Subvenciones y Financiación

Programa de Recompensas por Bugs

El Programa de Recompensas por Bugs de Stellar ofrece recompensas por vulnerabilidades y exploits descubiertos en el protocolo de Stellar o cualquiera de los códigos en nuestros repositorios. Reconocemos la importancia de nuestra comunidad y los investigadores de seguridad en ayudar a identificar bugs y problemas. Fomentamos la divulgación responsable de vulnerabilidades de seguridad a través de nuestro programa de recompensas por bugs descrito en esta página.

Divulgación Responsable

Estamos en ello.

Nuestro equipo de desarrollo tiene hasta 90 días para implementar una solución basada en la gravedad del informe. Por favor, permite que este proceso se complete totalmente antes de divulgar públicamente la vulnerabilidad.

Programas

Presentar un informe de error

Stellar Development Foundation se ha asociado con estas plataformas de recompensas por errores confiables para asegurar que los informes se manejen de manera justa y oportuna. Los modelos de pago varían basados en la gravedad/impacto. Por favor, consulta las estructuras de pago admitidas en Immunefi y HackerOne términos.

  • Intenta incluir tanta información en tu informe como puedas, incluyendo una descripción del error, su impacto potencial y pasos para reproducirlo o prueba de concepto
  • Por favor, permite 3 días hábiles para que respondamos antes de enviar otro correo electrónico

Por favor, consulta el sistema de clasificación de puntos de Immunefi aquí.

HackerOne

Hay dos recompensas de Immunefi apoyadas por Stellar Development Foundation.

Recompensa Stellar

Identifica vulnerabilidades relacionadas con la red Stellar o la tecnología central de contratos inteligentes de Soroban.

Recompensa de Contratos OpenZeppelin Stellar

Identifica vulnerabilidades relacionadas con las herramientas de desarrollo y los estándares de contrato de OpenZeppelin.

Identifica vulnerabilidades en las aplicaciones web y dominios de la red Stellar.

HackerOne

Elegibilidad

En general, cualquier error que represente una vulnerabilidad significativa para la seguridad o integridad de la red Stellar podría ser elegible para una recompensa. Sin embargo, es completamente a nuestra discreción decidir si un error es lo suficientemente significativo como para ser elegible para una recompensa.

En general, cualquier cosa que tenga el potencial de pérdida financiera o violación de datos es de suficiente gravedad, incluyendo:

  • Errores de implementación que pueden llevar a pérdida financiera
  • Acceso a nuestros servidores de producción
  • Ejecución Remota de Código
  • Errores de protocolo
  • Error de caída en Stellar Core o Horizon (por ejemplo, un error que puede colapsar la app enviando una solicitud especial, no enviando miles de solicitudes)

Excepciones

En general, lo siguiente no cumpliría con el umbral de gravedad:

  • Vulnerabilidades de 0-day recientemente divulgadas
  • Vulnerabilidades en sitios alojados por terceros a menos que conduzcan a una vulnerabilidad en el sitio principal
  • Vulnerabilidades contingentes a ataques físicos, ingeniería social, spamming, ataques DDOS, etc
  • Vulnerabilidades que afectan navegadores obsoletos o sin parches
  • Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Stellar
  • Errores que no han sido investigados y reportados de manera responsable
  • Errores ya conocidos por nosotros, o ya reportados por alguien más (la recompensa va al primer reportador)
  • Problemas que no son reproducibles
  • Problemas sobre los que razonablemente no se espera que hagamos algo

Gravedad

¿Qué tan Serio Es?

La gravedad de un error, es decir, cuántos participantes en la red Stellar se ven afectados, se toma en consideración al decidir la cantidad de la recompensa por errores. Por ejemplo, un exploit que depende de un error de implementación en stellar-core afecta a la red en su conjunto y muy profundamente. No hay implementaciones alternativas de stellar-core y por lo tanto, un pago que afecta a stellar-core pagaría más que, por ejemplo, un error XSS.

Elegibilidad

Directrices de Recompensas para Participar

El Comité de Subvenciones para Investigación y Desarrollo (“I+D”) de Stellar Development Foundation (“SDF”) solo considerará las presentaciones de recompensas que cumplan con los siguientes criterios de elegibilidad, así que por favor lee estas directrices antes de enviar materiales al Programa de Recompensas de SDF.

1. Elegibilidad

1.1 El Programa de Recompensas solo está abierto a: (a) Individuos Elegibles, como se define en la Sección 1.3 a continuación; (b) equipos de Individuos Elegibles (“Equipos”); y (c) organizaciones (por ejemplo, corporaciones, compañías de responsabilidad limitada, sociedades y otras entidades corporativas) que consisten en Individuos Elegibles y que están debidamente organizadas o incorporadas y en buen estado en el momento de la presentación (“Organizaciones”). Individuos Elegibles, Equipos y Organizaciones se denominan colectivamente aquí como “Participantes”.

1.2 Cuando un Equipo u Organización presenta materiales al Programa de Recompensas, deben autorizar a un único Individuo Elegible (un “Representante”) para representar, actuar y preparar la presentación en su nombre. Al ingresar una presentación en nombre de un Equipo u Organización, estás representando que estás autorizado para actuar en nombre de dicho Equipo u Organización.

1.3 Un “Individuo Elegible” es una persona natural que:

  • es mayor de: (i) 18 años de edad o (ii) la edad mínima que legalmente se permite usar y poseer criptomonedas y/o participar en el Programa de Recompensas en la jurisdicción donde tal persona reside;
  • no está ubicado en, bajo el control de, o es nacional o residente de Cuba, Irán, Corea del Norte, Siria, cualquier región controlada por Rusia de Ucrania, o cualquier otro país o región sujeto a sanciones por la Oficina de Control de Activos Extranjeros del Departamento de Tesorería de EE. UU. (“OFAC”), según se actualice de vez en cuando;
  • no está identificado en la lista de Nacionales Especialmente Designados o Personas Bloqueadas proporcionada por OFAC; y
  • no reside en una jurisdicción donde la transferencia y tenencia de criptomoneda sea ilegal o requiera una licencia especial o autorización que dicha persona no posea.

1.4 La ley aplicable y nuestras políticas internas restringen a SDF de proporcionar premios XLM a ciertas categorías de proyectos. Los siguientes tipos de proyectos no serán considerados para el Programa de Recompensas (o cualquier premio XLM en conexión con ello):

  • viola cualquier ley, regulación, orden, sentencia o regla aplicable o infringe o viola cualquier derecho de propiedad de cualquier parte, incluyendo patente, marca registrada, secreto comercial, derecho de privacidad, derecho de publicidad u otros derechos;
  • involucra, facilita, soporta o promueve actividades ilegales, incluyendo, pero no limitado a: fraude, tráfico de drogas, compras en mercados de la web oscura, robo, tráfico ilegal de armas, tráfico humano, secuestro, extorsión, malversación, corrupción de funcionarios públicos, actos de terrorismo o financiamiento de terroristas, y violaciones de propiedad intelectual;
  • involucra, facilita o promueve el juego;
  • es ofensivo, engañoso, dañino o difamatorio;
  • es o contiene contenido sexualmente obsceno;
  • es discriminatorio o abusivo hacia cualquier individuo o grupo; o
  • contiene, transmite o instala malware o páginas o dispositivos de phishing.

Si no estás seguro si tu presentación o proyecto cae en una o más de estas categorías, por favor contáctanos en [email protected] para discutir.

1.5 SDF cumple con todas las leyes y regulaciones aplicables en la distribución de premios XLM. Si tu envío para el Programa de Recompensas es seleccionado, tú, tu Equipo o tu Organización (según corresponda) deberán completar ciertas verificaciones de cumplimiento y enviar ciertos formularios fiscales para facilitar la recepción de cualquier premio XLM bajo el Programa de Recompensas. La falta de envío de la documentación adecuada o la incapacidad para pasar las verificaciones de cumplimiento requeridas pueden resultar en tu descalificación para ser considerado. SDF no tiene obligación alguna de otorgar premios XLM si no hay envíos elegibles o Participantes elegibles o si los Participantes no completan y cumplen con todas las obligaciones de cumplimiento y fiscales necesarias.

1.6 Para determinar el número de XLM equivalente al valor en USD de cualquier premio, la valoración en USD de XLM se calculará usando el Precio de Liquidación de Lumens-Dólar de CF como administrado, mantenido y reportado por el proveedor de índices de criptomonedas CF Benchmarks Ltd. (usando el ticker “XLMUSD_RR”) (disponible en https://www.cfbenchmarks.com/indices/XLMUSD_RR), o, si tal precio de liquidación no está disponible, el precio de liquidación reportado por un proveedor de índices de criptomonedas sustancialmente similar y de igual reputación seleccionado por SDF a su discreción razonable. La valoración en USD de XLM para cualquier premio particular se calculará usando el Precio de Liquidación de Lumens-Dólar de CF (o equivalente) reportado el día que se programe distribuir dicho premio. Los Participantes reconocen y entienden que XLM es un activo altamente riesgoso y volátil, y que SDF no proporciona ninguna representación, garantía, o garantía de su valor.

1.7 Los Participantes deben informarse sobre cualquier requisito o consecuencia legal y fiscal aplicable a ellos en relación con la adquisición, tenencia y disposición de XLM. Los Participantes son responsables de reportar la recepción de cualquier premio XLM a los departamentos o agencias gubernamentales correspondientes donde sea aplicable y de pagar todos los impuestos aplicables en su jurisdicción de residencia (federal, estatal/provincial/territorial y local). SDF SE RESERVA EL DERECHO DE RETENER UNA PORCIÓN DE CUALQUIER MONTO DE PREMIO XLM PARA CUMPLIR CON LAS LEYES FISCALES DE LOS ESTADOS UNIDOS O DE OTRA JURISDICCIÓN DE SDF, O DE LA JURISDICCIÓN DE UN PARTICIPANTE.

2. Condiciones Generales

2.1 SDF se reserva el derecho, a su sola discreción, de cancelar, suspender o modificar el Programa de Recompensas o cualquiera de estos criterios de elegibilidad por cualquier motivo. En la medida máxima permitida por la ley, cualquier enmienda será efectiva en el momento especificado en la publicación o, si no se especifica tiempo, en el momento de la publicación.

2.2 El Programa de Recompensas está gobernado por los Términos de Servicio de SDF y estas Directrices de Elegibilidad. Si hay algún conflicto o inconsistencia entre los Términos de Servicio y estas Directrices de Elegibilidad, prevalecerán estas Directrices de Elegibilidad.

2.3 La falta de SDF para hacer cumplir cualquier término de estas Directrices de Elegibilidad no constituirá una renuncia a esa disposición. Si alguna disposición de estas Directrices de Elegibilidad se vuelve o se considera ilegal o inaplicable en cualquier jurisdicción cuyas leyes o regulaciones puedan aplicar, tal ilegalidad o inaplicabilidad dejará el resto de estas Directrices de Elegibilidad, en la máxima medida permitida por la ley, sin afectar y válidas. La disposición ilegal o inaplicable será reemplazada por una disposición válida y aplicable que refleje de la manera más cercana y mejor la intención de SDF de una manera legal y aplicable.

2.4 SDF puede recopilar información personal en conexión con un envío al Programa de Recompensas. Dicha información está sujeta a la Política de Privacidad de SDF.

Contacto


Si tienes alguna pregunta sobre el Programa de Recompensas o tu elegibilidad bajo estas directrices, por favor envía un correo electrónico a [email protected].