Subvenciones y Financiación
Programa de Recompensas por Errores
El Programa de Recompensas por Errores de Stellar ofrece recompensas por vulnerabilidades y exploits descubiertos en el protocolo de Stellar o cualquiera de los códigos en nuestros repositorios. Reconocemos la importancia de nuestra comunidad e investigadores de seguridad en ayudar a identificar errores y problemas. Fomentamos la divulgación responsable de vulnerabilidades de seguridad a través de nuestro programa de recompensas descrito en esta página.
Divulgación Responsable
Estamos en ello.
Nuestro equipo de desarrollo tiene hasta 90 días para implementar una solución basada en la gravedad del informe. Por favor, permite que este proceso se complete totalmente antes de divulgar públicamente la vulnerabilidad.
Programas
Presentar un informe de error
Stellar Development Foundation se ha asociado con estas plataformas de recompensas por errores confiables para asegurar que los informes se manejen de manera justa y oportuna. Los modelos de pago varían basados en la gravedad/impacto. Por favor, consulta las estructuras de pago admitidas en Immunefi y HackerOne términos.
- Intenta incluir tanta información en tu informe como puedas, incluyendo una descripción del error, su impacto potencial y pasos para reproducirlo o prueba de concepto
- Por favor, permite 3 días hábiles para que respondamos antes de enviar otro correo electrónico
Por favor, consulta el sistema de clasificación de puntos de Immunefi aquí.
Immunefi
Identifica vulnerabilidades relacionadas con la red de Stellar o la tecnología central de los contratos inteligentes Soroban
HackerOne
Identifica vulnerabilidades en las aplicaciones web y dominios de la red de Stellar
Elegibilidad
En términos generales, cualquier error que represente una vulnerabilidad significativa para la seguridad o integridad de la red de Stellar podría ser elegible para una recompensa. Sin embargo, queda a nuestra discreción decidir si un error es lo suficientemente significativo como para ser elegible para una recompensa.
En general, cualquier cosa que tenga el potencial de pérdida financiera o violación de datos es de suficiente gravedad, incluyendo:
- Errores de implementación que pueden llevar a pérdida financiera
- Acceso a nuestros servidores de producción
- Ejecución de Código Remoto
- Errores de protocolo
- Error de caída en Stellar Core o Horizon (ej. un error que puede hacer caer la app enviando una solicitud especial, no enviando miles de solicitudes)
Excepciones
En general, lo siguiente no cumpliría con el umbral de gravedad:
- Vulnerabilidades de 0-day recientemente divulgadas
- Vulnerabilidades en sitios alojados por terceros a menos que lleven a una vulnerabilidad en el sitio principal
- Vulnerabilidades contingentes a ataques físicos, ingeniería social, spamming, ataques DDOS, etc
- Vulnerabilidades que afectan navegadores obsoletos o sin parches
- Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Stellar
- Errores que no han sido investigados y reportados responsablemente
- Errores ya conocidos por nosotros, o ya reportados por alguien más (la recompensa va al primer reportador)
- Problemas que no son reproducibles
- Problemas sobre los que razonablemente no se espera que hagamos algo
Gravedad
¿Qué tan Serio Es?
La gravedad de un error, es decir, cuántos participantes en la red de Stellar están afectados, se toma en consideración al decidir la cantidad del pago de la recompensa. Por ejemplo, un exploit que depende de un error de implementación en stellar-core afecta a la red en su conjunto y muy profundamente. No hay implementaciones alternativas de stellar-core y así un pago que afecte a stellar-core pagaría más que por ejemplo, un error XSS.
Nota
Legal
No puedes participar en este programa si eres residente o individuo ubicado dentro de un país que aparece en cualquier lista de sanciones de EE. UU.