Ethereum Foundation подняла максимальное вознаграждение за критические ошибки с $250 000 до $1 000 000. Повышение постоянное, а не временное. В 2022 году перед обновлением The Merge (переход на доказательство доли) миллион действовал лишь две недели, сейчас это базовый максимум программы. Объявление сделал Фредрик Свантес (Fredrik Svantes), руководитель направления безопасности протокола Ethereum Foundation.
Миллионное вознаграждение предусмотрено только за критические ошибки. Ethereum Foundation определяет критичность по четырём условиям. Ошибка затрагивает более 50% валидаторов сети, позволяет выпустить неограниченное количество ETH, даёт возможность красть ETH из кошельков. Или обрушивает всю сеть одной вредоносной транзакцией, которая приведёт к падению всех клиентов. Менее серьёзные ошибки оцениваются до $50 000.
Читайте также: Обзор уязвимостей 16 марта 2026: два выхода из песочницы Chrome, цепочка в Unraid и SQL-инъекция в ИИ-платформе
Программа охватывает десять клиентских реализаций Ethereum. Пять для уровня исполнения (Execution Layer, отвечает за обработку транзакций) включают Besu, Erigon, Geth, Nethermind и Reth. Пять для уровня консенсуса (Consensus Layer, отвечает за согласование состояния сети) включают Lighthouse, Lodestar, Nimbus, Teku и Prysm. В область покрытия входят компиляторы Solidity и Vyper, модель консенсуса, одноранговые сетевые протоколы и криптографические примитивы. Выплаты производятся в ETH или стейблкоине DAI.
Исследователи получают не только деньги, но и баллы в двух рейтингах. Рейтинг уровня исполнения возглавляют Мартин Хольст Свенде (Martin Holst Swende, 64 500 баллов) и Гидо Вранкен (Guido Vranken, 35 200). Третью строку занимает Сэм Сан (Sam Sun, 35 000). Лидер рейтинга уровня консенсуса Протоламбда (Protolambda) набрал 42 400 баллов.
$1 млн стал нормой, а не акцией.
Ethereum Foundation уже применяла временные множители перед крупными обновлениями. В августе 2022 года перед The Merge действовал четырёхкратный множитель ($1 млн за критические ошибки) на две недели. В марте 2023 перед обновлением Shapella действовал двукратный ($500 000). Текущее повышение отличается принципиально.
Читайте также: Налоговая служба Южной Кореи случайно опубликовала сид-фразу от конфискованного криптокошелька, с него тут же украли $4,8 млн
Решение вписывается в серию инициатив по укреплению безопасности Ethereum. В 2025 году фонд провёл конкурс с призовым фондом $2 млн за ошибки в коде обновления Fusaka. В январе 2026 года запущен DAO Security Fund на $220 млн. Средства взяты из невостребованных фондов после взлома The DAO 2016 года ($60 млн на тот момент). В феврале 2026 прошёл Trillion Dollar Security Day, рабочая сессия команды Свантеса и Джоша Старка (Josh Stark). На ней определили девять категорий критических рисков для сети, от квантовых вычислений до атак на веб-интерфейсы.
Огромная благодарность Ethereum Foundation за ответственную работу над проблемой и предоставление вознаграждения $50 000, максимальной награды для уровня высокой критичности.
— Trust Security, февраль 2026 года, об уязвимости в ERC-4337
Программа приносит результаты. В феврале 2026 года компания Trust Security обнаружила ошибку высокой критичности в стандарте ERC-4337, описывающем абстракцию аккаунтов (account abstraction, программируемые транзакции). Разработчики предполагали, что все транзакции этого типа выполняются изолированно. Ошибочное допущение открывало путь для цензурирования транзакций. Ethereum Foundation выплатила $50 000, а проекты децентрализованных финансов (DeFi), использующие ERC-4337, добавили ещё $59 500. Ошибку исправили.
Постоянный миллион, а не акция на две недели перед обновлением, меняет экономику поиска ошибок. Когда исследователь знает, что награда не уменьшится после конкретной даты, он может тратить месяцы на глубокий аудит клиентов вместо спринта перед дедлайном. В 2021 году ошибка в клиенте Geth расколола более 50% узлов сети. Именно за ошибки такого масштаба теперь платят $1 млн.
— Адриан Ванс, Редакция AnonHaven
В криптоиндустрии $1 млн не рекорд. MakerDAO в 2022 году предлагал до $10 млн, Wormhole выплатил $10 млн за реальную ошибку, Aurora заплатила $6 млн. За пределами блокчейна Apple предлагает до $2 млн за уязвимости ядра, Google Chrome платит максимум $250 000 за выход из песочницы. Для протокольного уровня Layer 1 (базовый блокчейн) постоянный максимум $1 млн входит в число крупнейших предложений.
Полные правила программы опубликованы на ethereum.org/bug-bounty. Сотрудники и подрядчики Ethereum Foundation участвовать в денежных выплатах не могут, только набирать баллы в рейтинге.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
