CoinEx安全賞金計劃旨在為全球用戶提供安全、穩定、高效的數字貨幣交易平台。根據潛在漏洞的威脅程度分為 L1 至 L3 三個等級，漏洞獎勵最高可達10,000個USDT，用以鼓勵更多用戶及白帽子發現並反饋平台安全漏洞。

以下為CoinEx安全賞金計劃的基本原則以及獎勵與評級標準。

一、基本原則

1、CoinEx安全賞金計劃僅適用於針對CoinEx官方網站（www.coinex.com）的漏洞反饋；

2、CoinEx非常重視自身產品和業務的安全問題，我們承諾每一位報告者反饋的問題都會有專人進行跟進、分析和處理，並及時給予答复；

3、為了做到有效跟進，CoinEx可能需要報告者協助一同復現問題；

4、CoinEx鼓勵負責任的漏洞披露和處理過程，對每位恪守白帽子精神，保護用戶利益，幫助CoinEx提升安全質量的用戶，我們承諾給予感謝和回饋；

5、CoinEx反對和譴責一切以漏洞測試為藉口，利用安全漏洞進行破壞、損害用戶利益的黑客行為，包括但不限於利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、 惡意傳播漏洞等；

6、CoinEx反對和譴責一切利用安全漏洞恐嚇用戶、攻擊競爭對手的行為；

7、CoinEx保留對安全賞金計劃的最終解釋權。

二、獎勵及評級標準

•  Level 1

定義：此級別危害有限，或存在安全隱患。

類別：

（1）驗證碼接口濫用，高頻率碰撞驗證碼和密碼等存在安全隱患的問題；

（2）非敏感操作的CSRF攻擊，SPF郵件偽造等危害較低的漏洞；

（3）影響系統可用性和穩定性的漏洞，導致系統無法正常響應。

• Level 2 

定義：此級別危及敏感信息或資產安全，能造成一定範圍的影響，或一定的資產損失。

類別：

（1）影響部分用戶，造成用戶敏感信息洩露，或越權進行敏感操作，如XSS、CSRF攻擊等漏洞；

（2）利用驗證邏輯、重置密碼等功能的漏洞，獲取用戶賬戶訪問權限；

（3）由於產品設計缺陷而導致的漏洞，影響數據和資產安全。

• Level 3 

定義：此級別漏洞能夠造成嚴重的資產損失，或導致敏感信息批量洩露。

類別：

（1）破壞用戶或平台資產安全的漏洞，如錢包私鑰洩露、充值漏洞等；

（2）未授權訪問系統，獲取系統權限，如sql注入、遠程代碼執行等高危漏洞；

（3）未經授權訪問敏感信息，如越權訪問用戶賬戶，非法訪問系統後台敏感數據等。

三、漏洞反饋與處理流程

1、報告階段 

報告者可將報告發送到support@coinex.com，也可通過提交工單的形式提交報告。

注：報告內容盡可能詳細，可包括文字、URL、截圖等描述內容，必要時也可上傳附件內容進行補充說明

2、評估階段

（1）三個工作日內，CoinEx工作人員會確認收到的報告並跟進；

（2）七個工作日內，CoinEx工作人員將給出結論以及評級，必要時會與報告者溝通確認，請報告者予以協助。

3、修復階段

（1）業務部門修復報告中反饋的安全問題並安排更新上線。修復時間根據問題的嚴重程度及修復難度而定，客戶端安全問題受版本發布限制，修復時間根據實際情況確定；

（2）報告者復查安全問題是否修復。

4、完成階段

修復完成後CoinEx將根據“獎勵及評級標準”向報告者發放對應的獎勵。

四、常見問題

Q：CoinEx會公開漏洞反饋報告的相關信息嗎？

A：為了保護用戶利益及隱私，報告相關信息均不會公開。

Q：CoinEx安全賞金計劃是不是用獎金隱瞞安全問題？

A：不是。首先，我們認為用戶利益及隱私相關信息不應該被公開，這也是業界共識。其次，CoinEx為報告者提供獎金是為了表達對漏洞反饋者的感謝和尊重，絕對不是用獎金隱瞞報告中的安全問題。 

Q：CoinEx 會不會先“忽略”漏洞然後偷偷修復？

A：絕對不會。如果報告者提交的漏洞反饋進入“忽略”狀態，跟進同事會在報告反饋中說明原因。常見情況是這個“漏洞”未上升至漏洞級別，僅被評估為BUG，但是無論如何，CoinEx都不會“偷偷修復漏洞”。