy umístit uzel do stavu, který způsobí, že upustí jeden z každých sto osvědčení vydané ověřovatelem
Střední
Až 10 000 USD
Až do 5000 bodů
Závažnost
- Vysoký dopad, nízká pravděpodobnost
- Střední dopad, střední pravděpodobnost
- Nízky dopad, vysoká pravděpodobnost
Příklad
Útočník může úspěšně provádět eklipse útoky na uzly s peer-ids s 4 předními nulovými bajty
Vysoké
Až 50 000 USD
Až do 10000 bodů
Závažnost
- Vysoký dopad, střední pravděpodobnost
- Střední dopad, vysoká pravděpodobnost
Příklad
Útočník může úspěšně rozdělit velké části sítě a pro útočníka je triviální zranitelnost spustit.
Kritické
Až 250 000 USD
Až do 25000 bodů
Závažnost
- Vysoký dopad, vysoká pravděpodobnost
Příklad
Útočník může úspěšně provést vzdálené spuštění kódu u většinového klienta a pro útočníka je triviální zranitelnost spustit.
Pravidla pro hledání chyb
Program odměn za nalezení chyb je experimentální a diskreční program odměn pro naši aktivní komunitu Etherea, jehož cílem je povzbudit a odměnit ty, kteří pomáhají vylepšovat platformu. Nejedná se o soutěž. Měli byste vědět, že program můžeme kdykoli zrušit a odměny jsou udělovány na základě výhradního uvážení komise pro odměny za nalezení chyb nadace Ethereum. Kromě toho nemůžeme udělovat odměny jednotlivcům, kteří jsou na sankčních seznamech nebo se nacházejí v zemích na sankčních seznamech (např. Severní Korea, Írán atd.). Místní zákony vyžadují, abychom vás požádali o doklad totožnosti. Za veškeré daně nesete odpovědnost vy. Všechny odměny podléhají platným zákonům. A konečně, vaše testování nesmí porušovat žádné zákony ani ohrozit žádná data, která vám nepatří, a musí probíhat na lokálně spuštěných testovacích sítích.
- Problémy bez POC (důkazu konceptu), které již byly odeslány jiným uživatelem nebo jsou již známé správcům specifikací a klientů, nemají nárok na odměnu.
- Veřejné zveřejnění zranitelnosti nebo její nahlášení jiným stranám bez předchozí dohody způsobuje ztrátu nároku na odměnu.
- Zaměstnanci a dodavatelé nadace Ethereum nebo týmů klientů v rámci programu odměn se mohou programu účastnit pouze v rámci sbírání bodů a neobdrží peněžní odměny.
- Ethereum Bounty program zvažuje řadu proměnných v určení odměn. Vymezení způsobilosti, skóre a všech podmínek souvisejících s přidělením jsou podle vlastního a konečného uvážení Ethereum Foundation panelu odměn za chyby.
Žebříček odměn za nalezení chyb v exekuční vrstvě
Najděte chyby v exekuční vrstvě a dostaňte se na tento žebříček
Žebříček odměn za nalezení chyb v konsensuální vrstvě
Najděte chyby v konsensuální vrstvě a dostaňte se na tento žebříček
Často kladené dotazy
Stránka naposledy aktualizována: 16. února 2026
Otázky?
Napište nám: bounty@ethereum.orgopens email client