Bug Bounty

From TON Wiki (Es)

Bug Bounty es un programa que recompensa a los profesionales por probar programas informáticos en busca de errores y vulnerabilidades. Los participantes de Bug Bounty, conocidos como "hackers blanco", reciben recompensas monetarias por encontrar vulnerabilidades. La cantidad del pago se calcula en función de la gravedad del error encontrado en el programa.

Origen

Jarrett Riedlinghafer, trabajando en Netscape Communications Corporation, propuso crear un programa para recompensar a entusiastas y especialistas en TI por identificar diversos errores y vulnerabilidades en proyectos. La corporación apoyó su concepto y asignó $50,000 para desarrollar y lanzar el programa. El programa inicial se lanzó públicamente en 1995 y fue un gran éxito.

En Rusia, el primer programa Bug Bounty se lanzó en 2012 por Yandex. El siguiente fue en 2013 por VK. Para 2020, había muchos recursos Bug Bounty abiertos en Rusia.

Funcionamiento del Bug Bounty

Existen dos formas de trabajar con este sistema: interno y basado en plataformas.

Método interno

El método interno implica que una empresa que necesita identificar errores en su producto publique información en su sitio web oficial sobre el inicio de un programa Bug Bounty. Los hackers interesados trabajan en el programa. Si encuentran un error, presentan un informe detallado. La empresa revisa el informe, soluciona el error y, después de una segunda verificación para confirmar la solución, paga la recompensa al hacker. Este método es utilizado frecuentemente por grandes corporaciones.

Método basado en plataformas

Una empresa se registra en una plataforma especial de Bug Bounty, presenta una solicitud en la que describe su producto, objetivos, condiciones y la cantidad de la recompensa por encontrar errores. Luego se publica el anuncio. Los investigadores (Bug Hunters) se registran en la plataforma, pasan por un proceso de verificación y comienzan a trabajar en la tarea. Si se encuentran vulnerabilidades, envían un informe sobre su trabajo y los errores detectados, al igual que en el método interno. La empresa cliente, al recibir los informes, revisa, prueba y soluciona los problemas antes de volver a verificar. Según la gravedad del error identificado, se determina y paga la cantidad de la recompensa a los Bug Hunters.

Bug Bounty en la blockchain de TON

Existen numerosos programas Bug Bounty disponibles en la blockchain de TON (The Open Network). La mayoría están disponibles en Github. También hay un recurso que proporciona información directamente sobre el sistema de subvenciones en el ecosistema TON.

A diciembre de 2024, hay varios programas Bug Bounty activos:

  • STON.fi Bug Bounty Program. Su fondo es de 200,000 $TON. El sitio tiene información sobre las recompensas. Por ejemplo, por una vulnerabilidad media la recompensa es de 1,000 $TON, por una alta — 2,000 $TON, y por una crítica — hasta 20,000 $TON. Más información sobre el programa de STON.fi se puede encontrar aquí.
  • Getgems Bug Bounty Program. Este programa toma la forma de un concurso donde se deben encontrar errores y vulnerabilidades significativas mediante pruebas manuales. Los fallos "significativos" se refieren a situaciones en las que la funcionalidad principal del programa se ve afectada (imposibilidad de realizar acciones en la aplicación, funcionamiento incorrecto, visualización errónea de información). Para participar, necesitas compartir tu cuenta de Github y tu billetera TON con @toncontests_bot para recibir la recompensa en caso de ganar. Tras revisar todos los informes, se seleccionan los 5 mejores. Los participantes ganadores reciben premios en TON, con premios de hasta $500 según la gravedad del error. Más detalles sobre este programa aquí.
  • Programa HackenProof. Diseñado para probar la seguridad de contratos inteligentes y protocolos blockchain. HackenProof trabaja con la mayoría de los principales intercambios y blockchains. Hace un año, HackenProof anunció una asociación con TON Foundation. Los primeros en participar en el programa fueron @TonDiamonds, @stonfidex y @evaaprotocol.
  • Programa de recompensas de TON Foundation. Para encontrar errores en el sistema. Las recompensas varían entre $150 y $5000. Todos los términos y condiciones del programa, así como la documentación necesaria, están disponibles aquí.

¿Quién puede participar en Bug Bounty?

Se requieren muchas habilidades para trabajar en este campo:

  • Es obligatorio saber inglés (para familiarizarse con la información, leer documentación y descifrarla).
  • Habilidades de programación (conocimiento de Python, JavaScript, etc.).
  • Comprensión de la legislación en ciberseguridad.
  • Conocimiento de programas especializados útiles para la detección de vulnerabilidades.
  • Entender el desarrollo web, los protocolos de red, trabajar con bases de datos, etc.
  • Pensar lógicamente y analizar datos para organizar correctamente el trabajo e interpretar los resultados.
  • Habilidades de documentación y comunicación.

Existen cursos para aprender las habilidades necesarias como «Bug Hunter». Por ejemplo, Awesome Ethical Hacking Resources, donde hay mucha información útil y enlaces a cursos gratuitos. Para poner en práctica tus habilidades, hay recursos educativos como laboratorios virtuales bWAPP, HTB, TryHackMe, DVWA, entre otros.

Enlaces

  1. HackenProof
  2. Bug Bounty TON
  3. Bug Bounty in TON blockchain
  4. Ton Whales Rewards Program
  5. Bug Bounty creation information
Retrieved from "https://es.tonwiki.space/index.php?title=Bug_Bounty&oldid=1174"