Ayudas financieras y financiamiento

Programa de recompensas por errores

El Programa de Recompensas por Errores de Stellar otorga recompensas por vulnerabilidades y exploits descubiertos en el protocolo de Stellar o en cualquier código de nuestros repositorios. Reconocemos la importancia de nuestra comunidad y de los investigadores de seguridad para ayudar a identificar errores y problemas. Fomentamos la divulgación responsable de vulnerabilidades de seguridad a través de nuestro programa de recompensas por errores descrito en esta página.

Divulgación Responsable

Nos encargamos.

Nuestro equipo de desarrollo tiene hasta 90 días para implementar una corrección según la gravedad del informe. Por favor, permite que este proceso se complete por completo antes de divulgar públicamente la vulnerabilidad.

Programas

Presenta un informe de bug

Stellar Development Foundation se ha asociado con estas confiables plataformas de recompensas por bugs para asegurar que los informes se gestionen de manera justa y oportuna. Los modelos de pago varían según la gravedad/impacto. Consulta las estructuras de pago admitidas en Immunefi y HackerOne términos.

  • Intenta incluir tanta información como puedas en tu informe, incluyendo una descripción del bug, su -impacto potencial y pasos para reproducirlo o prueba de concepto
  • Por favor, permite 3 días hábiles para que respondamos antes de enviar otro correo electrónico

Consulta el sistema de clasificación por puntos de Immunefi aquí.

HackerOne

Hay dos recompensas de Immunefi respaldadas por Stellar Development Foundation.

Recompensa de Stellar

Identifica vulnerabilidades relacionadas con la red de Stellar o con la tecnología central de contratos inteligentes Soroban.

Recompensa OpenZeppelin de Contratos Stellar

Identifica vulnerabilidades relacionadas con las herramientas para desarrolladores de OpenZeppelin y los estándares de contratos.

Identifica vulnerabilidades en las aplicaciones web y dominios de la red de Stellar.

HackerOne

Elegibilidad

En términos generales, cualquier bug que suponga una vulnerabilidad significativa para la seguridad o la integridad de la red de Stellar podría ser elegible para un premio. Sin embargo, queda enteramente a nuestra discreción decidir si un bug es lo suficientemente significativo como para ser elegible para un premio.

En general, todo lo que tenga potencial de pérdida financiera o filtración de datos es de gravedad suficiente, incluyendo:

  • Errores de implementación que puedan causar pérdidas financieras
  • Acceso a nuestros servidores de producción
  • Ejecución remota de código
  • Errores de protocolo
  • Bug que provoque caída en Stellar Core o Horizon (ej.: un bug que pueda cerrar la app enviando una solicitud especial, no enviando miles de solicitudes)

Excepciones

En general, lo siguiente no alcanzaría el umbral de gravedad:

  • Vulnerabilidades 0-day divulgadas recientemente
  • Vulnerabilidades en sitios alojados por terceros, a menos que deriven en una vulnerabilidad en el sitio web principal
  • Vulnerabilidades dependientes de ataque físico, ingeniería social, spam, ataque DDoS, etc
  • Vulnerabilidades que afecten a navegadores obsoletos o sin parches
  • Vulnerabilidades en aplicaciones de terceros que usen la API de Stellar
  • Bugs que no hayan sido investigados y reportados de forma responsable
  • Bugs ya conocidos por nosotros, o ya reportados por otra persona (la recompensa va al primer reportante)
  • Problemas que no sean reproducibles
  • Problemas sobre los que razonablemente no podamos hacer nada

Gravedad

¿Qué tan grave es?

La gravedad de un bug, es decir, cuántos participantes en la red de Stellar se ven afectados, se toma en consideración al decidir el monto de la recompensa. Por ejemplo, un exploit que dependa de un error de implementación en stellar-core afecta a la red como un todo y muy profundamente. No hay implementaciones alternativas de stellar-core, por lo que una recompensa que afecte a stellar-core pagaría más que, por ejemplo, un bug de XSS.

Elegibilidad

Pautas para participar en la recompensa

El Comité de Subvenciones para Investigación y Desarrollo (“I+D”) de Stellar Development Foundation (“SDF”) solo considerará envíos de recompensas que cumplan con los siguientes criterios de elegibilidad, así que por favor lee estas pautas antes de enviar materiales al Programa de Recompensas de SDF.

1. elegibilidad

1.1 El Programa de Recompensas está abierto solo a: (a) Personas Elegibles, como se define en la Sección 1.3 más abajo; (b) equipos de Personas Elegibles (“Equipos”); y (c) organizaciones (p. ej., corporaciones, sociedades de responsabilidad limitada, sociedades y otras entidades corporativas) que estén compuestas por Personas Elegibles y que estén debidamente organizadas o constituidas y al día al momento de la presentación (“Organizaciones”). A Personas Elegibles, Equipos y Organizaciones se les denomina colectivamente en este documento como “Participantes.”

1.2 Cuando un Equipo u Organización envíe materiales al Programa de Recompensas, debe autorizar a una sola Persona Elegible (un “Representante”) para que represente, actúe y prepare la presentación en su nombre. Al realizar una presentación en nombre de un Equipo u Organización, declaras que estás autorizado para actuar en nombre de dicho Equipo u Organización.

1.3 Una “Persona Elegible” es una persona natural que:

  • tenga el mayor de: (i) 18 años de edad o (ii) la edad mínima legal permitida para usar y mantener criptomonedas y/o para participar en el Programa de Recompensas en la jurisdicción donde dicha persona resida;
  • no se encuentre en, bajo el control de, ni sea nacional o residente de Cuba, Irán, Corea del Norte, Siria, cualquier región de Ucrania controlada por Rusia, o cualquier otro país o región sujeta a sanciones por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. (“OFAC”), según se actualice periódicamente;
  • no figure en la lista de Nacionales Especialmente Designados o de Personas Bloqueadas provista por OFAC; y
  • no resida en una jurisdicción donde la transferencia y la tenencia de criptomonedas sea ilegal o requiera una licencia o autorización especial que dicha persona no posea.

1.4 La ley aplicable y nuestras políticas internas restringen a SDF de otorgar premios en XLM a ciertas categorías de proyectos. Los siguientes tipos de proyectos no serán considerados para el Programa de Recompensas (ni para ningún premio en XLM relacionado):

  • viole cualquier ley, reglamento, orden, sentencia o regla aplicable, o infrinja o viole cualquier derecho de propiedad de cualquier parte, incluyendo patente, marca, secreto comercial, derecho de autor, derecho a la privacidad, derecho a la publicidad u otros derechos;
  • implique, facilite, brinde soporte a o promueva actividades ilícitas, incluyendo, entre otras: fraude, tráfico de drogas, compras en mercados de la web oscura, robo, tráfico ilegal de armas, trata de personas, secuestro, extorsión, malversación, corrupción de funcionarios públicos, actos de terrorismo o financiamiento del terrorismo, y violaciones de propiedad intelectual;
  • implique, facilite o promueva juegos de azar;
  • sea ofensivo, engañoso, dañino o difamatorio;
  • sea o contenga contenido sexualmente obsceno;
  • sea discriminatorio o abusivo hacia cualquier individuo o grupo; o
  • contenga, transmita o instale malware o páginas o dispositivos de phishing.

Si no estás seguro de si tu presentación o proyecto entra en una o más de estas categorías, por favor contáctanos en [email protected] para hablar.

1.5 SDF cumple con todas las leyes y normativas aplicables en la distribución de premios en XLM. Si tu envío de recompensa es seleccionado para el Programa de Recompensas, tú, tu Equipo o tu Organización (según corresponda) deberán completar ciertas verificaciones de cumplimiento y presentar ciertos formularios fiscales para facilitar la recepción de cualquier premio en XLM en el marco del Programa de Recompensas. No presentar la documentación adecuada o no superar las verificaciones de cumplimiento requeridas puede resultar en tu descalificación. SDF no tiene ninguna obligación de otorgar premios en XLM si no hay envíos elegibles o Participantes elegibles, o si los Participantes no completan con éxito y cumplen todas las obligaciones necesarias de cumplimiento y fiscales.

1.6 Para determinar la cantidad de XLM equivalente al valor en USD de cualquier premio, la valoración en USD de XLM se calculará utilizando el Precio de Liquidación CF Stellar Lumens-Dólar administrado, mantenido y reportado por el proveedor de índices de criptomonedas CF Benchmarks Ltd. (usando el ticker “XLMUSD_RR”) (disponible en https://www.cfbenchmarks.com/indices/XLMUSD_RR), o, si dicho precio de liquidación no está disponible, el precio de liquidación según lo informado en un proveedor de índices de criptomonedas sustancialmente similar e igualmente reputado, seleccionado por SDF a su razonable discreción. La valoración en USD de XLM para cualquier premio en particular se calculará utilizando el Precio de Liquidación CF Stellar Lumens-Dólar (o equivalente) reportado el día en que dicho premio esté programado para ser distribuido. Los Participantes reconocen y entienden que XLM es un activo de alto riesgo y volátil, y que SDF no ofrece ninguna declaración, garantía ni promesa sobre su valor.

1.7 Los Participantes deben informarse sobre los requisitos o consecuencias legales y fiscales que les sean aplicables con respecto a la adquisición, tenencia y disposición de XLM. Los Participantes son responsables de informar la recepción de cualquier premio en XLM a los departamentos o agencias gubernamentales correspondientes, donde aplique, y de pagar todos los impuestos aplicables en su jurisdicción de residencia (federal, estatal/provincial/territorial y local). SDF SE RESERVA EL DERECHO DE RETENER UNA PORCIÓN DE CUALQUIER MONTO DE PREMIO EN XLM PARA CUMPLIR CON LAS LEYES FISCALES DE LOS ESTADOS UNIDOS U OTRA JURISDICCIÓN DE SDF, O LAS DE LA JURISDICCIÓN DE UN PARTICIPANTE.

2. condiciones generales

2.1 SDF se reserva el derecho, a su sola discreción, de cancelar, suspender o modificar el Programa de Recompensas o cualquiera de estos criterios de elegibilidad por cualquier motivo. En la máxima medida permitida por la ley, cualquier enmienda entrará en vigor en el momento especificado en la publicación o, si no se especifica hora, en el momento de la publicación.

2.2 El Programa de Recompensas se rige por los Términos de Servicio de SDF y estas Pautas de Elegibilidad. Si hay algún conflicto o inconsistencia entre los Términos de Servicio y estas Pautas de Elegibilidad, prevalecerán estas Pautas de Elegibilidad.

2.3 La falta de SDF de hacer cumplir cualquier término de estas Pautas de Elegibilidad no constituirá una renuncia a esa disposición. Si alguna disposición de estas Pautas de Elegibilidad fuera o se volviera ilegal o inexigible en alguna jurisdicción cuyas leyes o regulaciones puedan aplicar, tal ilegalidad o inexigibilidad dejará el resto de estas Pautas de Elegibilidad, en la máxima medida permitida por la ley, intacto y válido. La disposición ilegal o inexigible será reemplazada por una disposición válida y exigible que se acerque más y refleje mejor la intención de SDF de manera legal y exigible.

2.4 SDF puede recopilar información personal en relación con una presentación al Programa de Recompensas. Dicha información está sujeta a la Política de Privacidad de SDF.

Contacto


Si tienes alguna pregunta sobre el Programa de Recompensas o tu elegibilidad bajo estas pautas, por favor envía un correo a [email protected].