CoinEx Wallet安全赏金计划旨在为全球用户提供安全、稳定、高效的数字货币交易平台。根据潜在漏洞的威胁程度分为 L1 至 L3 三个等级,漏洞奖励最高可达5,000个USDT,用以鼓励更多用户及白帽子发现并反馈平台安全漏洞。
以下为CoinEx Wallet安全赏金计划的基本原则以及奖励与评级标准。
一、基本原则
1、CoinEx Wallet非常重视自身产品和业务的安全问题,我们承诺每一位报告者反馈的问题都会有专人进行跟进、分析和处理,并及时给予答复;
2、为了做到有效跟进,CoinEx Wallet可能需要报告者协助一同复现问题;
3、CoinEx Wallet鼓励负责任的漏洞披露和处理过程,对每位恪守白帽子精神,保护用户利益,帮助CoinEx Wallet提升安全质量的用户,我们承诺给予感谢和回馈;
4、CoinEx Wallet反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等;
5、CoinEx Wallet反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为;
6、CoinEx Wallet保留对安全赏金计划的最终解释权。
二、奖励及评级标准
等级 |
奖励 |
Level 1 |
100-500 USDT |
Level 2 |
750-2,000 USDT |
Level 3 |
2,500-5,000 USDT |
- Level 1
定义:此级别危害有限,或存在安全隐患。
类别:
(1)验证码接口滥用,高频率碰撞验证码和密码等存在安全隐患的问题;
(2)非敏感操作的CSRF攻击,SPF邮件伪造等危害较低的漏洞;
(3)影响系统可用性和稳定性的漏洞,导致系统无法正常响应。
- Level 2
定义:此级别危及敏感信息或资产安全,能造成一定范围的影响,或一定的资产损失。
类别:
(1)影响部分用户,造成用户敏感信息泄露,或越权进行敏感操作,如XSS、CSRF攻击等漏洞;
(2)利用验证逻辑、重置密码等功能的漏洞,获取用户账户访问权限;
(3)由于产品设计缺陷而导致的漏洞,影响数据和资产安全。
- Level 3
定义:此级别漏洞能够造成严重的资产损失,或导致敏感信息批量泄露。
类别:
(1)破坏用户或平台资产安全的漏洞,如钱包私钥泄露、充值漏洞等;
(2)未授权访问系统,获取系统权限,如sql注入、远程代码执行等高危漏洞;
(3)未经授权访问敏感信息,如越权访问用户账户,非法访问系统后台敏感数据等。
三、漏洞反馈与处理流程
1、报告阶段
报告者可将报告发送到support@wallet.coinex.com,也可通过提交工单的形式提交报告。
注:报告内容尽可能详细,可包括文字、URL、截图等描述内容,必要时也可上传附件内容进行补充说明
2、评估阶段
(1)三个工作日内,CoinEx Wallet工作人员会确认收到的报告并跟进;
(2)七个工作日内,CoinEx Wallet工作人员将给出结论以及评级,必要时会与报告者沟通确认,请报告者予以协助。
3、修复阶段
(1)业务部门修复报告中反馈的安全问题并安排更新上线。修复时间根据问题的严重程度及修复难度而定,客户端安全问题受版本发布限制,修复时间根据实际情况确定;
(2)报告者复查安全问题是否修复。
4、完成阶段
修复完成后CoinEx Wallet将根据“奖励及评级标准”向报告者发放对应的USDT-TRC20奖励。
四、常见问题
Q:CoinEx Wallet会公开漏洞反馈报告的相关信息吗?
A:为了保护用户利益及隐私,报告相关信息均不会公开。
Q:CoinEx Wallet安全赏金计划是不是用奖金隐瞒安全问题?
A:不是。首先,我们认为用户利益及隐私相关信息不应该被公开,这也是业界共识。其次,CoinEx Wallet为报告者提供奖金是为了表达对漏洞反馈者的感谢和尊重,绝对不是用奖金隐瞒报告中的安全问题。
Q:CoinEx Wallet会不会先“忽略”漏洞然后偷偷修复?
A:绝对不会。如果报告者提交的漏洞反馈进入“忽略”状态,跟进同事会在报告反馈中说明原因。常见情况是这个“漏洞”未上升至漏洞级别,仅被评估为BUG,但是无论如何,都不会“偷偷修复漏洞”。