漏洞赏金猎人

在币飞,安全对我们和我们的用户来说是最重要的。因此,我们希望向您介绍币飞漏洞赏金计划。这个项目的目的是更有效地与我们的社区和支持者一起报告任何错误和漏洞。

Ellipse 16
Ellipse 16 Bug Bounty Program

漏洞赏金条款

币飞在 Immunefi 上的地址举行了一个漏洞赏金活动 https://immunefi.com/bounty/coinflex/

可以在这里验证 https://github.com/coinflex-exchange/coinflex-bug-bounty-program/blob/main/bugbounty.md

如果您在我们的项目中发现了漏洞,则必须通过 Immunefi 的平台提交。

Immunefi 将处理漏洞赏金通信。

有关可接受的漏洞、支付金额和参与规则的更多详细信息,请参阅 Immunefi 的赏金页面。

赏金规则

如果您在我们的项目中发现了漏洞,则必须通过 Immunefi 的平台提交。 Immunefi 将处理漏洞赏金通讯。

请提供带有可复现步骤的详细反馈。

如果报告不够详细,无法重现问题,则将没有资格获得奖励。

每个反馈提交一个漏洞,除非您需要链接漏洞以提供影响。

当复现时,我们只奖励收到的第一个报告(前提是它可以复现)。

由一个潜在问题引起的多个漏洞将获得一笔赏金。

禁止社交工程(例如网络钓鱼、钓鱼、诈骗)。

真诚地努力避免侵犯隐私、破坏数据以及中断或降低我们的服务。

仅与您拥有的帐户或在帐户持有人明确许可的情况下进行交互。

请注意,只有具有有效证明的漏洞才能被视为有资格获得金钱奖励。

我们在 https://v2stg.coinflex.com 上有一个测试网(Stage)环境。

如果您认为复现可能会损害平台的服务,请在 Stage 上进行复现。

要求

我们要求研究人员:

不要访问客户或员工的个人信息、预发布的币飞内容或机密信息。 如果您不小心访问了其中任何一个,请停止测试并提交漏洞。

如果您获得对任何非公共应用程序或非公共凭据的访问权限,请立即停止测试并报告问题。

请勿在安全测试期间降低币飞用户体验、中断生产系统或破坏数据。

仅在范围内进行研究。

提交任何必要的屏幕截图、屏幕截图、网络请求、复制步骤或类似内容。

在调查漏洞时,请仅针对您自己的帐户,不要尝试从其他任何人的帐户访问数据。

安全删除可能已下载、缓存或以其他方式存储在用于执行研究的系统上的币飞信息。

如果您满足这些要求,币飞将:

与您一起了解并尝试快速解决问题(提交后7天内确认反馈/建议)

如果您是第一个报告问题的人,请在我们的安全研究员名人堂中表彰您的贡献。

如果您是第一个向我们报告问题的人,奖励您对符合下列准则的独特漏洞的研究费用。

为鼓励负责任的披露,如果我们确定您的研究和披露符合这些要求和准则,币飞将不会对您提起诉讼或要求执法部门调查您。

如果您有任何疑问,请联系 [email protected]

影响范围

此漏洞赏金计划仅接受以下影响。 所有其他影响都不被视为在范围内,即使它们影响范围表中资产中的某些内容。

智能合约

  • 因冻结或盗窃而损失(本金)用户资金
  • 治理资金流失
  • 盗窃无人认领的收益
  • 冻结无人认领的收益
  • 资金临时冻结 X X 分钟/小时/天
  • 无法调用智能合约
  • 智能合约油费抽采
  • 智能合约未能兑现承诺的回报
  • 投票操纵
  • 不正确的投票操作

网页/App

  • 用户数据泄露
  • 用户数据删除
  • 通过地址修改重定向资金
  • 网站宕机
  • 未经授权访问敏感页面
  • 文本注入 
  • 用户欺骗其他用户
  • 服务器上的Shell访问

优先漏洞

 我们对接收和奖励以下类型的漏洞特别感兴趣:

 智能合约和区块链 

  • 重入
  • 逻辑错误
    • 包括用户身份验证错误
  • 不考虑 Solidity/EVM 细节
    • 包括整数溢出/下溢
    • 包括舍入误差
    • 包括未处理的异常
  • 信任/依赖漏洞
    • 包括可组合性漏洞
  • Oracle 故障/操作
  • 新型治理攻击
  • 经济/金融攻击
    • 包括闪贷攻击
  • 拥塞和可扩展性
    • 包括用完汽油
    • 包括块填料
    • 包括对领先的敏感
  • 共识失败
  • 密码学问题
    • 签名延展性
    • 易受重放攻击
    • 弱随机性
    • 弱加密
  • 容易阻止时间戳操作
  • 缺少访问控制/未受保护的内部或调试接口

网站和APP

  • 跨站脚本 (XSS)
  • 跨站请求伪造 (CSRF)
  • 暴力
  • SQL 注入 (SQLi)
  • 不安全存储
  • 认证相关问题
  • 授权相关问题
  • 数据泄露
  • 重定向攻击
  • 远程代码执行
  • 商业逻辑
  • 特别隐蔽的漏洞或不属于明确类别的独特问题
  • 特定于移动设备的 API 漏洞

超出范围和规则

以下漏洞不包括在此漏洞赏金计划的奖励范围内:

  • 记者已经利用的攻击,导致损害
  • 需要访问泄露的密钥/凭证的攻击
  • 需要访问特权地址的攻击(治理、战略者)

智能合约和区块链

  • 第三方预言机提供的数据不正确
    • 不排除预言机操纵/闪贷攻击
  • 基本的经济治理攻击(例如 51% 攻击)
  • 缺乏流动性
  • 最佳实践评论
  • 女巫攻击

网站和APP

  • Cookie 过期
  • Cookie 迁移/共享
  • 忘记密码自动登录
  • 自动登录令牌重用
  • HTTP 上的静态内容
  • 与离线播放相关的漏洞。
  • 免费试用
  • 同一站点脚本
  • 物理测试
  • 社会工程
  • 不安全的反序列化
  • XML 外部实体 (XXE)
  • 例如,试图窃取 cookie、伪造登录页面以收集凭据
  • 网络钓鱼
  • 资源耗尽攻击
  • 拒绝服务攻击 (DDoS)
  • 与速率限制相关的问题
  • 登录或忘记密码页面暴力破解和帐户锁定未强制执行
  • 服务监听 80 端口
  • 内部 IP 地址泄露
  • 与 Flash、Silverlight 等软件的跨域策略相关的问题,没有可利用漏洞的证据
  • 弱密码策略
  • 仅影响旧的/停产的浏览器/插件的漏洞包括:
  • 供应商提供补丁至少 6 个月的问题
  • 不再维护的软件问题(宣布为不受支持/生命周期结束或至少 6 个月内未发布补丁)
  • 主要由浏览器/插件缺陷引起的漏洞,并不代表 币飞系统或软件(例如 UXSS)的安全性缺陷
  • 与根证书相关的报告
  • 与所报告的 Web 服务器、服务或框架的版本号相关的漏洞报告
  • 与非关键文件暴露相关的漏洞报告。 例如。 robots.txt、sitemap.xml、.gitignore
  • 与非币飞拥有的站点或网络设备相关的漏洞报告
  • 需要大量用户合作才能执行、不太可能或不合理的操作的漏洞报告,这些操作更像是社会工程或网络钓鱼攻击而非应用程序漏洞(例如禁用浏览器安全功能、向攻击者发送关键信息以完成攻击) ,引导用户完成特定流程并要求他们自己输入恶意代码等)

所有漏洞赏金猎人都必须遵守以下规则:

  • 不要访问客户或员工的个人信息、预发布的币飞内容或机密信息。 如果您不小心访问了其中任何一个,请停止测试并提交漏洞。
  • 如果您获得对任何非公共应用程序或非公共凭据的访问权限,请立即停止测试并报告问题。
  • 请勿在安全测试期间降低币飞用户体验、中断生产系统或破坏数据。
  • 仅在范围内进行研究,对于智能合约,仅在私人测试网上进行。
  • 提交任何必要的屏幕截图、屏幕截图、网络请求、复制步骤或类似内容。
  • 在调查漏洞时,请仅针对您自己的帐户,不要尝试从其他任何人的帐户访问数据。
  • 安全删除可能已下载、缓存或以其他方式存储在用于执行研究的系统上的币飞信息。

附加条款

您的测试必须遵守适用的法规。 该计划不是就业机会。 是否支付奖励以及支付多少由币飞自行决定。 您负责支付与您收到的奖励相关的任何税款。 币飞可以随时修改或取消此计划。

您的反馈

请注意,您的反馈应至少包含以下内容以供考虑:

  • 受影响的URL地址
  • 描述
  • 影响
  • 概念证明(如果可以,附有屏幕截图或视频)
  • 缓解/推荐修复
  • 奖励

奖励是根据威胁级别和报告质量逐情授予的。 奖励将以 BTC 支付。

智能合约和区块链

  • 致命: Up to USD 100 000
  • 高: USD 10 000
  • 中: USD 5 000
  • 低: USD 1 000

网站和APP

  • 致命: USD 10 000
  • 高: USD 1 000
  • 中: USD 250
  • 低: USD 50

一旦您的建议可行,我们将要求您提供以下任何一项以获得您的奖励:

您在币飞注册的邮箱地址

您的钱包地址

奖金是在每周一下午11点。如果您没有收到奖金或回复,请再次联系。