Заявки на участь ще приймаються
Програма винагород за виявлення помилок
Отримайте до 250 000 доларів США та місце в таблиці лідерів, виявляючи помилки протоколів, клієнтів та компіляторів мови, що впливають на мережу Ethereum.
Клієнти, що беруть участь у програмі винагород
У межах дії програми
Наша програма винагород за виявлення помилок охоплює всі аспекти: від надійності протоколів (як-от консенсусна модель блокчейну, протоколи дротового зв’язку та P2P, підтвердження частки володіння тощо) і відповідності протоколу/реалізації до безпеки мережі та цілісності консенсусу. Класичні стандарти безпеки клієнтів, а також безпека криптографічних примітивів також є частиною програми. Якщо ви маєте сумніви, надішліть електронний лист на адресу bounty@ethereum.org і запитайте нас. Крім того, ви можете надіслати повідомлення про розкриття/вразливість безпосередньо на адресу bounty@ethereum.orgopens email client. У цьому разі ми просимо вас зашифрувати повідомлення за допомогою нашого PGP-ключаopens in a new tab
Помилки специфікацій
У специфікаціях Ethereum докладно описано обґрунтування проєктних рішень виконавчого рівня та шару консенсусу.
Специфікації виконавчого рівняopens in a new tab
Було б корисно переглянути такі коментарі:
Типи помилок
- Помилки безпеки / помилки, що порушують завершеність
- Вектори DOS-атак
- Невідповідність у припущеннях, як-от ситуації, коли чесних валідаторів можна скоротити
- Невідповідності в розрахунках або параметрах
Помилки клієнта
Клієнти, які запускають мережу Ethereum, мають дотримуватися логіки, викладеної в специфікації, а також убезпечитися від потенційних атак. Помилки, які ми хочемо знайти, пов’язані з упровадженням протоколу.
Наразі до програми винагород за виявлення помилок залучено клієнтів виконавчого рівня (Besu, Erigon, Geth, Nethermind та Reth) і клієнтів шару консенсусу (Lighthouse, Lodestar, Nimbus, Teku та Prysm). Додавання нових клієнтів відбувається після проходження ними аудиту й завершення підготувань до роботи.
Типи помилок
- Проблеми з невідповідністю специфікації
- Несподівані збої, уразливості віддаленого виконання коду (RCE) або відмови в обслуговуванні (DOS)
- Будь-які проблеми, що ведуть до незворотного від’єднання консенсусу від мережі
Помилки компілятора мови
Компілятори Solidity та Vyper підпадають під дію програми винагород за виявлення помилок. Надайте всю необхідну інформацію для відтворення вразливості, зокрема про: вхідну програму, яка видає помилку, уражену версію компілятора, цільову версію віртуальної машини Ethereum (EVM), фреймворк / інтегроване середовище розробки (IDE), якщо застосовно, середовище/клієнта виконання EVM, якщо застосовно, і операційну систему. Надайте якомога докладніший опис кроків для відтворення знайденої помилки.
Solidity та Vyper не гарантують безпеку компіляції ненадійних вхідних даних, і ми не видаємо винагороди за збої компілятора зі шкідливо згенерованими даними.
Корисні посилання
Помилки депозитного контракту
Специфікації та вихідний код депозитного контракту Beacon Chain є частиною програми винагород за виявлення помилок.
Помилки залежностей
Певні залежності є критично важливими для функціонування мережі Ethereum, і деякі з них додали до програми винагород за виявлення помилок. Поточний список залежностей, що входять до програми винагороди за виявлені помилки: C-KZG-4844 та Go-KZG-4844.
Кваліфікації серйозності вразливостей
Серйозність оцінюється на основі здатності виявленої вразливості виконувати наступне:
Низька серйозність
- Слешинг >0,01% валідаторів
- Легко спричинити розколи мережі, що впливають на >0,01% мережі
- Можливість вивести з ладу >0,01% мережі, надіславши єдиний мережевий пакет або ончейн-транзакцію
Середня серйозність
- Слешинг >1% валідаторів
- Легко спричинити розколи мережі, що впливають на >5% мережі
- Можливість вивести з ладу >5% мережі, надіславши єдиний мережевий пакет або ончейн-транзакцію
Висока серйозність
- Слешинг >33% валідаторів
- Легко спричинити розколи мережі, що впливають на >33% мережі
- Можливість вивести з ладу >33% мережі, надіславши єдиний мережевий пакет або ончейн-транзакцію
Критична серйозність
- Слешинг >50% валідаторів
- Використати помилку EIP/специфікації або клієнта, щоб легко створити нескінченну кількість ETH, яка фіналізується мережею
- Вкрасти ETH з усіх EOA
- Спалити ETH з усіх EOA
- Вивести з ладу всю мережу, надіславши одну зловмисну ончейн-транзакцію, яка призводить до збою всіх клієнтів
За межами дії програми
Лише цілі, перелічені в межах програми, є частиною Програми винагород за виявлення помилок. Уразливості, які НЕ підпадають під дію програми, включають:
- Помилки інфраструктури, як-от вебсторінки, DNS, електронна пошта тощо.*
- Помилки контракту ERC-20*
- Помилки Ethereum Naming Service (ENS) (підтримується фондом ENS)
- Уразливості, які вимагають, щоб користувач публічно відкрив API, як-от JSON-RPC або Beacon API
- Друкарські помилки
- Тести
- DoS-атаки на одного учасника, які вимагають значних зусиль (тривалі, інтенсивні щодо використання ЦП або пропускної здатності та/або потребують більше 1 пакета чи ончейн-транзакції)
- Будь-які загальновідомі проблеми (включаючи дописи на форумах, PR, проблеми на GitHub, коміти, дописи в блогах, публічні повідомлення в Discord тощо)
*Зазвичай вони не входять до програми, однак у таких випадках ми можемо допомогти зв’язатися з постраждалими сторонами, як-от авторами чи біржами
Повідомити про помилку
За кожну знайдену актуальну помилку ви отримуватимете винагороди. Кількість винагород залежатиме від серйозності помилок. Серйозність помилки визначають відповідно до моделі оцінки ризиків OWASP з огляду на вплив на мережу Ethereum і ймовірність. Перегляньте метод OWASPopens in a new tab
EF також надаватиме винагороди з огляду на такі умови:
Якість опису: що чіткіший і зрозуміліший опис помилки ви надасте, то більшу винагороду отримаєте.
Якість відтворюваності: щоб мати право на винагороду, ви маєте надати доказ концепції (Proof of Concept, POC). Додайте тестовий код, сценарії та докладні інструкції. Що простіше відтворити й перевірити вразливість, то вища нагорода.
Якість виправлення, якщо надано: що чіткіше ви опишете спосіб усунення проблеми у надісланих матеріалах, то більшу винагороду отримаєте.
Незначна
До 2000 дол. США
До 1000 балів
Серйозність
- Незначний вплив, помірна ймовірність
- Помірний вплив, низька ймовірність
Приклад
Іноді зловмисник може ввести вузол у стан, який спричиняє видалення однієї атестації з кожних ста, зроблених валідатором
Звичайна
До 10 000 дол. США
До 5000 балів
Серйозність
- Серйозний вплив, низька ймовірність
- Помірний вплив, середня ймовірність
- Низький вплив, висока ймовірність
Приклад
Зловмисник може здійснювати успішні атаки затемнення на вузли з одноранговими ідентифікаторами з 4 провідними нульовими байтами
Серйозна
До 50 000 дол. США
До 10 000 балів
Серйозність
- Серйозний вплив, середня ймовірність
- Помірний вплив, висока ймовірність
Приклад
Зловмисник може успішно розділяти великі частини мережі, а також із легкістю ініціювати виникнення вразливості
Критична
До 250 000 дол. США
До 25 000 балів
Серйозність
- Серйозний вплив, висока ймовірність
Приклад
Зловмисник може успішно провести виконання віддаленого коду у важливому клієнті, а також із легкістю ініціювати виникнення вразливості
Правила пошуку помилок
Програма винагород за виявлення помилок — це експериментальна та дискреційна програма винагород для нашої активної спільноти Ethereum, покликана заохочувати та винагороджувати тих, хто допомагає покращувати платформу. Це не змагання. Ви маєте знати, що ми можемо скасувати програму в будь-який час, а нагороди призначаються на розсуд ради з винагород за пошук помилок Ethereum Foundation. Крім того, ми не можемо видавати нагороди особам, внесеним до санкційних списків, і тим, хто перебуває в країнах із санкційних списків (наприклад, у Північній Кореї, Ірані тощо). Місцеві закони вимагають від нас підтвердження вашої особи. Ви несете відповідальність за сплату всіх податків. Усі нагороди регулюються чинним законодавством. Нарешті, під час тестування ви не маєте порушувати жодного закону або компрометувати будь-які дані, які не належать вам, а також маєте проводити його в локальних тестових мережах.
- Проблеми без доказу концепції (POC) і помилки, про які повідомили інші користувачі або вже знають спеціалісти й фахівці із підтримки роботи клієнтів, не дають права на отримання винагород.
- Публічне розкриття вразливості або повідомлення про неї іншим сторонам без попередньої згоди позбавляє права на винагороду.
- Працівники й підрядники Ethereum Foundation або команди з підтримки роботи клієнтів, залучені до програми винагород, можуть брати в ній участь, проте збиратимуть лише бали та не отримуватимуть грошову винагороду.
- Програма винагород Ethereum враховує низку змінних під час визначення винагород. Відповідність вимогам, бали й усі умови, пов’язані з нагородою, остаточно визначає рада з винагород за виявлення помилок Ethereum Foundation.
Таблиця лідерів програми винагород за виявлення помилок на виконавчому рівні
Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на виконавчому рівні
Таблиця лідерів програми винагород за виявлення помилок на шарі консенсусу
Щоб потрапити до цієї таблиці лідерів, знайдіть помилки на шарі консенсусу
Поширені запитання
Останні оновлення сторінки: 16 лютого 2026 р.
Маєте запитання?
Напишіть нам: bounty@ethereum.orgopens email client