CoinEx安全賞金計劃

CoinEx安全賞金計劃旨在為全球用戶提供安全、穩定、高效的數字貨幣交易平台。根據潛在漏洞的威脅程度分為 L1 至 L3 三個等級,漏洞獎勵最高可達10,000個USDT,用以鼓勵更多用戶及白帽子發現並反饋平台安全漏洞。

以下為CoinEx安全賞金計劃的基本原則以及獎勵與評級標準。

 

一、基本原則

1、CoinEx非常重視自身產品和業務的安全問題,我們承諾每一位報告者反饋的問題都會有專人進行跟進、分析和處理,並及時給予答复;

2、為了做到有效跟進,CoinEx可能需要報告者協助一同復現問題;

3、CoinEx鼓勵負責任的漏洞披露和處理過程,對每位恪守白帽子精神,保護用戶利益,幫助CoinEx提升安全質量的用戶,我們承諾給予感謝和回饋;

4、CoinEx反對和譴責一切以漏洞測試為藉口,利用安全漏洞進行破壞、損害用戶利益的黑客行為,包括但不限於利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、 惡意傳播漏洞等;

5、CoinEx反對和譴責一切利用安全漏洞恐嚇用戶、攻擊競爭對手的行為;

6、CoinEx保留對安全賞金計劃的最終解釋權。

 

二、獎勵及評級標準

等级

奖励

Level 1

200-1,000 USDT

Level 2

1,500-4,000 USDT

Level 3

5,000-10,000 USDT

  •  Level 1

定義:此級別危害有限,或存在安全隱患。

類別:

(1)驗證碼接口濫用,高頻率碰撞驗證碼和密碼等存在安全隱患的問題;

(2)非敏感操作的CSRF攻擊,SPF郵件偽造等危害較低的漏洞;

(3)影響系統可用性和穩定性的漏洞,導致系統無法正常響應。

 

  • Level 2 

定義:此級別危及敏感信息或資產安全,能造成一定範圍的影響,或一定的資產損失。

類別:

(1)影響部分用戶,造成用戶敏感信息洩露,或越權進行敏感操作,如XSS、CSRF攻擊等漏洞;

(2)利用驗證邏輯、重置密碼等功能的漏洞,獲取用戶賬戶訪問權限;

(3)由於產品設計缺陷而導致的漏洞,影響數據和資產安全。


  • Level 3 

定義:此級別漏洞能夠造成嚴重的資產損失,或導致敏感信息批量洩露。

類別:

(1)破壞用戶或平台資產安全的漏洞,如錢包私鑰洩露、充值漏洞等;

(2)未授權訪問系統,獲取系統權限,如sql注入、遠程代碼執行等高危漏洞;

(3)未經授權訪問敏感信息,如越權訪問用戶賬戶,非法訪問系統後台敏感數據等。

 

三、漏洞反饋與處理流程

1、報告階段 

報告者可將報告發送到support@coinex.com,也可通過提交工單的形式提交報告。

注:報告內容盡可能詳細,可包括文字、URL、截圖等描述內容,必要時也可上傳附件內容進行補充說明

 

2、評估階段

(1)三個工作日內,CoinEx工作人員會確認收到的報告並跟進;

(2)七個工作日內,CoinEx工作人員將給出結論以及評級,必要時會與報告者溝通確認,請報告者予以協助。

 

3、修復階段

(1)業務部門修復報告中反饋的安全問題並安排更新上線。修復時間根據問題的嚴重程度及修復難度而定,客戶端安全問題受版本發布限制,修復時間根據實際情況確定;

(2)報告者復查安全問題是否修復。

 

4、完成階段

修復完成後CoinEx將根據“獎勵及評級標準”向報告者發放對應的獎勵。

 

四、常見問題

Q:CoinEx會公開漏洞反饋報告的相關信息嗎?

A:為了保護用戶利益及隱私,報告相關信息均不會公開。

 

Q:CoinEx安全賞金計劃是不是用獎金隱瞞安全問題?

A:不是。首先,我們認為用戶利益及隱私相關信息不應該被公開,這也是業界共識。其次,CoinEx為報告者提供獎金是為了表達對漏洞反饋者的感謝和尊重,絕對不是用獎金隱瞞報告中的安全問題。 

 

Q:CoinEx 會不會先“忽略”漏洞然後偷偷修復?

A:絕對不會。如果報告者提交的漏洞反饋進入“忽略”狀態,跟進同事會在報告反饋中說明原因。常見情況是這個“漏洞”未上升至漏洞級別,僅被評估為BUG,但是無論如何,CoinEx都不會“偷偷修復漏洞”。