🐞Programa de recompensa por errores

El programa de recompensas por errores de Swappi se centra en nuestros contratos inteligentes, sitios web y aplicaciones con un interés principal en la prevención de la pérdida de fondos de los usuarios, ya sea mediante el drenaje directo de fondos bloqueados o ataques de ingeniería social al redirigir a los usuarios u obligarlos a firmar una transacción.

Para ver el programa oficial en el sitio web de ImmuneFi, ve a: https://immunefi.com/bounty/swappi/

Recompensas por el nivel de amenaza

Las recompensas se distribuyen de acuerdo con el impacto de la vulnerabilidad según el Sistema de clasificación de gravedad de vulnerabilidad de ImmuneFi V2.1. Esta es una escala simplificada de 5 niveles, con escalas separadas para sitios web/aplicaciones, contratos inteligentes y cadenas de bloques/DLT, que se enfoca en el impacto de la vulnerabilidad reportada.

Contratos

Nivel de amenanza
Recompensa

Crítico

Hasta $100,000 USD

Alto

$40,000 USD

Medio

$5,000 USD

Bajo

$1,000 USD

Sitios web y aplicaciones

Nivel de amenaza
Recompensa

Crítico

$15,000 USD

Alto

$5,000 USD

Medio

$1,000 USD

Todos los informes de errores web/aplicaciones deben venir con una prueba de concepto con un efecto final que afecte un activo en el alcance para ser considerados para una recompensa. Todos los informes de errores de Contrato requieren un PoC para ser elegible para una recompensa. Las explicaciones y declaraciones no se aceptan como PoC y se requiere código.

Las vulnerabilidades críticas de los contratos tienen un límite del 10% del daño económico, principalmente teniendo en cuenta los fondos en riesgo, pero también las relaciones públicas y los aspectos de la marca, a discreción del equipo. Sin embargo, hay una recompensa mínima de $50,000 USD.

  • Todas las vulnerabilidades marcadas en la revisión de seguridad de Certik no son elegibles para una recompensa.

  • Los pagos son manejados directamente por el equipo de Swappi y están denominados en USD. Sin embargo, los pagos se realizan en USDT y PPI, con la elección de la proporción a discreción del equipo.

Activos en alcance

Objetivo
Tipo

Web/App - Main Web/App

Todos los contratos inteligentes de Swappi se pueden encontrar en https://github.com/swappidex. Sin embargo, solo aquellos en la tabla Activos en el alcance se consideran dentro del alcance del programa de recompensas por errores.

Si se puede causar un impacto en cualquier otro activo administrado por Swappi que no esté en esta tabla pero cuyo impacto se encuentre en la sección Impactos en el alcance a continuación, te recomendamos enviarlo para que lo considere el proyecto.

Alcance de impacto

Solo se aceptan los siguientes impactos dentro de este programa de recompensas por errores. Todos los demás impactos no se consideran dentro del alcance, incluso si afectan algo en la tabla de activos en el alcance.

Contratos

Crítico

  • Cualquier manipulación de los resultados de las votaciones de gobernanza.

  • Robo directo de cualquier fondo de usuario, ya sea en reposo o en movimiento, que no sea el rendimiento no reclamado.

  • Congelación permanente de fondos Miner-extraíble valor (MEV).

  • Insolvencia.

Alto

  • Robo de rendimiento no reclamado.

  • Congelación permanente de rendimiento no reclamado.

  • Congelación temporal de fondos por cualquier cantidad de tiempo.

Medio

  • El contrato no puede operar debido a la falta de fondos.

  • Relleno de bloques con fines de lucro.

  • Duelo (por ejemplo, sin ánimo de lucro para un atacante, pero daño a los usuarios o al protocolo).

  • Robo de gas.

  • Consumo de gas ilimitado.

Bajo

  • El contrato no cumple con los rendimientos prometidos, pero no pierde valor.

Sitios web y aplicaciones

Crítico

  • Ejecutar comandos arbitrarios del sistema.

  • Recuperar datos/archivos confidenciales de un servidor en ejecución, como /etc/shadow, contraseñas de bases de datos y claves de blockchain (esto no incluye variables de entorno no confidenciales, código fuente abierto o nombres de usuario).

  • Desactivar la aplicación/sitio web.

  • Realizar acciones autenticadas que modifican el estado (con o sin interacción de estado de blockchain) en nombre de otros usuarios sin ninguna interacción por parte de ese usuario, como cambiar la información de registro, comentar, votar, realizar intercambios, retiros, etc.

  • Adquisición de subdominio con interacción de cartera ya conectada.

  • Robo directo de los fondos de los usuarios.

  • Interacciones maliciosas con una cartera ya conectada, como modificar argumentos o parámetros de transacciones, sustituir direcciones de contratos, enviar transacciones maliciosas.

Alto

  • Inyectar/modificar el contenido estático en la aplicación de destino sin Javascript (persistente), como inyección de HTML sin Javascript, reemplazo de texto existente con texto arbitrario, carga de archivos arbitrarios, etc.

  • Cambiar detalles confidenciales de otros usuarios (incluida la modificación del almacenamiento local del navegador) sin la interacción de la cartera ya conectada y con hasta un clic de interacción del usuario, como el correo electrónico o la contraseña de la víctima, etc.

  • Revelar indebidamente información confidencial del usuario, como dirección de correo electrónico, número de teléfono, dirección física, etc.

  • Adquisición de subdominio sin interacción de cartera ya conectada.

Medio

  • Cambiar detalles no confidenciales de otros usuarios (incluida la modificación del almacenamiento local del navegador) sin la interacción de la cartera ya conectada y con hasta un clic de interacción del usuario, como cambiar el nombre/apellido del usuario o habilitar/deshabilitar notificaciones.

  • Inyectar/modificar el contenido estático en la aplicación de destino sin Javascript (Reflejado), como la inyección de HTML reflejado o la carga de datos de sitios externos.

  • Redirección de usuarios a sitios web maliciosos (Open Redirect).

Reglas y fuera de alcance

Las siguientes vulnerabilidades están excluidas de las recompensas de este programa de recompensas por errores:

  • Ataques que el reportero ya se ha explotado a sí mismo, provocando daños.

  • Ataques que requieren acceso a claves/credenciales filtradas.

  • Ataques que requieren acceso a direcciones privilegiadas (gobierno, estratega).

Contratos y blockchain

  • Datos incorrectos proporcionados por Oráculos de terceros.

    • No excluir la manipulación de oráculo/ataques de préstamo flash.

  • Ataques básicos de gobernanza económica (por ejemplo, ataque del 51 %).

  • Falta de liquidez.

  • Críticas a las mejores prácticas.

  • Ataques de sibila.

  • Riesgos de centralización.

Sitios web y aplicaciones

  • Vulnerabilidades teóricas sin ninguna prueba o demostración.

  • Ataques que requieren acceso físico al dispositivo de la víctima.

  • Ataques que requieren acceso a la red local de la víctima.

  • Inyección de texto sin formato reflejado, por ejemplo: parámetros de URL, ruta, etc.

    • Esto no excluye la inyección de HTML reflejada con o sin javascript.

    • Esto no excluye la inyección persistente de texto sin formato.

  • Auto-XSS

  • Omisión de captcha usando OCR sin demostración de impacto.

  • CSRF sin impacto de seguridad de modificación de estado (p. ej., CSRF de cierre de sesión).

  • Faltan encabezados de seguridad HTTP (como X-FRAME-OPTIONS) o indicadores de seguridad de cookies (como "httponly") sin demostración del impacto.

  • Divulgación de información no confidencial del lado del servidor, como IP, nombres de servidor y la mayoría de los seguimientos de pila.

  • Vulnerabilidades utilizadas solo para enumerar o confirmar la existencia de usuarios o inquilinos.

  • Vulnerabilidades que requieren acciones de usuario dentro de la aplicación no solicitadas que no forman parte de los flujos de trabajo normales de la aplicación.

  • Falta de mejores prácticas de SSL/TLS.

  • Vulnerabilidades DDoS.

  • Peticiones de características.

  • Problemas relacionados con la interfaz sin impacto concreto y PoC.

  • Problemas de mejores prácticas sin impacto concreto y PoC.

  • Vulnerabilidades causadas principalmente por defectos del navegador/complemento.

  • Fuga de claves api no sensibles, por ejemplo: etherscan, Infura, Alchemy, etc.

  • Cualquier explotación de vulnerabilidad que requiera errores del navegador para su explotación. ej.: derivación de CSP.

Las siguientes actividades están prohibidas por este programa de recompensas por errores: --

  • Cualquier prueba con contratos de red principal o red de prueba pública; todas las pruebas deben realizarse en redes de prueba privadas

  • Cualquier prueba con oráculos de precios o contratos inteligentes de terceros.

  • Intentar ataques de phishing u otros ataques de ingeniería social contra nuestros empleados y/o clientes.

  • Cualquier prueba con sistemas y aplicaciones de terceros (p. ej., extensiones de navegador), así como sitios web (p. ej., proveedores de SSO, redes publicitarias).

  • Cualquier ataque de denegación de servicio.

  • Pruebas automatizadas de servicios que generan cantidades significativas de tráfico.

  • Divulgación pública de una vulnerabilidad sin parchear en una recompensa embargada.

Última actualización