Bug Bounty 计划

我们很高兴宣布推出 Bug Bounty 计划,并鼓励大家积极参与,提交漏洞。

您可以将漏洞信息发送至 bd@safex.trading,我们的团队将迅速审核并验证报告的问题。我们重视您对平台安全的贡献,并将及时与您联系。

Web Bug Bounty

范围

  • *.safex.trading

奖励金额

严重等级

奖励

低风险

50 至 100 USDT

中风险

100 至 500 USDT

高风险

500 至 1000 USDT

严重

1000 至 5000 USDT

Web 漏洞定义

严重漏洞

严重漏洞指核心业务系统(如核心控制系统、域控制器、业务分发系统和堡垒主机)中存在的漏洞,这些系统管理大量设备。此类漏洞可能造成广泛影响,包括:

  • 未经授权控制业务系统。

  • 获取核心系统的管理权限。

  • 完全控制核心系统。

示例:

  • 控制内部网络中的多个设备。

  • 获取后端超级管理员权限,导致严重后果(如关键企业数据泄露)。

  • 智能合约溢出和竞争条件漏洞。

高风险漏洞

  • 获取系统权限(如 GetShell、命令执行)。

  • 系统 SQL 注入。

  • 未经授权访问敏感信息(如绕过认证、弱密码、SSRF 漏洞)。

  • 任意文件读取。

  • XXE 漏洞允许访问任何信息。

  • 未经授权的交易或绕过涉及资金的支付逻辑。

  • 严重的逻辑和流程设计缺陷(如任意用户登录漏洞、批量修改账户密码)。

  • 其他对用户影响广泛的漏洞(如重要页面上的存储型 XSS 漏洞)。

  • 大量源代码泄露。

  • 智能合约权限控制缺陷。

中风险漏洞

  • 需要用户交互的漏洞(如存储型 XSS、与核心业务流程相关的 CSRF)。

  • 并行授权操作(如绕过限制修改用户数据)。

  • 拒绝服务(DoS)漏洞。

  • 验证码逻辑缺陷导致敏感操作被暴力破解。

  • 本地敏感认证密钥信息泄露。

低风险漏洞

  • 本地 DoS 漏洞(如客户端崩溃)。

  • 常规信息泄露(如 Web 路径遍历、目录浏览)。

  • XSS 漏洞(包括 DOM XSS/反射型 XSS)。

  • 常规 CSRF 漏洞。

  • URL 重定向漏洞。

  • 短信炸弹、邮件炸弹(每个系统仅接受一种类型)。

  • 其他影响较小或无法证明危害的漏洞。

不接受漏洞类型

  • 邮件伪造。

  • 用户枚举漏洞。

  • Self-XSS 和 HTML 注入。

  • 网页缺少 CSP 和 SRI 安全策略。

  • 非敏感操作的 CSRF 问题。

  • 单个 Android 应用问题(如 android:allowBackup="true")。

  • 修改图片大小导致请求缓慢等问题。

  • Nginx 或其他软件的版本泄露。

  • 无安全风险的功能性问题。

  • 对 SAFEX 员工的个人攻击或社会工程。

合约漏洞定义

严重漏洞

  • 任何治理投票结果操纵。

  • 直接窃取用户资金(静态或动态,不包括未申领的收益)。

  • 永久冻结资金。

  • 矿工可提取价值(MEV)。

  • 协议资不抵债。

高风险漏洞

  • 窃取未申领的收益或版税。

  • 永久冻结未申领的收益或版税。

  • 暂时冻结资金。

中风险漏洞

  • 智能合约因缺乏代币资金而无法运行。

  • 为盈利而堵塞区块。

  • 破坏行为(如无盈利动机但对用户或协议造成损害)。

  • 窃取 Gas。

  • 无限制的 Gas 消耗。

低风险漏洞

  • 合约未能兑现承诺的回报,但未造成价值损失。

信息漏洞

  • 第三方预言机提供错误数据。

  • 需要基本经济和治理攻击的影响(如 51% 攻击)。

  • 流动性不足的影响。

  • Sybil 攻击的影响。

  • 中心化风险。

  • 最佳实践建议。

禁止行为

  • 参与社会工程或钓鱼活动。

  • 披露漏洞的具体信息。

  • 破坏性测试(仅允许概念验证(PoC))。

  • 未使用扫描工具的大规模扫描。

  • 直接修改网页、持续弹出消息框、窃取 Cookie 或使用侵入性 payload。

如果测试过程中发生意外损害,必须立即报告。未遵守规定可能导致法律后果。

加入我们,共同打造更安全的 SAFEX!

我们感谢您为维护平台安全所做的努力。让我们一起构建更安全的加密生态系统!

联系邮箱: bd@safex.trading 官网: safex.trading

Previous收不到邮件怎么办?Next关于我们

Last updated