币飞在 Immunefi 上的地址举行了一个漏洞赏金活动 https://immunefi.com/bounty/coinflex/

可以在这里验证 https://github.com/coinflex-exchange/coinflex-bug-bounty-program/blob/main/bugbounty.md

如果您在我们的项目中发现了漏洞，则必须通过 Immunefi 的平台提交。

Immunefi 将处理漏洞赏金通信。

有关可接受的漏洞、支付金额和参与规则的更多详细信息，请参阅 Immunefi 的赏金页面。

赏金规则

如果您在我们的项目中发现了漏洞，则必须通过 Immunefi 的平台提交。 Immunefi 将处理漏洞赏金通讯。

请提供带有可复现步骤的详细反馈。

如果报告不够详细，无法重现问题，则将没有资格获得奖励。

每个反馈提交一个漏洞，除非您需要链接漏洞以提供影响。

当复现时，我们只奖励收到的第一个报告（前提是它可以复现）。

由一个潜在问题引起的多个漏洞将获得一笔赏金。

禁止社交工程（例如网络钓鱼、钓鱼、诈骗）。

真诚地努力避免侵犯隐私、破坏数据以及中断或降低我们的服务。

仅与您拥有的帐户或在帐户持有人明确许可的情况下进行交互。

请注意，只有具有有效证明的漏洞才能被视为有资格获得金钱奖励。

我们在 https://v2stg.coinflex.com 上有一个测试网（Stage）环境。

如果您认为复现可能会损害平台的服务，请在 Stage 上进行复现。

要求

我们要求研究人员：

不要访问客户或员工的个人信息、预发布的币飞内容或机密信息。 如果您不小心访问了其中任何一个，请停止测试并提交漏洞。

如果您获得对任何非公共应用程序或非公共凭据的访问权限，请立即停止测试并报告问题。

请勿在安全测试期间降低币飞用户体验、中断生产系统或破坏数据。

仅在范围内进行研究。

提交任何必要的屏幕截图、屏幕截图、网络请求、复制步骤或类似内容。

在调查漏洞时，请仅针对您自己的帐户，不要尝试从其他任何人的帐户访问数据。

安全删除可能已下载、缓存或以其他方式存储在用于执行研究的系统上的币飞信息。

如果您满足这些要求，币飞将：

与您一起了解并尝试快速解决问题（提交后7天内确认反馈/建议）

如果您是第一个报告问题的人，请在我们的安全研究员名人堂中表彰您的贡献。

如果您是第一个向我们报告问题的人，奖励您对符合下列准则的独特漏洞的研究费用。

为鼓励负责任的披露，如果我们确定您的研究和披露符合这些要求和准则，币飞将不会对您提起诉讼或要求执法部门调查您。

如果您有任何疑问，请联系 [email protected]

影响范围

此漏洞赏金计划仅接受以下影响。 所有其他影响都不被视为在范围内，即使它们影响范围表中资产中的某些内容。

智能合约

• 因冻结或盗窃而损失（本金）用户资金
• 治理资金流失
• 盗窃无人认领的收益
• 冻结无人认领的收益
• 资金临时冻结 X X 分钟/小时/天
• 无法调用智能合约
• 智能合约油费抽采
• 智能合约未能兑现承诺的回报
• 投票操纵
• 不正确的投票操作

网页/App

• 用户数据泄露
• 用户数据删除
• 通过地址修改重定向资金
• 网站宕机
• 未经授权访问敏感页面
• 文本注入 
• 用户欺骗其他用户
• 服务器上的Shell访问

API/Websockets – GUI (protected and auth) and docs.coinflex.com

• Unauthorised access
• SQL Injection
• Chaining
• Incorrect methods allowed Unexpected behaviour leading to a bug
• Site going down / service unavailability
• Leak of user data Deletion or modification of user data
• Triggering incorrect balance updates
• Redirecting funds by address modification
• Accessing sensitive pages without authorisation

优先漏洞

 我们对接收和奖励以下类型的漏洞特别感兴趣：

 智能合约和区块链 

• 重入
• 逻辑错误
  • 包括用户身份验证错误
• 不考虑 Solidity/EVM 细节
  • 包括整数溢出/下溢
  • 包括舍入误差
  • 包括未处理的异常
• 信任/依赖漏洞
  • 包括可组合性漏洞
• Oracle 故障/操作
• 新型治理攻击
• 经济/金融攻击
  • 包括闪贷攻击
• 拥塞和可扩展性
  • 包括用完汽油
  • 包括块填料
  • 包括对领先的敏感
• 共识失败
• 密码学问题
  • 签名延展性
  • 易受重放攻击
  • 弱随机性
  • 弱加密
• 容易阻止时间戳操作
• 缺少访问控制/未受保护的内部或调试接口

网站和APP

• 跨站脚本 (XSS)
• 跨站请求伪造 (CSRF)
• 暴力
• SQL 注入 (SQLi)
• 不安全存储
• 认证相关问题
• 授权相关问题
• 数据泄露
• 重定向攻击
• 远程代码执行
• 商业逻辑
• 特别隐蔽的漏洞或不属于明确类别的独特问题
• 特定于移动设备的 API 漏洞

超出范围和规则

以下漏洞不包括在此漏洞赏金计划的奖励范围内：

• 记者已经利用的攻击，导致损害
• 需要访问泄露的密钥/凭证的攻击
• 需要访问特权地址的攻击（治理、战略者）

智能合约和区块链

• 第三方预言机提供的数据不正确
  • 不排除预言机操纵/闪贷攻击
• 基本的经济治理攻击（例如 51% 攻击）
• 缺乏流动性
• 最佳实践评论
• 女巫攻击

网站和APP

• Cookie 过期
• Cookie 迁移/共享
• 忘记密码自动登录
• 自动登录令牌重用
• HTTP 上的静态内容
• 与离线播放相关的漏洞。
• 免费试用
• 同一站点脚本
• 物理测试
• 社会工程
• 不安全的反序列化
• XML 外部实体 (XXE)
• 例如，试图窃取 cookie、伪造登录页面以收集凭据
• 网络钓鱼
• 资源耗尽攻击
• 拒绝服务攻击 (DDoS)
• 与速率限制相关的问题
• 登录或忘记密码页面暴力破解和帐户锁定未强制执行
• 服务监听 80 端口
• 内部 IP 地址泄露
• 与 Flash、Silverlight 等软件的跨域策略相关的问题，没有可利用漏洞的证据
• 弱密码策略
• 仅影响旧的/停产的浏览器/插件的漏洞包括：
• 供应商提供补丁至少 6 个月的问题
• 不再维护的软件问题（宣布为不受支持/生命周期结束或至少 6 个月内未发布补丁）
• 主要由浏览器/插件缺陷引起的漏洞，并不代表 币飞系统或软件（例如 UXSS）的安全性缺陷
• 与根证书相关的报告
• 与所报告的 Web 服务器、服务或框架的版本号相关的漏洞报告
• 与非关键文件暴露相关的漏洞报告。 例如。 robots.txt、sitemap.xml、.gitignore
• 与非币飞拥有的站点或网络设备相关的漏洞报告
• 需要大量用户合作才能执行、不太可能或不合理的操作的漏洞报告，这些操作更像是社会工程或网络钓鱼攻击而非应用程序漏洞（例如禁用浏览器安全功能、向攻击者发送关键信息以完成攻击） ，引导用户完成特定流程并要求他们自己输入恶意代码等）

所有漏洞赏金猎人都必须遵守以下规则：

• 不要访问客户或员工的个人信息、预发布的币飞内容或机密信息。 如果您不小心访问了其中任何一个，请停止测试并提交漏洞。
• 如果您获得对任何非公共应用程序或非公共凭据的访问权限，请立即停止测试并报告问题。
• 请勿在安全测试期间降低币飞用户体验、中断生产系统或破坏数据。
• 仅在范围内进行研究，对于智能合约，仅在私人测试网上进行。
• 提交任何必要的屏幕截图、屏幕截图、网络请求、复制步骤或类似内容。
• 在调查漏洞时，请仅针对您自己的帐户，不要尝试从其他任何人的帐户访问数据。
• 安全删除可能已下载、缓存或以其他方式存储在用于执行研究的系统上的币飞信息。

附加条款

您的测试必须遵守适用的法规。 该计划不是就业机会。 是否支付奖励以及支付多少由币飞自行决定。 您负责支付与您收到的奖励相关的任何税款。 币飞可以随时修改或取消此计划。

您的反馈

请注意，您的反馈应至少包含以下内容以供考虑：

• 受影响的URL地址
• 描述
• 影响
• 概念证明（如果可以，附有屏幕截图或视频）
• 缓解/推荐修复
• 奖励

奖励是根据威胁级别和报告质量逐情授予的。 奖励将以 BTC 支付。

智能合约和区块链

• 致命： Up to USD 100 000
• 高： USD 10 000
• 中： USD 5 000
• 低： USD 1 000

网站和APP

• 致命： USD 10 000
• 高： USD 1 000
• 中： USD 250
• 低： USD 50

一旦您的建议可行，我们将要求您提供以下任何一项以获得您的奖励：

您在币飞注册的邮箱地址

您的钱包地址

奖金是在每周一下午11点。如果您没有收到奖金或回复，请再次联系。