CoinEx安全赏金计划

CoinEx安全赏金计划旨在为全球用户提供安全、稳定、高效的数字货币交易平台。根据潜在漏洞的威胁程度分为 L1 至 L3 三个等级,漏洞奖励最高可达10,000个USDT,用以鼓励更多用户及白帽子发现并反馈平台安全漏洞。

以下为CoinEx安全赏金计划的基本原则以及奖励与评级标准。

 

一、基本原则

1、CoinEx安全赏金计划仅适用于针对CoinEx官方网站(www.coinex.com)的漏洞反馈;

2、CoinEx非常重视自身产品和业务的安全问题,我们承诺每一位报告者反馈的问题都会有专人进行跟进、分析和处理,并及时给予答复;

3、为了做到有效跟进,CoinEx可能需要报告者协助一同复现问题;

4、CoinEx鼓励负责任的漏洞披露和处理过程,对每位恪守白帽子精神,保护用户利益,帮助CoinEx提升安全质量的用户,我们承诺给予感谢和回馈;

5、CoinEx反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等;

6、CoinEx反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为;

7、CoinEx保留对安全赏金计划的最终解释权。

 

二、奖励及评级标准

等级

奖励

Level 1

200-1,000 USDT

Level 2

1,500-4,000 USDT

Level 3

5,000-10,000 USDT

  •  Level 1

定义:此级别危害有限,或存在安全隐患。

类别:

(1)验证码接口滥用,高频率碰撞验证码和密码等存在安全隐患的问题;

(2)非敏感操作的CSRF攻击,SPF邮件伪造等危害较低的漏洞;

(3)影响系统可用性和稳定性的漏洞,导致系统无法正常响应。

 

  • Level 2 

定义:此级别危及敏感信息或资产安全,能造成一定范围的影响,或一定的资产损失。

类别:

(1)影响部分用户,造成用户敏感信息泄露,或越权进行敏感操作,如XSS、CSRF攻击等漏洞;

(2)利用验证逻辑、重置密码等功能的漏洞,获取用户账户访问权限;

(3)由于产品设计缺陷而导致的漏洞,影响数据和资产安全。


  • Level 3 

定义:此级别漏洞能够造成严重的资产损失,或导致敏感信息批量泄露。

类别:

(1)破坏用户或平台资产安全的漏洞,如钱包私钥泄露、充值漏洞等;

(2)未授权访问系统,获取系统权限,如sql注入、远程代码执行等高危漏洞;

(3)未经授权访问敏感信息,如越权访问用户账户,非法访问系统后台敏感数据等。

 

三、漏洞反馈与处理流程

1、报告阶段 

报告者可将报告发送到support@coinex.com,也可通过提交工单的形式提交报告。

注:报告内容尽可能详细,可包括文字、URL、截图等描述内容,必要时也可上传附件内容进行补充说明

 

2、评估阶段

(1)三个工作日内,CoinEx工作人员会确认收到的报告并跟进;

(2)七个工作日内,CoinEx工作人员将给出结论以及评级,必要时会与报告者沟通确认,请报告者予以协助。

 

3、修复阶段

(1)业务部门修复报告中反馈的安全问题并安排更新上线。修复时间根据问题的严重程度及修复难度而定,客户端安全问题受版本发布限制,修复时间根据实际情况确定;

(2)报告者复查安全问题是否修复。

 

4、完成阶段

修复完成后CoinEx将根据“奖励及评级标准”向报告者发放对应的奖励。

 

四、常见问题

Q:CoinEx会公开漏洞反馈报告的相关信息吗?

A:为了保护用户利益及隐私,报告相关信息均不会公开。

 

Q:CoinEx安全赏金计划是不是用奖金隐瞒安全问题?

A:不是。首先,我们认为用户利益及隐私相关信息不应该被公开,这也是业界共识。其次,CoinEx为报告者提供奖金是为了表达对漏洞反馈者的感谢和尊重,绝对不是用奖金隐瞒报告中的安全问题。 

 

Q:CoinEx 会不会先“忽略”漏洞然后偷偷修复?

A:绝对不会。如果报告者提交的漏洞反馈进入“忽略”状态,跟进同事会在报告反馈中说明原因。常见情况是这个“漏洞”未上升至漏洞级别,仅被评估为BUG,但是无论如何,CoinEx都不会“偷偷修复漏洞”。

免责声明:本网站提供的内容仅供参考,并不构成投资建议,不能替代专业的财务建议、咨询或推荐。建议用户在做出任何投资决策之前,咨询合格的财务顾问。本网站的所有者和作者不对因依赖所提供信息而导致的任何损失或损害承担任何责任。所有投资均有风险,过去的表现不能作为未来结果的指标。