CoinEx Wallet安全賞金計劃旨在為全球用戶提供安全、穩定、高效的數字貨幣交易平台。根據潛在漏洞的威脅程度分為 L1 至 L3 三個等級,漏洞獎勵最高可達5,000個USDT,用以鼓勵更多用戶及白帽子發現並反饋平台安全漏洞。
以下為CoinEx Wallet安全賞金計劃的基本原則以及獎勵與評級標準。
一、基本原則
1、CoinEx Wallet非常重視自身產品和業務的安全問題,我們承諾每一位報告者反饋的問題都會有專人進行跟進、分析和處理,並及時給予答復;
2、為了做到有效跟進,CoinEx Wallet可能需要報告者協助一同復現問題;
3、CoinEx Wallet鼓勵負責任的漏洞披露和處理過程,對每位恪守白帽子精神,保護用戶利益,幫助CoinEx Wallet提升安全質量的用戶,我們承諾給予感謝和回饋;
4、CoinEx Wallet反對和譴責一切以漏洞測試為藉口,利用安全漏洞進行破壞、損害用戶利益的黑客行為,包括但不限於利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、 惡意傳播漏洞等;
5、CoinEx Wallet反對和譴責一切利用安全漏洞恐嚇用戶、攻擊競爭對手的行為;
6、CoinEx Wallet保留對安全賞金計劃的最終解釋權。
二、獎勵及評級標準
等级 |
奖励 |
Level 1 |
100-500 USDT |
Level 2 |
750-2,000 USDT |
Level 3 |
2,500-5,000 USDT |
- Level 1
定義:此級別危害有限,或存在安全隱患。
類別:
(1)驗證碼接口濫用,高頻率碰撞驗證碼和密碼等存在安全隱患的問題;
(2)非敏感操作的CSRF攻擊,SPF郵件偽造等危害較低的漏洞;
(3)影響系統可用性和穩定性的漏洞,導致系統無法正常響應。
- Level 2
定義:此級別危及敏感信息或資產安全,能造成一定範圍的影響,或一定的資產損失。
類別:
(1)影響部分用戶,造成用戶敏感信息洩露,或越權進行敏感操作,如XSS、CSRF攻擊等漏洞;
(2)利用驗證邏輯、重置密碼等功能的漏洞,獲取用戶賬戶訪問權限;
(3)由於產品設計缺陷而導致的漏洞,影響數據和資產安全。
- Level 3
定義:此級別漏洞能夠造成嚴重的資產損失,或導致敏感信息批量洩露。
類別:
(1)破壞用戶或平台資產安全的漏洞,如錢包私鑰洩露、充值漏洞等;
(2)未授權訪問系統,獲取系統權限,如sql注入、遠程代碼執行等高危漏洞;
(3)未經授權訪問敏感信息,如越權訪問用戶賬戶,非法訪問系統後台敏感數據等。
三、漏洞反饋與處理流程
1、報告階段
報告者可將報告發送到support@wallet.coinex.com,也可通過提交工單的形式提交報告。
注:報告內容盡可能詳細,可包括文字、URL、截圖等描述內容,必要時也可上傳附件內容進行補充說明
2、評估階段
(1)三個工作日內,CoinEx Wallet工作人員會確認收到的報告並跟進;
(2)七個工作日內,CoinEx Wallet工作人員將給出結論以及評級,必要時會與報告者溝通確認,請報告者予以協助。
3、修復階段
(1)業務部門修復報告中反饋的安全問題並安排更新上線。修復時間根據問題的嚴重程度及修復難度而定,客戶端安全問題受版本發佈限制,修復時間根據實際情況確定;
(2)報告者復查安全問題是否修復。
4、完成階段
修復完成後CoinEx Wallet將根據「獎勵及評級標準」向報告者發放對應的USDT-TRC20獎勵。
四、常見問題
Q:CoinEx Wallet會公開漏洞反饋報告的相關信息嗎?
A:為了保護用戶利益及隱私,報告相關信息均不會公開。
Q:CoinEx Wallet安全賞金計劃是不是用獎金隱瞞安全問題?
A:不是。首先,我們認為用戶利益及隱私相關信息不應該被公開,這也是業界共識。其次,CoinEx Wallet為報告者提供獎金是為了表達對漏洞反饋者的感謝和尊重,絕對不是用獎金隱瞞報告中的安全問題。
Q:CoinEx Wallet會不會先「忽略」漏洞然後偷偷修復?
A:絕對不會。如果報告者提交的漏洞反饋進入「忽略」狀態,跟進同事會在報告反饋中說明原因。常見情況是這個「漏洞」未上升至漏洞級別,僅被評估為BUG,但是無論如何,CoinEx Wallet都不會「偷偷修復漏洞」。