Offen für Einreichungen
Bug-Bounty-Programm
Verdienen Sie bis zu 1.000.000 USD und einen Platz auf der Bestenliste, indem Sie Protokoll-, Client- und Sprach-Compiler-Bugs finden, die das Ethereum-Netzwerk betreffen.
In den Bounties berücksichtigte Clients
Im Geltungsbereich
Unser Bug-Bounty-Programm erstreckt sich von Anfang bis Ende: von der Solidität der Protokolle (wie dem Blockchain-Konsensmodell, den Wire- und P2P-Protokollen, Proof-of-Stake usw.) und der Protokoll-/Implementierungskonformität bis hin zur Netzwerksicherheit und Konsensintegrität. Klassische Client-Sicherheit sowie die Sicherheit kryptografischer Primitive sind ebenfalls Teil des Programms. Alle Bug-Offenlegungen und Schwachstellen-Einreichungen müssen über unser Bug-Einreichungsformular (opens in a new tab) erfolgen.
Spezifikations-Bugs
Die Ethereum-Spezifikationen detaillieren die Design-Grundlagen für die Ausführungsebene und die Konsensebene.
Ausführungsebene-Spezifikationen (opens in a new tab)
Es könnte hilfreich sein, sich die folgenden Anmerkungen anzusehen:
Arten von Bugs
- Sicherheits-/Finalität-brechende Bugs
- Denial-of-Service-Vektoren (DOS)
- Inkonsistenzen in Annahmen, wie Situationen, in denen ehrliche Validatoren geslasht werden können
- Berechnungs- oder Parameterinkonsistenzen
Client-Bugs
Clients betreiben das Ethereum-Netzwerk und müssen der in der Spezifikation festgelegten Logik folgen sowie sicher vor potenziellen Angriffen sein. Die Bugs, die wir finden möchten, beziehen sich auf die Implementierung des Protokolls.
Derzeit sind Ausführungsebene-Clients (Besu, Erigon, Geth, Nethermind und Reth) und Konsensebene-Clients (Lighthouse, Lodestar, Nimbus, Teku und Prysm) im Bug-Bounty-Programm enthalten.
Arten von Bugs
- Probleme bei der Nichteinhaltung der Spezifikation
- Unerwartete Abstürze, RCE- oder Denial-of-Service-Schwachstellen (DOS)
- Jegliche Probleme, die irreparable Konsens-Spaltungen vom Rest des Netzwerks verursachen
Hilfreiche Links
Sprach-Compiler-Bugs
Die Compiler für Solidity und Vyper fallen in den Geltungsbereich des Bug-Bounty-Programms. Bitte geben Sie alle Details an, die zur Reproduktion der Schwachstelle erforderlich sind, wie z. B.: Eingabeprogramm, das den Bug auslöst, betroffene Compiler-Version, Ziel-EVM-Version, Framework/IDE (falls zutreffend), EVM-Ausführungsumgebung/-Client (falls zutreffend) und Betriebssystem. Bitte fügen Sie die Schritte zur Reproduktion des gefundenen Bugs so detailliert wie möglich bei.
Solidity und Vyper bieten keine Sicherheitsgarantien bezüglich der Kompilierung nicht vertrauenswürdiger Eingaben – und wir vergeben keine Belohnungen für Abstürze des Compilers bei böswillig generierten Daten.
Hilfreiche Links
Einzahlungsvertrag-Bugs
Die Spezifikationen und der Quellcode des Beacon Chain-Einzahlungsvertrags sind Teil des Bug-Bounty-Programms.
Abhängigkeits-Bugs
Bestimmte Abhängigkeiten sind für das Funktionieren des Ethereum-Netzwerks entscheidend, und einige davon wurden in das Bug-Bounty-Programm aufgenommen. Derzeit umfasst die Liste der im Bug-Bounty-Programm enthaltenen Abhängigkeiten C-KZG-4844 und Go-KZG-4844.
Nicht im Geltungsbereich
Nur die unter 'Im Geltungsbereich' aufgeführten Ziele sind Teil des Bug-Bounty-Programms. Schwachstellen, die sich NICHT für das Programm qualifizieren, umfassen:
- ✕Infrastruktur-Bugs – wie Webseiten, DNS, E-Mail usw.*
- ✕ERC-20-Contract-Bugs*
- ✕Ethereum Naming Service (ENS)-Bugs (gepflegt von der ENS Foundation)
- ✕Schwachstellen, die erfordern, dass der Benutzer eine API öffentlich zugänglich gemacht hat, wie z. B. JSON-RPC oder die Beacon-API
- ✕Tippfehler
- ✕Tests
- ✕Aufwendige (anhaltende, CPU- oder bandbreitenintensive und/oder mehr als 1 Paket oder Transaktion auf der Blockchain erfordernde) Single-Peer-DoS-Angriffe
- ✕Alle öffentlich bekannten Probleme (einschließlich Forenbeiträge, PRs, GitHub-Issues, Commits, Blogbeiträge, öffentliche Discord-Nachrichten usw.)
- ✕Alles, was derzeit keine direkten Auswirkungen auf das Ethereum-Mainnet hat.
*Diese sind nicht inbegriffen, wir können jedoch manchmal dabei helfen, betroffene Parteien zu kontaktieren
Regeln für die Bug-Suche
Das Bug-Bounty-Programm ist ein experimentelles und freiwilliges Belohnungsprogramm für unsere aktive Ethereum-Community, um diejenigen zu ermutigen und zu belohnen, die zur Verbesserung der Plattform beitragen. Es ist kein Wettbewerb. Sie sollten wissen, dass wir das Programm jederzeit abbrechen können und die Vergabe von Prämien im alleinigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation liegt. Darüber hinaus können wir keine Prämien an Personen vergeben, die auf Sanktionslisten stehen oder sich in Ländern befinden, die auf Sanktionslisten stehen (z. B. Nordkorea, Iran usw.). Lokale Gesetze verlangen von uns, einen Identitätsnachweis anzufordern. Sie sind für alle Steuern verantwortlich. Alle Prämien unterliegen dem geltenden Recht. Schließlich dürfen Ihre Tests nicht gegen Gesetze verstoßen oder Daten gefährden, die nicht Ihnen gehören, und müssen auf lokal laufenden Testnets stattfinden.
- 1Probleme ohne einen POC oder solche, die bereits von einem anderen Benutzer eingereicht wurden oder den Spezifikations- und Client-Betreuern bereits bekannt sind, haben keinen Anspruch auf Bounty-Belohnungen.
- 2Die öffentliche Offenlegung einer Schwachstelle oder die Meldung an andere Parteien ohne vorherige Zustimmung führt zum Ausschluss von einer Bounty.
- 3Mitarbeiter und Auftragnehmer der Ethereum Foundation, Stipendiaten der Ethereum Foundation oder Client-Teams, die in den Geltungsbereich des Bounty-Programms fallen, dürfen nur zum Sammeln von Punkten am Programm teilnehmen und erhalten keine finanziellen Belohnungen.
- 4Das Ethereum-Bounty-Programm berücksichtigt bei der Festlegung von Belohnungen eine Reihe von Variablen. Die Feststellung der Berechtigung, der Punktzahl und aller Bedingungen im Zusammenhang mit einer Prämie liegt im alleinigen und endgültigen Ermessen des Bug-Bounty-Gremiums der Ethereum Foundation.
Qualifikationen für den Schweregrad von Schwachstellen
Der Schweregrad wird basierend auf der einzigartigen Fähigkeit jeder entdeckten Schwachstelle bewertet, Folgendes zu tun:
- >0,01 % der Validatoren slashen
- Trivial Netzwerkspaltungen verursachen, die >0,01 % des Netzwerks betreffen
- In der Lage sein, >0,01 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Transaktion auf der Blockchain lahmzulegen
- >1 % der Validatoren slashen
- Trivial Netzwerkspaltungen verursachen, die >5 % des Netzwerks betreffen
- In der Lage sein, >5 % des Netzwerks durch das Senden eines einzigen Netzwerkpakets oder einer Transaktion auf der Blockchain lahmzulegen
- >33 % der Validatoren slashen
- Trivial Netzwerkspaltungen verursachen, die >33 % des Netzwerks betreffen
- In der Lage sein, >33 % des Netzwerks durch das Senden einer einzigen Transaktion auf der Blockchain lahmzulegen
- >50 % der Validatoren slashen
- Einen EIP-/Spezifikations- oder Client-Bug ausnutzen, um problemlos eine unendliche Menge an ETH zu erstellen, die vom Netzwerk finalisiert wird
- ETH stehlen von allen EOAs
- ETH verbrennen von allen EOAs
- Das gesamte Netzwerk lahmlegen durch das Senden einer einzigen bösartigen Transaktion auf der Blockchain, die zum Absturz aller Clients führt
Einen Bug einreichen
Kritisch
Bis zu 1.000.000 USD
Bis zu 25.000 Punkte
Bug mit kritischem Risiko einreichen (opens in a new tab)Ausführungsebene-Bug-Bounty-Bestenliste
Finden Sie Ausführungsebene-Bugs, um in diese Bestenliste aufgenommen zu werden
Konsensebene-Bug-Bounty-Bestenliste
Finden Sie Konsensebene-Bugs, um in diese Bestenliste aufgenommen zu werden
Häufig gestellte Fragen
Letzte Aktualisierung der Seite: 26. Februar 2026
