跳至主內容

Coincall 漏洞賞金計劃-2026年6月23日

  • 更新於

pinkmomo._Design_an_impactful_cover_for_an_announcement_heraldi_32573cfb-c28c-48e9-933d-c0fc7dc40aed.png

關於賞金計劃

Coincall 是全球領先的加密貨幣衍生性商品交易平台,我們致力於打造一個既簡單易用又強大的交易生態系統。透過我們的創新技術和用戶友好的設計,使得選擇權和期貨交易不再是金融專家的專屬領域,而是讓全球各地的投資者都能輕鬆參與,釋放加密貨幣市場的巨大潛力。透過 Coincall,我們希望提高全球用戶在加密貨幣衍生性商品市場的資金自由和交易效率。

政策

Coincall 永遠將使用者的資訊和資金安全看做是我們的第一要務。因此,我們會努力提供最安全的平台,打造最安全的交易環境。我們將根據對用戶和 Coincall 旗下所有業務系統的安全影響來評估報告的安全問題。
本賞金政策描述了 Coincall 漏洞賞金計畫的規則,以及漏洞的資格和獎勵。
 
我們的獎勵會參考 CVSS(通用漏洞評分標準)的嚴重程度。請注意,這些只是一般準則,獎勵最終由 Coincall 業務和安全團隊根據影響力和可利用性自行決定。報告嚴重性較低且可能直接利用的情況的最低支付金額為 100 美元。最高獎勵為 3000 美元,我們可能會根據發現的漏洞的嚴重性或創造性獎勵更高的金額。

嚴重程度

嚴重程度
獎勵範圍
範例
Critical
$1,000 - $3,000
如:未授權存取用戶資金、敏感資訊,導致大量資金損失或影響正常交易等漏洞(可實現,非概念性)
High
$500 - $1,000
 
如:核心業務的 SQL 注入、遠端程式碼執行、指令執行、交易業務邏輯漏洞等
Medium
$200 - $500
如:一般業務的 SQL 注入、交易業務邏輯漏洞等
Low
$100
如:反射 XSS、請求跳轉等

獎勵可以以 USDT 或 CALL 的形式支付。
一旦您的提交被接受,為了獲得獎勵,請提供以下任一資訊。
  • 在 Coincall 上註冊的帳號資訊(電子郵件)
  • 您的 TRC20 錢包地址
我們建議研究人員建立一個專用的私人 Coincall 帳戶。
  • CALL 價格會隨加密貨幣市場的變化而變化。
請注意:
  1. 如需報告漏洞,請通過 bug_bounty@coincall.com 與我們聯繫。
  2. 只有那些提供有效證明並展示如何利用特定漏洞的報告才有資格獲得獎勵。Coincall 保留最終解釋權,並決定哪些報告符合獎勵標準。
  3. Coincall 期望與社區合作,確保每位研究人員的貢獻得到公平獎勵。對於嚴重影響業務的安全漏洞,我們將提供額外的獎勵。

範圍

注意:
  1. 未列出的任何網域/資產均超出範圍。如果您認為此處未提及的特定資產或活動應在範圍內,請提交報告並簡要說明您認為該資產應在此範圍內的原因。
  2. 研究人員不應試圖轉移任何資金。如果概念驗證需要這樣的嘗試,研究人員必須先聯繫 Coincall 並尋求批准。未經事先批准試圖轉移資金的研究人員沒有資格獲得賞金。
  3. 如果我們的其中一個業務/系統報告的問題同時影響其他業務/系統,並且具有相同的原因,則該問題將被視為單一問題。請不要多次回報同一個錯誤。
一些我們關注的漏洞範例:
  • 可能導致用戶遠端資金/資產損失的漏洞
  • 核心業務應用拒絕服務(不包括 DDOS & CC)
  • 遠端程式碼執行
  • SQL 注入
  • SSRF
  • 任意檔案讀取
  • 导致用户资金损失或者带来用户风险的業務邏輯漏洞
  • ….
不合格問題(將因超出範圍而關閉):
  • 沒有實際概念證明的理論漏洞
  • 不影響安全的問題(例如無法載入網頁)
  • 不屬於 Coincall 的資產
  • 最佳安全實踐問題,非可以直接利用的漏洞
  • 電子郵件驗證缺陷、密碼重設連結過期以及密碼複雜性策略
  • SPF(寄件者策略架構)記錄無效或缺失(SPF/DKIM/DMARC 不完整或缺失)
  • 低風險的點擊劫持/UI 修改
  • 電子郵件或使用者枚舉(例如透過密碼重設識別電子郵件是否註冊)
  • 低風險的資訊外洩(例如堆疊追蹤、路徑外洩、目錄清單、日誌)
  • 內部已知問題、重複問題或已公開的問題
  • Tab-nabbing
  • Self-XSS
  • 過時的瀏覽器或平台關聯漏洞(例如,依賴 Adobe Flash 的 XSS)
  • 與自動填入 Web 表單相關的漏洞
  • 在沒有實際概念證明的情況下使用已知的易受攻擊的庫
  • Cookie 中缺少安全標誌
  • 與不安全的 SSL/TLS 密碼套件或協定版本相關的問題
  • 內容欺騙
  • 快取控制相關問題
  • 內部 IP 位址或網域的暴露
  • 缺少不會導致直接利用的安全標頭
  • 非重要功能的 CSRF(例如登陸、登出、訂閱非關鍵功能)
  • 需要 root/越獄的漏洞
  • 需要實體存取用戶設備的漏洞
  • 影響業務正常運作的行為(例如 DoS/DDoS)
  • 自動化工具或掃描的報告
  • 無效/過期頁面的鏈接
  • Zendesk 和其他第三方平台風險
  • 垃圾郵件發送
  • 社會工程學
  • 任何與會話管理相關的低影響問題(即並發會話、會話過期、密碼重置/更改註銷等)
  • 用戶端應用程式/瀏覽器自動完成或儲存的密碼/憑證
  • 遺失/啟用的 HTTP 標頭/方法不會直接導致安全漏洞
  • 密碼重設連結或 cookie 重複使用
  • 只能够影响自己的问题

風險規避

  • 在進行安全測試時,請遵守當地所有適用的法律法規。
  • 禁止存取或修改其他使用者的數據,禁止進行服務中斷的行為。
  • 禁止利用漏洞導致 Coincall 或 Coincall 用戶產生實際損害。
  • 提交漏洞時,請盡可能保留問題的細節,避免公開披露訊息,直到問題解決為止。
  • 遵守平台相關政策。

相關文章

評論

0 條評論

登入寫評論。