Seguridad Trezor: Cómo protegemos tus llaves cripto

Únete al programa
de recompensas por bugs de Trezor

Ayúdanos a proteger el futuro de la autocustodia. Informa sobre vulnerabilidades. Gana recompensas. Sigue estas reglas:

Actúa de buena fe para proteger los datos de los usuarios y de la compañía.

Danos tiempo para solucionar el problema antes de divulgarlo públicamente.

Evita cualquier fraude o daño durante tu investigación.

Temas relevantes

Dispositivos Trezor y firmware

Extracción o inyección de la semilla
Bypass del PIN
Omisión de confirmación del usuario
Extracción de clave privada
Ataques físicos y a la cadena de suministro

Esta categoría es la más importante, ya que Trezor representa el punto máximo de seguridad dentro de nuestro modelo de amenazas.

App Trezor Suite y Trezor Connect

Inyección de scripts entre sitios (XSS)
Ataques a bibliotecas de terceros y cadena de suministro
Vulnerabilidades en las secciones trading y staking

Blockbook y otros componentes del backend

Compromiso del servidor Blockbook
Fallo en la configuración del backend

Trezor.io

Inyección de scripts entre sitios (XSS)
Ataques a bibliotecas de terceros y cadena de suministro
Fallos en el control de acceso
Exposición de datos sensibles
Inyección de SQL
Configuración incorrecta del servidor
Alteración de transacciones y compras

Cualquier otro problema que no esté listado anteriormente y que, al mismo tiempo, no esté excluido en Todos los términos.

Más detalles en Todos los términos

Esquema de recompensas

Tipo de vulnerabilidad

Recompensa

Baja

$0 – $2 000

Media

$250 – $5 000

Alta

$500 – $10 000

Crítica

$1 000 – $100 000*

La recompensa depende del producto afectado y de la gravedad del problema. Nos reservamos el derecho de determinar tanto la gravedad como la elegibilidad de los informes.

*En casos excepcionalmente graves, no hay un límite máximo.

Más detalles en Todos los términos

¿Cómo informar?

Contáctanos en [email protected] e incluye lo siguiente:

Código – Una prueba de concepto que demuestre el problema.
Descripción – Una explicación detallada del bugr y su posible impacto.
Nombre o apodo (opcional) – Para incluirlo en nuestra lista de incidencias anteriores.

En caso de que consideres que se trata de un asunto delicado, te proporcionaremos instrucciones para configurar un canal encriptado en Signal.

Todos los términos

Informar vulnerabilidad

Nos reservamos el derecho de determinar tanto la gravedad como la elegibilidad de los informes.

Vulnerabilidades solucionadas

Reportada por la comunidad. Investigada. Solucionada. Porque tu seguridad no es una opción.

Seguridad de Trezor desde dentro

Scams and phishing

Common tactics scammers use against Trezor users

Security & safety in Trezor

Explore security features of all Trezor models

Trezor Safe device authentication check

How Trezor Safe verifies authenticity

Únete al programa de recompensas por bugs de Trezor

Vulnerabilidades solucionadas

Seguridad de Trezor desde dentro

Únete al programa
de recompensas por bugs de Trezor