Anunciando el Programa de Recompensas por Errores de Seguridad de Soroban

Soroban es una plataforma de contratos inteligentes escrita en Rust que se está construyendo para integrarse y funcionar junto a la blockchain de Stellar. Actualmente está en su octava versión preliminar en la red de prueba compartida llamada Futurenet, con planes de lanzamiento en Mainnet más adelante este año. Soroban está en una etapa crucial de desarrollo, con la congelación del código a solo un par de meses de distancia. Ahora es un momento ideal para encontrar vulnerabilidades, incluso si son cambios que rompen, ya que es más fácil parchear y modificar el código antes de que las cosas se bloqueen.

Los hackers son bienvenidos a profundizar en el SDK de Rust, entorno de contrato, servidor CLI y RPC, puente de Rust de stellar-core, y otros objetivos en su búsqueda de errores y fallos de seguridad. Las vulnerabilidades fuera de alcance son ataques de fuerza bruta contra instancias públicas de Stellar (como Horizon y RPC), ataques DoS y DDoS, ejecución de código remoto en el DEX de Stellar (aunque esto se puede informar en el actual programa de recompensas por errores de Stellar), y más. Consulta la página de HackerOne para obtener una lista completa de objetivos dentro del alcance y información adicional sobre las presentaciones aceptadas.

Y recuerda que Soroban es una plataforma de contratos inteligentes. Aunque los desarrolladores de contratos inteligentes (y cualquier otra persona) pueden participar en el programa de recompensas por errores, los hackers con experiencia más avanzada en escape de sandbox del navegador, código de bajo nivel como WebAssembly (en lo que se compilan los contratos de Soroban), y un entendimiento de la gestión de memoria, instrumentación de código, ejecución simbólica, probablemente tendrán más éxito.

La cantidad de la recompensa por cada error se determina usando una combinación de la Metodología de Clasificación de Riesgo de OWASP y la calidad de la presentación. El método OWASP proporciona pautas para juzgar la gravedad de un error, teniendo en cuenta su probabilidad, impacto y reproducibilidad. Evaluar estos factores asegura que las cantidades de las recompensas correspondan a los riesgos potenciales planteados por las vulnerabilidades identificadas. Simultáneamente, la calidad de una presentación se mide por descripciones detalladas de tu descubrimiento con pasos claros, concisos y reproducibles o una prueba de concepto funcional.

Las recompensas comenzarán estando limitadas a un valor de $50k en USD para las vulnerabilidades más críticas. A medida que Soroban madure y se acerque el lanzamiento en Mainnet, los errores se volverán más complejos, lo que puede hacer que las recompensas crezcan para igualar esa complejidad.

Los hackers recibirán una recompensa por un error solo si son los primeros en informarlo. Dada la naturaleza pública de las blockchains, es posible que alguien más encuentre el mismo error y lo informe antes que tú. Por lo tanto, ¡asegúrate de ser diligente y rápido al informar vulnerabilidades!

Los hackers de recompensas por errores juegan un papel crucial en la construcción de sistemas más seguros y protegidos para todos, algo vital para el éxito de una plataforma. Así que sumérgete, comparte tus hallazgos y ayuda a contribuir al desarrollo continuo de Soroban. Mantén un ojo en la página de HackerOne para fechas importantes, información actualizada sobre recompensas y detalles sobre cómo enviar vulnerabilidades.

Aunque el nuevo programa de recompensas por errores se centra únicamente en Soroban por ahora, nos encantaría eventualmente expandir el alcance a otros sistemas de código abierto como Horizon y Stellar Core. Nos aseguraremos de mantenerte al día sobre todo lo relacionado con las recompensas por errores a medida que el programa continúe evolucionando.

¡Feliz caza!