Subvenciones y Financiación
Programa de Recompensas por Errores
El Programa de Recompensas por Errores de Stellar ofrece recompensas por vulnerabilidades y exploits descubiertos en el protocolo Stellar o cualquier código en nuestros repositorios. Reconocemos la importancia de nuestra comunidad e investigadores de seguridad en ayudar a identificar errores y problemas. Fomentamos la divulgación responsable de vulnerabilidades de seguridad a través de nuestro programa de recompensas por errores descrito en esta página.
Divulgación Responsable
Estamos en ello.
Nuestro equipo de desarrollo tiene hasta 90 días para implementar una solución basada en la gravedad del informe. Por favor, permite que este proceso se complete totalmente antes de divulgar públicamente la vulnerabilidad.
Presenta un informe de error
La Stellar Development Foundation se ha asociado con estas plataformas de recompensas por errores confiables para asegurar que los informes se manejen de manera justa y oportuna. Los modelos de pago varían basados en la gravedad/impacto. Por favor, consulta las estructuras de pago admitidas en Immunefi y HackerOne términos.
- Intenta incluir tanta información en tu informe como puedas, incluyendo una descripción del error, su impacto potencial y pasos para reproducirlo o prueba de concepto
- Por favor, permite 3 días hábiles para que respondamos antes de enviar otro correo electrónico
Por favor, consulta el sistema de clasificación de puntos de Immunefi aquí.
Elegibilidad
En términos generales, cualquier error que represente una vulnerabilidad significativa para la seguridad o integridad de la red Stellar podría ser elegible para una recompensa. Sin embargo, queda a nuestra discreción decidir si un error es lo suficientemente significativo como para ser elegible para una recompensa.
En general, cualquier cosa que tenga el potencial de pérdida financiera o violación de datos es de suficiente gravedad, incluyendo:
- Errores de implementación que pueden llevar a pérdida financiera
- Acceso a nuestros servidores de producción
- Ejecución Remota de Código
- Errores de protocolo
- Error de colapso en Stellar Core o Horizon (por ejemplo, un error que puede colapsar la app enviando una solicitud especial, no enviando miles de solicitudes)
Excepciones
En general, lo siguiente no cumpliría con el umbral de gravedad:
- Vulnerabilidades de 0-day recientemente divulgadas
- Vulnerabilidades en sitios alojados por terceros a menos que conduzcan a una vulnerabilidad en el sitio principal
- Vulnerabilidades contingentes en ataque físico, ingeniería social, spamming, ataque DDOS, etc
- Vulnerabilidades que afectan navegadores desactualizados o sin parches
- Vulnerabilidades en aplicaciones de terceros que hacen uso de la API de Stellar
- Errores que no han sido investigados y reportados responsablemente
- Errores ya conocidos por nosotros, o ya reportados por alguien más (la recompensa va para el primer reportador)
- Problemas que no son reproducibles
- Problemas sobre los que razonablemente no se puede esperar que hagamos algo
Gravedad
¿Qué tan Serio Es?
La gravedad de un error, es decir, cuántos participantes en la red Stellar se ven afectados, se toma en consideración al decidir la cantidad de pago de la recompensa. Por ejemplo, un exploit que depende de un error de implementación en stellar-core afecta a la red en su conjunto y muy profundamente. No hay implementaciones alternativas de stellar-core y por lo tanto un pago que afecta a stellar-core pagaría más que, por ejemplo, un error XSS.
Nota
Legal
No puedes participar en este programa si eres residente o individuo ubicado dentro de un país que aparece en cualquier lista de sanciones de EE. UU.