Temas
    Programa de recompensas por errores de Bybit
    bybit2025-08-01 14:05:18

    ¿Qué es la metodología del programa Bybit Bug Bounty y cómo puedes participar en el programa?

    El programa Bybit Bug Bounty está diseñado para recompensar a las personas que identifican vulnerabilidades en la plataforma de Bybit. Si detectas cualquier vulnerabilidad o error potencial, puedes participar en el programa siguiendo estos pasos:

     

    Paso 1: Consolida todos tus hallazgos en un formato ordenado y organizado. Te agradeceremos que proporciones GIF o grabaciones de vídeo del error. 

     

    Paso 2: Envía tu informe de seguridad y hallazgos a través de este formulario y selecciona la opción “Trading API / Denunciar una vulnerabilidad de seguridad”.

     

    Para las grabaciones de vídeo, súbelo a Google Drive y envíanos el enlace para compartir. Para obtener más información sobre cómo hacerlo, visita aquí.

     

     

     

    ¿Son iguales el Programa LazarusBounty y el Programa Bybit Bug Bounty?

    No, no son el mismo programa de recompensas. El Programa LazarusBounty está diseñado para aquellos que ayudan a identificar y congelar fondos ilícitos, mientras que el Programa Bybit Bug Bounty está diseñado para aquellos que notan y envían informes de vulnerabilidades en Bybit. 


    Para obtener información más detallada sobre el Programa LazarusBounty, consulta este artículo.

     

     



     

     

    Reglas del programa

    1. Proporciona informes detallados con pasos reproducibles. Si el informe no es lo suficientemente detallado como para reproducir el problema, el problema no será elegible para una recompensa.

    2. Envía una vulnerabilidad por informe, a menos que necesites encadenar vulnerabilidades para generar impacto.

    3. Cuando se producen duplicados, solo otorgamos el primer informe que se recibió (siempre que se pueda reproducir completamente).

    4. Se otorgará una recompensa a múltiples vulnerabilidades causadas por un problema subyacente.

    5. La ingeniería social (p. ej., phishing, vishing, smishing) está prohibida.

    6. Haz un esfuerzo de buena fe para evitar infracciones de privacidad, destrucción de datos e interrupción o degradación de nuestro servicio. Interactúa solo con cuentas que tengas o con permiso explícito del titular de la cuenta.

    7. Evita utilizar herramientas de escaneo automatizadas, ya que no se pueden aceptar envíos identificados a través de dichos medios.

    8. Evita acciones perjudiciales o de impacto negativo que puedan afectar a la disponibilidad de nuestros servicios (p. ej., DoS/DDoS)

    9. Plan de prueba

    • Si estás interesado en probar nuestras funciones relacionadas con los activos, pero no tienes los activos necesarios para realizar las pruebas, puedes registrar cuentas y aplicar tokens de prueba en el panel de activos a través de https://testnet.bybit.com. (*Ten en cuenta que Testnet utiliza monedas de prueba que no tienen valor real. Para garantizar que nuestros usuarios disfruten de una experiencia óptima con nuestros productos, hemos optado por no imponer restricciones estrictas de 2FA. En consecuencia, no se aceptarán informes de omisión de 2FA en Testnet).

     

     

     

     

     

    Detalles sobre los niveles de vulnerabilidad

    ¿Cuál es la recompensa por errores cuando se aprueba una vulnerabilidad?

    Consulta la siguiente tabla para conocer la recompensa por errores disponible en función del nivel de vulnerabilidad detectado.

     

    Nivel

    Recompensa

    Bajo

    De 150 a 600 USDT

    Medio

    De 600 a 1500 USDT

    Alto

    Entre 1500 y 5000 USDT

    Crítico

    De 5,000 a 10,000 USDT

     

     

     

    ¿Cómo se definen los diversos niveles de errores/vulnerabilidades?

    Consulta la siguiente lista para obtener más información:

     

    Vulnerabilidades críticas

    Una vulnerabilidad crítica se refiere a una que se produce en el sistema empresarial central (el sistema de control central, el control de campo, el sistema de distribución empresarial, la máquina de fortaleza u otro locus de control que puede gestionar un gran número de sistemas). Puede causar un impacto grave, obtener acceso al control del sistema empresarial (dependiendo de la situación real) o acceso del personal de gestión del sistema central, e incluso controlar el sistema central.

     

    Una vulnerabilidad crítica incluye, entre otras:

    • Múltiples dispositivos acceden a la red interna

    • Obtener acceso de súper administrador de back-end central, filtrar datos centrales de la empresa y causar un impacto grave

    • Desbordamiento de contratos inteligentes y vulnerabilidad de competencia condicional

     

     

    Vulnerabilidades de alto riesgo

    • Obtener acceso al sistema (getshell, ejecución de comandos, etc.)

    • Inyección de SQL del sistema (degradación de la vulnerabilidad del back-end, priorización del envío del paquete según corresponda)

    • Obtener acceso no autorizado a información confidencial, incluido, entre otros, el acceso directo al fondo de gestión eludiendo la autenticación, contraseñas back-end atacables por fuerza bruta u obteniendo SSRF de información confidencial en la red interna, etc.

    • Lectura de documentos arbitrarios

    • Vulnerabilidad XXE que puede acceder a cualquier información

    • Operación no autorizada que implica el bypass de dinero o lógica de pago (necesita ser utilizada con éxito)

    • Serios defectos de diseño lógico y defectos de proceso. Esto incluye, pero no se limita a, cualquier vulnerabilidad de inicio de sesión de usuario, vulnerabilidad de modificación de contraseña de cuenta de lote, vulnerabilidad lógica relacionada con el negocio principal de la empresa, etc., excepto la explosión del código de verificación

    • Otras vulnerabilidades que afectan a los usuarios a gran escala. Estos incluyen, entre otros, el almacenamiento XSS que se puede propagar automáticamente en las páginas importantes, y el almacenamiento XSS que puede acceder a la información de autenticación del administrador y utilizarse con éxito.

    • Fuga del código fuente

    • Defectos de control de permisos en el contrato inteligente

     

     

    Vulnerabilidades de riesgo medio

    • Una vulnerabilidad que puede afectar a los usuarios mediante la interacción, incluido, entre otros, el almacenamiento de XSS en páginas generales, CSRF que implica negocios principales, etc.

    • Funcionamiento general no autorizado, sin limitarse a modificar los datos del usuario y realizar el funcionamiento del usuario eludiendo las restricciones

    • Vulnerabilidades de denegación de servicio, incluidas, entre otras, vulnerabilidades remotas de denegación de servicio causadas por la denegación de servicio de aplicaciones web

    • Vulnerabilidades causadas por una explosión exitosa con la operación sensible al sistema, como cualquier inicio de sesión de cuenta y acceso con contraseña, etc., debido a defectos lógicos del código de verificación

    • Fuga de información de clave de autenticación sensible almacenada localmente, que debe estar disponible para un uso eficaz



    Vulnerabilidades de bajo riesgo

    • Las vulnerabilidades locales de denegación de servicio incluyen, entre otras, denegación de servicio local del cliente (análisis de formatos de archivo, bloqueos generados por protocolos de red), problemas causados por la exposición a permisos de componentes de Android, acceso a aplicaciones generales, etc.

    • Las filtraciones de información general no se limitan a los recorridos de las rutas web, los recorridos de las rutas del sistema, la navegación por los directorios, etc.

    • XSS (incluido DOM XSS/XSS reflejado)

    • CSRF general

    • Vulnerabilidad de salto de URL

    • Bombas SMS, bombas de correo (cada sistema solo acepta un tipo de esta vulnerabilidad).

    • Otras vulnerabilidades que son menos perjudiciales (y no se puede demostrar que lo sean, como la vulnerabilidad CORS que no puede acceder a información confidencial) 

    • Sin valor de retorno y sin utilización en profundidad de SSRF exitoso

     





    Comportamientos prohibidos

    • Realizar ingeniería social y/o participar en phishing

    • Pérdida de detalles de una vulnerabilidad

    • Las pruebas de vulnerabilidad se limitan a PoC (prueba de concepto) y las pruebas destructivas están estrictamente prohibidas. Si el daño se produce involuntariamente durante la prueba, debe informarse a tiempo. Mientras tanto, las operaciones confidenciales realizadas durante la prueba, como la eliminación, modificación y otras operaciones, deben explicarse en el informe

    • Usar un escáner para escanear a gran escala. Si el sistema o la red empresarial no está disponible, se gestionará de acuerdo con las leyes pertinentes

    • Aquellos que prueban la vulnerabilidad deben intentar evitar modificar la página directamente, continuar abriendo el cuadro de mensaje (DNSLog se recomienda para la verificación xss), robar cookies y/u obtener una carga útil agresiva como la información del usuario (para las pruebas xss ciegas, utiliza dnslog). Si accidentalmente utilizas una carga útil más agresiva, elimínala inmediatamente. De lo contrario, tenemos derecho a asumir responsabilidades legales relacionadas.

     

     

     

     

     

    Vulnerabilidades fuera del alcance

    Al informar de vulnerabilidades, ten en cuenta (1) el escenario de ataque/explotabilidad y (2) el impacto en la seguridad del error. Los siguientes problemas se consideran fuera del alcance:

    • Cualquier actividad que pueda dar lugar a la interrupción de nuestro servicio (DoS, DDoS).

    • Ingeniería social de nuestros empleados o contratistas, a menos que se autorice explícitamente.

    • Ataques contra nuestras instalaciones físicas, a menos que se autorice explícitamente.

    • Ataques que requieran acceso físico al dispositivo de un usuario, a menos que el dispositivo esté dentro del alcance y explícitamente endurecido contra el acceso físico.

    • Ataques que requieren protecciones Man In The Middle (MITM) inhabilitantes.

    • Los ataques solo afectan a navegadores o sistemas operativos obsoletos.

    • Faltan las mejores prácticas (configuración SSL/TLS, políticas de seguridad de contenidos, banderas de cookies, tabnabbing, atributos de autocompletar, registros de correo electrónico SPF/DKIM/DMARC), a menos que se pueda demostrar un impacto significativo.

    • Clickjacking o falsificación de solicitudes entre sitios (CSRF) en páginas/formularios no autenticados sin acciones confidenciales.

    • Redireccionamientos abiertos, a menos que se pueda demostrar un impacto significativo.

    • Autoexplotación (self XSS, autonegación de servicio, etc.), a menos que se pueda demostrar un método para atacar a un usuario diferente.

    • Suplantación de contenido, inyección de texto e inyección de CSV, a menos que se pueda demostrar un impacto significativo.

    • Divulgación de la versión del software / Problemas de identificación de banner / Mensajes de error descriptivos o seguimientos de pila.

    • Problemas que requieren una interacción del usuario improbable por parte de la víctima.

    • Cualquier ataque que requiera que un usuario interactúe con un contrato desde un sitio web controlado por un atacante

    • Se excluyen las vulnerabilidades específicas de la cadena (por ejemplo, problemas de tiempo de ejecución de EVM o Solana)

    • Las vulnerabilidades de Dapp integradas están excluidas (por ejemplo, Uniswap-Curve-GMX-1 in)

     

     

     

     

     

    Política de Divulgación

    No hables de este programa ni de ninguna vulnerabilidad (incluso resuelta) fuera del programa sin el consentimiento expreso de la organización.

    ¿Ha sido útil?
    yesyesNo
    Artículos relacionados
    ¿Cómo obtener un archivo HAR desde el navegador de red?
    Resolución De Problemas: Cómo Enviar El Vídeo De Grabación De Tu Pantalla A Bybit
    Cómo borrar caché y cookies para diferentes navegadores